科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道和流氓、病毒彻底断绝 让我们认识SSM防火墙

和流氓、病毒彻底断绝 让我们认识SSM防火墙

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

为什么会有病毒?为什么流氓软件在我们的机器上偷偷运行?常言道:常在河边走,哪有不湿鞋?难道真的没有什么办法?回答是:当然有的。这就是我们今天要隆重介绍的SSM(System Safety Monitor )。

作者:论坛整理 来源:zdnet网络安全 2008年3月31日

关键字: 病毒 防病毒 病毒防范 反病毒 木马 杀毒软件

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共4页)

四、系统测试

1、启动未知的进程

如果这个时候,运行一个未知的程序,就会弹出一个窗口,可以显示程序的各种参数,然后让用户确认,比如现在我们打开IE浏览器(假定刚才上面第2步的时候没有为IE设置规则,当然你可以任意选择一个刚才没有运行的程序):

解释一下几个含义:

父进程:是谁启动了这个进程,这里是Exploere.exe,也就是资源管理器。有时我们看到突然弹出一个广告窗口,就可以通过这个办法来观察是哪个进程弹的广告,然后再想办法清除

子级进程:当前要启动的程序,即要执行的程序

允许:只允许这一次运行,下一次还会继续提示

阻止:只阻止这一次运行,下一次还会继续提示

创建此规则的永久性规则:针对上面的这个允许或者阻止操作,比如这个IE,我们不可能每次都去点允许,那个太烦了。选择之个之后,就会自动增加一个规则,以后就照这个规则来处理,不会每次提问。

技术信息:执行进程ID,以及进程的路径,参数等。这样你可以知道哪个程序要运行,然后决定它是否是合法的,有用的。

2、拦截移动硬盘U盘的Autorun病毒

现在用移动硬盘或者U盘的越来越多,也很普遍,但是经常我们不知不觉就在传染着病毒,它主要利用了Windows提供的根目录下的autorun.inf这个文件的特性,它就是指定了一个可执行的命令,因为是自动运行,隐蔽性很强。一般因为是熟人拿过来或者是同事同学之类的,根本防不胜防(天知道这个时候,那些杀毒软件在干嘛,大部分时候都查不到的)。下面就做这一个测试,把有毒的U盘挺入,马上跳出来一个提示:

父进程rundll32.exe是一个Windows的合法程序,但是每多病毒都是通过它加载的,强烈建议不要为它设定永久性允许规则!它要运行一个H:setup.pif这个进程,一看就是一个可疑的,点“阻止”,中止它的运行。再打开U盘,显示一下隐藏文件,果然有一个autorun.inf文件和setup.pif文件,经检查,就是一个隐藏的病毒。

3、恶意篡改主页

在我的BLOG中,针对飘雪/飞雪/MY123之类专门修改IE浏览器首页的,相信大家也记忆深刻,恨之入骨。当然,SSM也提供了对所有注册表敏感键值的保护,下面我们做一个测试,比如现在中了一个BHO的插件,因为没有单独的进程,它是利用IE来修改首页的,马上SSM就拦截了:

这个时候,我们就可以点阻止,来拒绝对这个注册表健值的更改,成功地保护了系统首页。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章