讓系統百毒不侵

在上期的《流氓軟件都是紙老虎》一文中，我們了解了“主動防御”的概念，這次又來看一款很強的主動防御軟件。

很多人用過防火墻，防火墻可以有效地攔截網絡攻擊。不過即使安裝了防火墻和殺毒軟件，有時還會有流氓軟件“溜”進來。System Safety Monitor（以下簡稱SSM）可以有效彌補防火墻和殺毒軟件之間的空白，它通過監視系統特定的文件（如注冊表等）及應用程序，達到保護系統安全的目的，我們可以把它看作系統防火墻。

簡單設置，輕松上手

SSM2.4已經是多國語言版本，安裝時可以直接選擇“簡體中文”。安裝后重新啟動，第一次運行時仍會是英文界面，雙擊系統托盤中的SSM圖標打開設置窗口，選擇“Option”標簽，在language下選擇“簡體中文”，單擊“Apply option”切換到中文版，勾選“自動啟動”讓它開機就保護系統。

SMM默認會攔截所有進程，在確保系統安全的情況下，切換到“進程監控器”標簽，右擊正常的系統進程，選擇“信任所有運行中的進程”，這樣SSM就不會攔截正常的系統進程（圖1）。

我們可以讓SSM先認識下自己常用的程序，運行QQ、IE等，在彈出的提示框中勾選“創建此操作永久性規則”，單擊“允許”，以后SMM就不會攔截這些程序了。

流氓攔截，立竿見影

設置好后，切換到“規則”窗口，點擊下拉的小三角箭頭選擇“啟動所有規則”，再點“應用設定”，SSM就開始監控了。以后只要系統啟動新的進程，SSM就會攔截并詢問是否放行。

下面我們使用SSM來攔截程序捆綁的流氓軟件。很多免費軟件都捆綁了廣告軟件，而且不少是強制安裝。比如《智能陳橋輸入法5.8》就捆綁《百度搜霸》和《陳橋小秘書》（圖2）。

出現上述提示時，單擊“是”。SSM立刻發出提示，單擊“詳情”，我們可以看到安裝程序試圖安裝“C:\\progra~1\\baidu\\bar\\baidubar.dll”，單擊“阻止”，并選擇“創建校驗和規則”，這樣以后都可以順利攔截《百度搜霸》（圖3）。同樣方法，可以攔截“陳橋小秘書”安裝和啟動。這樣既成功安裝《智能陳橋》又剝離了流氓。

我們可以用SSM攔截木馬、病毒的啟動。比如，雙進程木馬的其中一個進程被終止之后，負責監控子進程的木馬也會被攔截，有效防止木馬的再生。而且可以通過詳細信息了解到子進程和父進程，以及可執行程序的路徑信息，方便進行手動刪除。

惡意下載，全面阻截

有些惡意網站會被黑客們掛上木馬，用戶訪問后，木馬就會被偷偷下載到本機。有了SSM的保護，這些后臺下載可以被輕松攔截。比如http://www.krvkr.com/worm.htm（請勿訪問）就被人掛了木馬，用IE打開它，SSM立刻發出警告信息，提示有后臺下載的程序Svchost.exe試圖運行（圖4）。

單擊子級進程后的“定位”，可以在“C:\\Documents and Settings\\user\\LocalSettings\\Temp”發現后臺下載的病毒。單擊“阻止”，后臺下載的病毒就無法運行了。

對于一些惡意網站不斷彈出的廣告窗口，使用SSM攔截并選擇“阻止”后，這些網站就不會再彈出來了。此外，通過SSM的信息顯示，我們還可以將那些后臺命令行運行的病毒完全顯示出來。

當然，SSM的應用遠遠不止這些，還可以監控注冊表（對注冊表的任何改動都會被攔截）、監控網絡程序等。只要開啟SSM監控，就給系統穿上了鐵甲！