林海谐缘论坛 » 精品软件下载 » SSM也能杀毒，你知道吗？ *^-^* [原创+纪念解禁]

minaya 发表于 2007-5-3 18:50

SSM也能杀毒，你知道吗？ *^-^* [原创+纪念解禁]

[color=#FF0000]SSM，相信大家看到这个缩写已经很熟悉了吧~
HWv\7T@ 我们都知道SSM是一款“系统防火墙”软件，作用主要用于“防患于未然”，但是如果你的系统已经中招了，我们一般认为SSM就没有什么“清除病毒”的作用了。t&aL!@ u?&oNi8}

G9kFemEt 其实不然，SSM不但可以防患于未然，而且还可以治患于现在！嘿嘿~听我道来~[/color]

E2^|)[4J,gw^!~
Qn%W?P.eb T 由于网管的疏忽，网吧中了‘VIKING’‘围巾’病毒，呵呵，名字很好听吧~但是也不知道是哪一个变种，用金山和瑞星以及一些其他的清除还原工具均无法清除病毒，也无法还原原程序，估计是最新的变种或修改版吧~正在郁闷之际，我想到了SSM，我想中了病毒的程序依然可以运行，只不过是在运行之前先运行了病毒，这说明原来的程序应该是被病毒加载了，而SSM是可以看清楚程序和程序之间的启动关系的，那么SSM能不能看到围巾病毒的运行流程呢？我准备试一试。 kUu"a:HHu

Fw:Ym!^&}0I 由于网吧系统是启动还原，所以我重新启动了一次，然后运行SSM，此时系统是干净的，但是只要运行了任何游戏或者****软件，因为他们都在未还原的D盘，所以病毒就会跟着执行。我进入了一个单机游戏做测试，打开游戏启动程序，这时候SSM有提示了：加载"*.SYS"驱动，*不一定是什么，它是随机变化的文件名，因为我清楚一般游戏启动是不会加载这种驱动的，即使是受Nprotect保护的网络游戏，也只加载固定的SYS，而不是随机变化名称，所以断定加载这个SYS一定是病毒所为，当然SSM里选择拒绝！J"bS5P['z P:`P/{
紧接着，IE浏览器提示修改内存，这个有些奇怪，IE为什么修改内存，我并没有启动IE，所以值得怀疑的一步，一样选择拒绝！
Un~*tt(L 在此时，其实病毒已经和原程序分离了，但是SSM会接着给出很多提示"LOGO_1.EXE要修改内存"之类的，全部选择永远拒绝！C"@.q$s%mm
被围巾病毒感染的程序，图标会呈现“白脸”，我们此时观察一下程序所在的游戏目录，相同的程序名称的游戏程序已经由“白脸”变成了原程序图标，而且大小也由大变小了100多KB，这说明围巾病毒已经不在程序里边了。但记得，进程里的LOGO_1.EXE虽然没有发挥作用，但是一定要结束它！,T*wn"G;[%t,Rys
用同样的方法我将其它围巾病毒全部清除干净！！！$W5C!|h!e g|

tMc0_V [color=#FF0000]原理总结：[/color]
V9l9c!ty
d/c? 1.类似围巾这样附着于程序的病毒，在运行前会将病毒与原程序分离，但是这个过程我们用肉眼是看不到的，只有利用“系统防火墙”这样的软件来进行判断。%K4JF#h)^4r;U]3tf*?
2.在病毒与原程序分离后，原程序会被病毒加载，为了不至于加载时出现错误，所以一般病毒都会将原程序分离至原目录或者内存里。wms(o'D/xm3e6p
3.加载完毕后病毒会删除原程序，或者将其改名，我们可以利用SSM或者其他系统防火墙软件来禁止这种操作。+\7I~9_B#s+Yx.v"e

5o;o;[bjm1}d$p [color=#FF0000]扩展想法：[/color]
;b]8MO#E H 1.熊猫烧香以及网络猪等这种类似围巾的病毒我们可以利用相同的方法应该可以清除，因为我没做过实验，所以不能断定一定行，但是只要和围巾原理一样的病毒似乎都可以利用这种方法。
S}s,L}
g 2.在清除很多病毒的时候我们可以在SSM里定制规则，比如围巾，可以定制不允许程序加载任何SYS(SSM里好象没有这项功能，那么试试TINY吧，呵呵)，不允许IE修改内存，禁止规则里的程序自动关闭(用来自动关闭LOGO_1.EXE)，这样再用搜索把所有*.exe搜索一遍，再狂点一遍(小心内存不够死机)，OK，病毒全部清除！！！
#i2y5^8N!M t&@D FYH%t{@b}
[color=#FF0000]嘿嘿，祝大家工作愉快！！[/color]

zy7786879 发表于 2007-5-3 19:07

[s:26]
'pl1oF6_Y 正打算研究研究这个东西！

liufenke 发表于 2007-5-4 01:02

  猪..厉害哟..哈哈..原来是这样的呀..嘿嘿.. [s:24]

darkworm 发表于 2007-5-4 13:39

[s:26] 不错。又学了一招

iqncompe 发表于 2008-12-17 12:34

小生对楼主之仰慕如滔滔江水连绵不绝,海枯石烂,天崩地裂,永不变心.   

xxyymn 发表于 2008-12-24 17:05

学习一下。感谢分享。

yurant 发表于 2008-12-27 16:45

[b] [url=http://www.linwan.net/redirect.php?goto=findpost&pid=207466&ptid=54769]1#[/url] [i]minaya[/i] [/b]4He4D2~`VvDAPk
这个方法不是清除病毒，只是设置了规则

zqiang0929 发表于 2008-12-29 17:56

曾经用过 觉得太麻烦了

zilove 发表于 2009-1-2 13:29

ＳＳＭ　　学习可。　．．．

jjjackup 发表于 2009-1-2 17:15

感谢分享。
{COYV r\P/m-c
t
[table=80%,#FFFFFF][tr][td][size=9pt][发帖际遇]: [url=http://www.linwan.net/event.php]jjjackup贩卖土豆, 不小心赚到佣金缘币4元.
l6KD%c0E;V Av [/url][/font][/td][/tr][/table]

鸭过无痕 发表于 2009-1-3 17:14

**** 该会员因违反林海谐缘论坛版规被禁止或删除 内容自动屏蔽 ****

ioiokoko2002 发表于 2009-1-7 01:52

感謝大大分享

查看完整版本: SSM也能杀毒，你知道吗？ *^-^* [原创+纪念解禁]