怎样用SSM解决实际问题--SSM,解决,实际,问题,工具,

[组图]怎样用SSM解决实际问题

热荐 ★★★★

怎样用SSM解决实际问题

文章整理发布：黑客风云文章来源：www.05112.com 更新时间：2006-5-8

       隐蔽性较高、插入正常进程运行的木马/后门越来越多。遇到这类木马，有时用杀软也不能立即搞掂。怎么办？
       我的习惯是用SSM解决问题。
       SSM的全称为：System Safety Monitor，即：系统安全监控器。这个工具已经是“多国语言”版，支持简体中文。下载地址：http://www.syssafety.com/files.html。
       SSM的使用确实比PG稍复杂些，但还算一个简单、易用的工具。如果你的IQ高于正常人，半天就能学会SSM的使用；如果你的IQ在“普通人”的水平，2－3天也能掌握它；如果你的IQ略低于“普通人”的水平，但还不属于“弱智”，花一周左右的时间，也能用它解决一些常见的问题了。
       不少人不会（或不善）用SSM解决问题，其实不是其IQ偏低，而是“懒惰成性”，总是指望用杀软一下就将木马灭掉。这个帖子不是给这类人看的，我也不打算与这类人辩论“杀软是干什么的”、“XX杀软是否垃圾”、“如何向杀软商索赔”等问题。如果你将SSM理解为“运行后就能杀死那些该死的病毒/木马”的工具，那么，您就大错特错了。SSM根本就不是杀软！对于那些不愿意自己动手的的人，这个工具基本没用。还是早早卸载了好。
这个论坛里有个帖子，是我做的几个SSM操作的动画，可供初学者参考：http://forum.ikaka.com/topic.asp?board=28&artid=7781820。

下面，以一个较隐蔽的后门为例，说明用SSM搞掂它的具体过程。

这个后门运行后，SSM并不能发现其文件创建、注册表改动等行为。但是，SSM的进程列表中可发现异常的浏览器进程和异常DLL模块加载（图1）。我用OPERA浏览器，但此时，OPERA并未打开。
遇到这类怪事，应追究具体原因。
右击这个DLL，查看其“属性”（图2）——更加可疑（正常的文件都有“版本”标签，而它没有！）；文件创建日期也是最近的。
右击SSM“规则”面板，自己添加一条规则，禁止这个DLL加载运行。
添加上述规则时，意外发现同一路径下还有一个server.exe文件（图3），创建日期与上面那个DLL相同。再添加一条规则，禁止server.exe加载运行。
规则添加完后，务必点击面板下方的“应用设定”（图4）。否则，你就瞎忙活了！
还要核实一下图5所示的复选框是否勾选了（需勾选）。
下一步：将SSM设置为“自动启动”（图6），也就是“系统启动时，SSM自动加载运行”。
最后，重启系统，这个后门就被废掉了。尽管后门的.exe、.dll文件还未删除，注册表项也未清理；但只要你的SSM能随系统启动加载运行，这个后门已经没用了。
至此，只剩下了打扫垃圾的问题了。自己清扫一下，就全部搞掂了。

图1

图2

图3

图4

图5

图6

文章录入：sygbox 责任编辑：sygbox

上一篇文章：技术分析怎样的交换机才最安全？

下一篇文章：路由器初学者完全教程

【字体：小大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

VIP 专区

	抽根憋闷烟的心声
	学习网页制作的理由
	加入终身会员的理由!!!
	学习黑客编程的5大理由
	学习免杀的6大理由
	学习软件破解的理由
	会员账号开通查询
	常见问题解答
	汇款向导
	学员报名咨询

最新热门

	宽带路由器常见故障巧排除	04-07
	局域网的网速变慢的故障细致分析	03-20
	网络故障诊断70例！	01-09
	废掉硬路由！组建软路由的详细教	12-19
	ARP攻击防制进阶篇	12-18
	彻底预防ARP.要从系统文件改起.从	11-23
	局域网合理布线的六大规则	11-10
	NetSniper网络尖兵工作原理	11-06
	网吧克隆技术教程	10-12
	网络与路由器故障诊断的基础知识	09-27
	IP地址冲突很头痛问题解决有绝招	08-28
	新手看招：网络硬件基础知识荟萃	08-13

Windows XP开机就打开小键盘解决办法