一、写在前面

请花15分钟来学习一下，你可以收获的：

1、跟流氓软件说再见

2、不会中了莫名其妙的病毒

3、不会不知不觉被装上木马或者广告软件

4、调试程序及更多（高级用户）

5、了解Windows系统，了解程序调度以及行为（高级）

6、学习或者DEBUG流氓软件（高级）

教程读者： 包括但不限于普通用户，只知道上QQ或看新闻，深受流氓软件困扰，三五天装一次系统的

教程目的：了解System Safety Monitor(SSM)这个软件，学会使用，保护自己的机器

教程目标：安装，以及简单的设置使用。可以肯定的，如果装了SSM，流氓软件基本没有机会可以进入你的机器

二、绪言

做版主的时候，经常遇到这们的疑问：为什么我的机器会被偷偷地装上流氓软件？为什么我的机器中了毒，为什么防火墙不管用，为什么杀毒软件也视而不见？几天就要重装一次机器。身边的朋友也是，好象我们已经把能装的全装上了，为什么还会有病毒、流氓软件在我们的机器上偷偷运行？常言道：常在河边走，哪有不湿鞋？难道真的没有什么办法？回答是：当然有的。这就是我们今天要隆重介绍的SSM(System Safety Monitor )。

三、原理以及和杀毒软件、防火墙的区别

我们知道，在操作系统的环境下，任何一个程序都是各种代码的集合体，启动的时候，向操作系统申请资源，然后做各种不同的动作。所有的软件都要这样，只是细节上有点差别。

病毒和木马也是一样的道理，不管如何，它需要运行，需要安装，需要执行。比如我们安装一个软件的时候，一些下载站点或者共享软件作者在安装程序里偷偷捆绑上其它软件（目前大多数流氓软件是通过这个途径传播的），或者我们上网的时候，通过浏览器或者操作系统的漏洞，偷偷下载一些软件，然后执行，结果就中招了。假定我们能知道所有Windows系统的运行程序的过程以及观察进程的各种动作，不就可以断绝一切非法操作了？Windows对大多数用户来说，还是一个黑匣了，一个神秘的东西，除了一些专业人员，很少有人知道那些进程，那些软件是什么意思。那么对于普通用户，就一点办法没有了吗？答案就是：SSM。

System Safety Monitor简称SSM，是专门针对有害程序及间谍程序等的 Windows 防护软件范畴， 却并非反病毒软件，它并不提供针对特定有害程序的查找及移除特性，也不提供系统遭有害程序破坏后的恢复特性，而是真正的“防患于未然”！我们平常所用的防火墙如天网，Windows自带的防火墙，它 可监控网络流量并选择性地阻止某些程序对网络资源的存取，而 SSM 可调整程序性能并控制它们对本地资源的存取，在这层意义上我们可将 SSM 称为系统防火墙。

而我们最依赖的杀毒软件如瑞星，金山，卡巴斯基，它们的原理基本都是不停地升级特征码，然后根据这个特征码来判断文件是否是病毒，所以理论上来说，杀毒软件是跟着病毒跑，永远需要不停地升级，可能也正因为这个原因，各大升毒软件厂商最希望看到这种现象，可以慢慢坐着收钱 *_*

我来来看看SSM能做什么：

它是一款对系统进行全方位监测的防火墙工具，它不同于传统意义上的防火墙，是针对操作系统内部的存取管理，因此与任何网络/病毒防火墙都是不相冲突的。该软件获得了WebAttack的五星编辑推荐奖，十分优秀！

更能得可贵的是，这么好的软件，它竟然是免费的，并且支持包括中文在内的多国语言！（从2.0开始分为免费和收费两个版本，基本没有区别）

【功能特性】

□控制机器上哪些程序是允许执行的，当待运行程序被修改时，会报警提示；

□针对合法的程序建立规则，不会每次提示；

□通过CRC32或者MD5等校验所有可执行文件的变动，再也不怕系统文件被非法修改而不知；

□控制“DLL注入”以及键盘记录机对特定系统函数的调用；

□控制驱动程序的安装（包括非传统方式的驱动型漏洞－Rootkits）；

□控制诸如存取"DevicePhysicalMemory"对象这类底层活动；

□阻止未经认可的代码注入，从而使任何程序都无法插入到合法的程序中以进行有害的活动；

□控制哪些程序允许启动其它程序、哪些程序不允许被其它程序启动，如：您可以控制您的浏览器不被除Explorer.EXE以外的任何非可信程序启动；

□在双模式中任选其一，用户模式或管理员模式：管理员模式可设定首选项并加以密码保护防止被更改，而用户模式不能更改任何设定；

□监控安装新程序时注册表重要分支键的更改，受保护的注册表分支键被尝试更改时将阻止或报警；

□管理自启动项目、当前进程等，另外提供了服务保护模块，用以监视已安装的系统服务，当新的服务被□添加时，会报警提示；

□实时监视"启动菜单"、"启动INI文件分支"，以及IE设定等（包括BHO-所谓的浏览器辅助对象，一般都是广告程序、间谍程序等垃圾）；

□通过标题黑名单过滤器阻止打开指定的窗口或者网页；

□支持外挂任一调试器、反病毒软件等，且该软件的扩展功能均采用外挂插件形式实现，因此极易得到丰富的扩充；

□本身作为服务加载，通过配置、修改可以实现隐秘的进程反杀能力。

三、下载及安装

【程序名称】： System Safety Monitor (SSM)

