软件简介： oxLxf;V$  
SSM是一款对系统进行全方位监测的防火墙工具，它不同于传统意义上的防火墙，系针对操作系统内部的存取管理，因此与任何网络/病毒防火墙都是不相冲突的。该软件到目前为止，仍是免费的。 st'XTPna}:  
【功能特性】： OnF|d!O@  
dU{5eZ5 m  
　　·可控制机器上哪些程序是允许执行的，当待运行程序被修改时，会报警提示； }nz-Lis=  
=R"Bik  
　　·可控制“DLL注入”以及键盘记录机对特定系统函数的调用； .7?V@f  
&_#J>n \?  
　　·可控制驱动程序的安装(包括非传统方式的驱动型漏洞-Rootkits)； y<#6c3)m  
(y2TU"^  
　　·可控制诸如存取"\Device\PhysicalMemory"对象这类底层活动； U:?YlM,h  
SJWcVOeKl  
　　·可阻止未经认可的代码注入，从而使任何程序都无法插入到合法的程序中以进行有害的活动； bW=ad  
A0"HYS 7  
　　·可控制哪些程序允许启动其它程序、哪些程序不允许被其它程序启动，如：您可以控制您的浏览器不被除Explorer.EXE以外的任何非可信程序启动； Cv<
^g  
W);G+e6DKY  
　　·可在双模式中任选其一，用户模式或管理员模式：管理员模式可设定首选项并加以密码保护防止被更改，而用户模式不能更改任何设定； uk3'  
V_$3qWC  
　　·可监控安装新程序时注册表重要分支键的更改，受保护的注册表分支键被尝试更改时将阻止或报警； o+ynU`(  
g8Fo?y  
　　·可管理自启动项目、当前进程等，另外提供了服务保护模块，用以监视已安装的系统服务，当新的服务被添加时，会报警提示； 2
DET6  
*Bf [Ck`v  
　　·可(实时)监视"启动菜单"、"启动INI文件分支"，以及IE设定等(包括BHO-所谓的浏览器辅助对象，一般都是广告程序、间谍程序等垃圾)； "`9kNnh.
 
5HWd.<i  
　　·可通过标题黑名单过滤器阻止打开指定的窗口或者网页； c#20qG:jj  
#rIdq@>N  
　　·支持外挂任一调试器、反病毒软件等，且该软件的扩展功能均采用外挂插件形式实现，因此极易得到丰富的扩充； +J,I?E]=  

$L
+:8n>  
　　·本身作为服务加载，通过配置、修改可以实现隐秘的进程反杀能力。 4JneWrF  
P.!tk}  
　　SSM的上述强大功能为木马防范乃至整个系统的全面监控提供了绝佳的解决方案，但其使用上应该算是，总体来说是一款偏向高端的安全软件。木马、键盘记录机等均被其成功截获，其底层防御能力相当令人满意！

SSM安装： C8KzNcqOaJ  
运行环境： Win9x/ME,WinNT,Win2000,WinXP {J0y7z'0s  
软件官方主页： ;3oY weNl  
http://www.syssafety.com/ f
ivZ&j#  
软件下载地址： 7{{<l7a p  
http://syssafety.com/download/ssm-2.0.0.564.exe?pid=100 DHak C_  
病毒分析需要在虚拟机下进行，虚拟机的安装配置请参考由FOGSNOW撰写的 |2?|lx[0  
玩病毒于骨掌之间教学之一 虚拟机安装使用实现技术详解。 r49+ud|  
本教程虚拟系统软件选择Vmware，虚拟系统为WINDOWS2000,分析工具选择SSM。 36g3}  
System Safety Monitor的界面（以下简称SSM） {N}WX&  
SSM目前支持9种语言，包括“简体中文”与”繁体中文“用户可自由选择适合的语言。

具体病毒分析步骤简介： ?*lK- :r  
1，首先，为了分析病毒，我们首先要开启虚拟机环境，并启动我们的跟踪监控组件，System Safety Monitor，选择“启用程序规则”，在模块选项中选择：“启用所有模块”。 *K`.-hi  
如图：

2：目前前期工作已经完成，可以过行病毒样本分析的工作了，我们以AVF论坛病毒样本Run552.exe（Trojan.Win32.VB.sj）为例，样本位置http://avfbbs.80port.net/read.php?tid=330&fpage=7 k:wcF@Pk  
首先运行病毒文件Run552.exe(此病毒为隐藏文件，需要将设置为系统显示隐藏文件） |nto>p
0)  
并且允许病毒运行，如图

3，此时，病毒已经在虚拟系统中运行，System Safety Monitor并且已经对病毒的行为进行了监控，病毒开始写入病毒程序 DEh%\#kue  
如图：

System Safety Monitor截获病毒对注册表的改变 (T@dv\j%  
如图

记录病毒文件对系统的改变，病毒文件的创建，对注册表的改变，对IE主页的改变，收集相关信息。 yAd_NF  
做成分析报告。 rITa/  
查看日志文件如图：

病毒分析报告： 0/LN".M
v  
我们通过System Safety Monitor对病毒程序的监控，收集到了病毒的相关运行信息，由于此软件的局限性，有些工作必须进行人为的判断与软件的监控相结和。 /8fT8Btn}  
BTz1zL=?K  
病毒名：Trojan.Win32.VB.sj（各安全公司对病毒命名不同） 8t3dI874  
病毒类别：木马 TX~GzukV  
T^4dz5'  
发作过程： *9Qr&U_  
病毒文件Run552.exe被运行后，病毒运行IE浏览器并且自动连接恶意网站，并且建立病毒文件 N^?QgZGb  
Run552.exe自动运行 K=W #P1RHV  
调用C:\Program Files\Internet Explorer\iexplore.exe运行恶意网站 oGi&Z`  
D}E *3\.)  
建立文件： N-ti@S4i  
C:\WINNT\system32\NTDHCP.EXE
ni*-S  
C:\WINNT\system32\N0TEPAD.EXE )rcV$E+  
C:\WINNT\system\N0TEPAD.EXE GhxIO3}k69  
C:\WINNT\N0TEPAD.EXE / p${X  
C:\WINNT\system\Run552.exe yQhGEz  
iWUceT0m}w  
注册表改变： FC!|#wKW?  
Software\Microsoft\Windows\CurrentVersion\Run\run552.exe ,uj%D-W{  
Software\Microsoft\Windows\CurrentVersion\Run\NTdhcp ]fAtQlFfP  
9oCWiqKY#  
IE浏览器主页改变： 9XF8)Q  
http://51115.com/index.html

以上是SSM软件的简单介绍与简单使用方法，以及对病毒的简单分析。此款软件功能与TINY相比还有一些差距（个人感觉）但是优点是支持简体中文。 *WSANpbX  
具体的操作还需要各位自己研究。 _ JHM8  
以上文章仅供参考，希望对各位有所帮助。 BhKT1ZvP  
作者：季风

楼主强人啊

这个东西第一次装千万别忘了先调后时间。。不然会后悔的～～～

逐月,你怎么也在啊

个人更喜欢gss，ssm的界面没gss酷，呵呵

呵呵，同楼上

GSS我还是最喜欢的 xK6#hnZ  
国外调查中,GSS是最令人满意