防范流氓软件终极篇:SSM系统防火墙

4、开始启用SSM控制
     上面的操作完了之后，已经为当前运行的程序添加了规则，但SSM实际上还没有工作，我们要把它启用。切换到“规则”窗口：

     点击那个下拉的小三角箭头，然后选择“启动所有规则”，再点一下那个“应用设定”，关闭窗口便可，基本设置就完了，应该还是挺简单的吧？下面我们来看看具体的效果。

四、系统测试

1、启动未知的进程
   
    如果这个时候，运行一个未知的程序，就会弹出一个窗口，可以显示程序的各种参数，然后让用户确认，比如现在我们打开IE浏览器（假定刚才上面第2步的时候没有为IE设置规则，当然你可以任意选择一个刚才没有运行的程序）：

解释一下几个含义：
   父进程：是谁启动了这个进程，这里是Exploere.exe，也就是资源管理器。有时我们看到突然弹出一个广告窗口，就可以通过这个办法来观察是哪个进程弹的广告，然后再想办法清除
   子级进程：当前要启动的程序，即要执行的程序
   允许：只允许这一次运行，下一次还会继续提示
   阻止：只阻止这一次运行，下一次还会继续提示
   创建此规则的永久性规则：针对上面的这个允许或者阻止操作，比如这个IE，我们不可能每次都去点允许，那个太烦了。选择之个之后，就会自动增加一个规则，以后就照这个规则来处理，不会每次提问。
    技术信息：执行进程ID，以及进程的路径，参数等。这样你可以知道哪个程序要运行，然后决定它是否是合法的，有用的。

2、拦截移动硬盘U盘的Autorun病毒 
    现在用移动硬盘或者U盘的越来越多，也很普遍，但是经常我们不知不觉就在传染着病毒，它主要利用了Windows提供的根目录下的autorun.inf这个文件的特性，它就是指定了一个可执行的命令，因为是自动运行，隐蔽性很强。一般因为是熟人拿过来或者是同事同学之类的，根本防不胜防（天知道这个时候，那些杀毒软件在干嘛，大部分时候都查不到的）。下面就做这一个测试，把有毒的U盘挺入，马上跳出来一个提示：

     父进程rundll32.exe是一个Windows的合法程序，但是每多病毒都是通过它加载的，强烈建议不要为它设定永久性允许规则！它要运行一个H:\setup.pif这个进程，一看就是一个可疑的，点“阻止”，中止它的运行。再打开U盘，显示一下隐藏文件，果然有一个autorun.inf文件和setup.pif文件，经检查，就是一个隐藏的病毒。
     

3、恶意篡改主页
   在我的BLOG中，针对飘雪/飞雪/MY123之类专门修改IE浏览器首页的，相信大家也记忆深刻，恨之入骨。当然，SSM也提供了对所有注册表敏感键值的保护，下面我们做一个测试，比如现在中了一个BHO的插件，因为没有单独的进程，它是利用IE来修改首页的，马上SSM就拦截了：

    这个时候，我们就可以点阻止，来拒绝对这个注册表健值的更改，成功地保护了系统首页。

上一页  [1] [2] [3] [4] 下一页