软件网络

彻底绝缘安全威胁，监控程序运行

作者：飘忽不定来源：家用电脑投递者： [2007-12-29 18:19] 阅读：人

顶一下
目前无论是杀毒软件和防火墙，都没有完美无缺的，或多或少会无法检测到一些新型或变种病毒，而恰恰正是这些被遗漏的病毒和流氓软件导致我们的系统缓慢甚至崩溃。那么有没有一款完美的安全工具，能够防范所有的病毒和流氓软件呢？

图2.SSM警告对话框 dtc62

允许运行snss.exe后，SSM会弹出第二个警告对话框，提示进程为snss.exe，对象为spoclsv.exe，意思是snss.exe进程企图运行spoclsv.exe这个程序。对“熊猫烧香”病毒有一定了解的朋友都应该知道spoclsv.exe是其核心文件，这里拦截的就是“熊猫烧香”生成spoclsv.exe的这一操作。如果我们在这里将其阻止了，“熊猫烧香”也就寿终正寝了。点击警告对话框下方的“详情”按钮，出现关于此次警告的具体信息，这里显示有snss.exe进程的路径以及PID值，同时还有spoclsv.exe路径。从这里我们就可以知道snss.exe进程想在C:\WINDOWS\system32\drivers\目录下生成spoclsv.exe。其实SSM就像一台分析机，病毒运行在SSM面前会被分析成一道道工序，我们可以阻止或运行其中的任何一道工序。当然一般我们阻止第一道工序就可以阻止病毒的运行。

图3.拦截spoclsv.exe dtc63

继续点击“允许”后，SSM又会拦截到新的操作，例如spoclsv.exe进程企图通过cmd.exe执行“net share C$ /del /y”删除c盘的默认共享，并通过net.exe和net1.exe执行相同的命令，病毒这样做就为了我们在将cmd.exe改名的情况下仍能正确执行命令。此外还能拦截到病毒修改网络设置的操作。总之，通过SSM我们不仅能够了解病毒的行为，达到防范的目的，有时甚至还能过一把病毒分析的瘾。

用SSM防范流氓软件

流氓软件的最大传播途径就是将自身与正常程序的安装文件捆绑在一起，使用户在安装程序的同时安装流氓软件。要防范流氓软件这种隐蔽的安装是很困难的，因为杀毒软件对流氓软件睁一只眼闭一只眼，而反流氓软件的防御功能不甚完善，防范起来比较困难。而用SSM来防范流氓软件可谓是小菜一碟。不管流氓软件捆绑得多隐蔽，在SSM的监控下仍会暴露无遗。

这里我们用一个捆绑有十余种流氓软件的安装程序来进行测试。双击安装程序后，SSM提示explorer.exe尝试启动安装程序，这一步是正常的，但接下去流氓软件的马脚就露出来了。SSM接着提示安装程序尝试启动2027.exe，该文件位于C:\temp，2027.exe是什么程序，大家心知肚明。点击“允许”后，SSM提示注册表关键位置“User AutoRun”群组键值被修改，执行这项修改的进程就是2027.exe，修改的目的是将C:\WINDOWS\realupdate.exe添加进启动项。至此我们已经了解了这个流氓软件的目的：首先运行2027.exe，接着2027.exe会释放一个文件realupdate.exe到C:\WINDOWS\目录下，并修改注册表使realupdate.exe实现开机启动。

图4.拦截注册表修改

根据SSM的分析，我们发现安装程序会暂时将流氓软件解压到C:\temp目录，并分别进行安装，那么是不是安装程序的所有流氓软件都存在于这个文件夹中呢？果然，打开这个文件夹后，安装程序中的所有流氓软件都在这里。

据测试，我们在C:\temp目录中发现的流氓软件个数为13，而SSM拦截的次数恰好也是13，拦截率可谓100%。由此可见，流氓软件想在SSM的监控下混水摸鱼是十分困难的。

用SSM防范恶意网站

在上网的过程中，恶意网站不得不防，修改主页，添加垃圾工具条我们已经司空见惯，更可恶的是在网页中夹杂病毒和木马，利用IE的漏洞使我们在不知不觉中成为黑客的肉鸡。SSM对于恶意网站的防范也相当有效，完全可以把它当作是恶意网站防火墙。

恶意网站最常见的操作就是修改IE的首页，但是想修改得先问一下SSM答不答应。打开恶意网站后，如果存在修改IE首页的操作，SSM会立即出现注册表修改警告框，提示“Start Page”值被修改，修改的内容就是恶意网站的首页地址。同时会给出先前值，先前值就是之前的IE首页地址，以供用户比较。此外，恶意网站对IE的其他修改也会被拦截，网页中夹杂的木马和病毒当然也无法逃脱SSM的监控。