【运行平台】： 几乎所有Windows平台，9X/NT/2000/XP/2003

【版 本】： 2.2.0.602 (2006/12/15)

【软件大小】： 3.9M

【下载地址】：

安装：它的安装跟所有的Windows软件一样，几乎没有什么好说的，一路NEXT便可，如果是正式版的，最后一个对话框要你填入License，不用理，直接点结束便可，然后重启一下系统。重启机器之后，从开始菜单中找到，打开这个System Safety Monitor，然后便开始激动人心的系统安全之旅....

四、软件使用

软件运行之后，会出一个漂亮的绿色的LOGO闪屏：

·Netscreen防火墙简单配置实例·防火墙的安全性分析与配置指南·零起点配置PIX防火墙 六大基本命令·零起点配置PIX防火墙 高级配置·DIY自己的防火墙设备 系统配置篇·全面实战Windows XP防火墙·有效防止盗号 三款主流防火墙横评·如何打造一道超级防御的电脑防火墙·世界排名第一?Comodo防火墙体验·轻松穿越防火墙之利器：Tftpd32

然后就缩小到窗口的最右下角，双击打开：

1、更改界面语言

默认语言界面是英文，为了习惯也为了便于理解，我们先要把界面改为简体中文的：

很简单的操作，现在看着，是不是舒服和熟悉一点了？

2、为当前所有运行的程序添加可信任的规则。

Windows在启动之后，会有很多后台的服务进程启动，我们要为这些进程添加规则，相当于是信任这些程序，以后就不会再询问了。当然，这时的前题是你的机器本身没有中招，没有可疑的程序已经运行了，这个时候，可以把一些不必要的程序都先关了：

切换“进程监控器”，然后在进程处点右键，从弹出的菜单中选择“信任所有运行中的进程”便可。点完之后，我们可以换到‘规则“的选项中，看一下SSM自动建立的规则。对于一般用户来说，这个自动建议的规则已经可以适用绝大部分情况了。至于进程的高级控制部分，我们以后会专门描述。

3、设置系统日志

SSM提供了强大的日志功能，几乎进程做的绝大部分动作都可以记下来，下面切换到“选项”——“日志”：

要选中”启用”，以及“程序启动”，“设置全局挂钩”，“加载驱动”，“模块”，“显示程序日志窗口”等，如果比较熟悉这些，可以根据需要，自己选择。

4、开始启用SSM控制

上面的操作完了之后，已经为当前运行的程序添加了规则，但SSM实际上还没有工作，我们要把它启用。切换到“规则”窗口：

点击那个下拉的小三角箭头，然后选择“启动所有规则”，再点一下那个“应用设定”，关闭窗口便可，基本设置就完了，应该还是挺简单的吧？下面我们来看看具体的效果。

四、系统测试

1、启动未知的进程

如果这个时候，运行一个未知的程序，就会弹出一个窗口，可以显示程序的各种参数，然后让用户确认，比如现在我们打开IE浏览器（假定刚才上面第2步的时候没有为IE设置规则，当然你可以任意选择一个刚才没有运行的程序）：

·Netscreen防火墙简单配置实例·防火墙的安全性分析与配置指南·零起点配置PIX防火墙 六大基本命令·零起点配置PIX防火墙 高级配置·DIY自己的防火墙设备 系统配置篇·全面实战Windows XP防火墙·有效防止盗号 三款主流防火墙横评·如何打造一道超级防御的电脑防火墙·世界排名第一?Comodo防火墙体验·轻松穿越防火墙之利器：Tftpd32

解释一下几个含义：

父进程：是谁启动了这个进程，这里是Exploere.exe，也就是资源管理器。有时我们看到突然弹出一个广告窗口，就可以通过这个办法来观察是哪个进程弹的广告，然后再想办法清除

子级进程：当前要启动的程序，即要执行的程序

允许：只允许这一次运行，下一次还会继续提示

阻止：只阻止这一次运行，下一次还会继续提示

创建此规则的永久性规则：针对上面的这个允许或者阻止操作，比如这个IE，我们不可能每次都去点允许，那个太烦了。选择之个之后，就会自动增加一个规则，以后就照这个规则来处理，不会每次提问。

技术信息：执行进程ID，以及进程的路径，参数等。这样你可以知道哪个程序要运行，然后决定它是否是合法的，有用的。

2、拦截移动硬盘U盘的Autorun病毒

现在用移动硬盘或者U盘的越来越多，也很普遍，但是经常我们不知不觉就