彻底绝缘安全威胁，监控程序运行

作者：飘忽不定    来源：家用电脑    投递者：      [2007-12-29 18:19]      阅读：人

• 
  
  
  顶一下
• 目前无论是杀毒软件和防火墙，都没有完美无缺的，或多或少会无法检测到一些新型或变种病毒，而恰恰正是这些被遗漏的病毒和流氓软件导致我们的系统缓慢甚至崩溃。那么有没有一款完美的安全工具，能够防范所有的病毒和流氓软件呢？

你是否曾经抱怨杀毒软件不称职，无缘无故系统又会被病毒感染；是否曾经抱怨没有防火墙能够防范流氓软件，直到系统变慢以后才知道是流氓软件干的好事。目前无论是杀毒软件和防火墙，都没有完美无缺的，或多或少会无法检测到一些新型或变种病毒，而恰恰正是这些被遗漏的病毒和流氓软件导致我们的系统缓慢甚至崩溃。那么有没有一款完美的安全工具，能够防范所有的病毒和流氓软件呢？本文所要介绍的System Safety Monitor正是这样一款安全工具，由于其和杀毒软件、反流氓软件工具的原理不同，因此对于病毒和流氓软件的防范几乎可以达到80%，下面就让我们来深入地了解这款安全工具。

SSM的特殊工作原理

在上文中我们提到System Safety Monitor（以下简称SSM）和杀毒软件、反流氓软件工具的原理不同，那么不同之处在哪里，它又是如何防范病毒和流氓软件的呢？我们都知道，杀毒软件是通过对系统中的文件进行特征码比对来确认病毒的，这时病毒已经存在于系统中了，我们做的一切都是补救措施，碰上狠一点的病毒我们硬盘上的数据可能已经丢失了。虽然杀毒软件的病毒防火墙能够在我们运行病毒之前将其阻止，但是病毒防火墙是依赖于杀毒软件的病毒库的，杀毒软件不能检测到所有病毒，当然病毒防火墙也不可能拦截到所有病毒。这就是杀毒软件的缺点，对于新病毒没有抵御能力。反流氓软件工具同样如此，目前反流氓软件工具还不具备防御能力，或者说很不完善，其查杀流氓软件的原理类似杀毒软件的后期补救。

而SSM的原理则完全不同。SSM不具备查毒能力，也不具备反流氓软件功能，任何一种病毒在其面前，它都会无动于衷。但是当我们运行病毒的时候，SSM会马上弹出警告对话框，但不是告诉你这是病毒，而是这个病毒想在系统中干什么。这就是SSM和杀毒软件的不同之处，SSM会调整程序性能并控制它们对本地资源的存取，主要是针对操作系统内部的存取管理。简单地说，就是病毒和流氓软件无论怎么不择手段，都必须对系统的本地资源进行修改，而SSM则会监视系统的本地资源，因此任何病毒和流氓软件都无法躲过SSM的监视。在这层意义上我们可将SSM称为系统防火墙。SSM不仅可以起到安全防范的作用，也能够用来调试程序，了解程序的运行原理。

SSM的简单设置

SSM的安装十分简单，一路“Next”即可。安装完成后SSM会自动最小化到系统任务栏，双击任务栏中的图标可打开其主界面，软件的界面语言默认是英文的，我们可以在主界面中切换到“Options”标签，在“Language”下拉框中选择“Chinese（Simplified）”，然后点击下方的“Apply options”按钮，这样就可以让SSM使用中文语言。

这时只要双击任何文件夹或者打开资源管理器，SSM就会不断弹出警告对话框，未进行设置的SSM是很敏感的，因为它不知道哪些操作是危险的，哪些操作是安全的，因此我们要对其进行简单的设置。在SSM中切换到“进程监控器”，在其中的进程列表上点击右键，选择“信任所有运行中的进程”。然后切换到“规则”标签，点击最右侧的倒三角按钮，选择“启用所有规则”，最后点击下方的“应用设定”按钮，使设置生效。这样设置后，SSM碰上正常的操作时就不会将其拦截了。

小贴士：在设置之前，我们可以先关闭非系统应用程序外的进程，对剩余的进程进行检测，确保系统没有被病毒和流氓软件感染。

图1.启用规则     dtc61

用SSM防范病毒

说了那么多，我们还没领教过SSM的真本事呢，下面就先让我们来看看SSM防范病毒的本领。这里我们以曾做过专题介绍的“熊猫烧香”病毒为例进行测试。在开启SSM的情况下，双击“熊猫烧香”病毒样本文件snss.exe，SSM马上弹出了一个警告对话框框，内容为“程序explorer.exe尝试启动一未注册的程序，此活动应属正常。若您绝对确信snss.exe是一合法程序，则可永久允许；否则，则应阻止！”，这是SSM对程序的第一步拦截，我们运行任何可执行程序，SSM都会将其拦截，弹出类似的警告对话框。这样势必会影响我们正常使用电脑，因此对于我们熟悉的程序，例如IE的主程序IEXPLORE.EXE，可以永久将其设为允许，这样以后运行该程序就不会弹出警告对话框了。回到测试过程，在确认是否运行snss.exe中点击“允许”。接下去我们就可以看到“熊猫烧香”病毒在系统中想干什么了。