安全 俄羅斯系統監視器應用手冊

不少讀者對System Safety Monitor(以下簡稱為SSM)高度興趣。它是一款俄羅斯出品的系統監視軟體，通過監視系統特定的檔案(如註冊表等)及應用程式，達到保護系統安全的目的。在某些功能上比我們之前介紹過的Winpatrol更強大。　

　　安裝並啟動(可能需手動到安裝目錄中運行SysSafe.exe)SSM後，點擊彈出的LOGO視窗中的Close this windows(關閉視窗)項，關閉該視窗。這時SSM已經啟動，並開始進行監視，我們可以在系統托盤內看到軟體表徵圖。

　　SSM貼身保護你的Windows

　　SSM既然自稱System Safety Monitor(系統安全監視器)，那麼就要看看SSM的拿手絕活。

　　小提示

　　讓它隨Windows一同啟動

　　只有讓SSM隨時啟動才能起到監視和保衛系統安全的功效，因此要設定讓其自動隨Windows一同啟動。右擊系統托盤的軟體表徵圖，選擇Preferences(參數選項)，開啟System Safety Monitor - Preferences視窗，點擊Options(選項)標籤。確認左側所選為General(常規)，然後將右側SSM Startup mode(SSM啟動模式)項修改為Start automatically as aservice(以服務形式載入)(見圖1)。

　　 1.開啟SSM的監控

　　第一步:開啟System Safety Monitor - Preferences視窗，點擊Plugins(外掛程式)標籤。

　　第二步:確認Enable Plugins(啟用外掛程式)項已被勾選，這時SSM可以對Start Menu(“開始”菜單中的啟動組)、Services(載入的系統服務)、Registry(註冊表啟動項)、INI Files(系統INI檔案)及IExplore(IE)實施全方位監控(見圖2)。

　　 2.任意添加監控項目

　　相比我們以前強烈推薦的Winpatrol，SSM更優秀之處在於可以“自訂”，比如想讓SSM監視一個註冊表中[HKEY_CLASSES_ROOT\.abs]下“預設”鍵的索引值改動，你可以手工添加。

　　第一步:同樣是在Plugins標籤下，在視窗右側選擇Registry→Configuration。

　　第二步:在右側邊窗格中右擊，選擇Add new item(添加新項目)，在快顯視窗的Path中輸入HKEY_CLASSES_ROOT\.abr，在Name中輸入“預設”，在Value中輸入“預設”鍵索引值的，即Photoshop.BrushesFile，在Value type下選擇0 String即可。

　　第三步:設定完成後，當該索引值被修改後，SSM就會彈出警告視窗(見圖3)，按F2鍵可阻止修改，按F3鍵同意修改。

　　對一個索引值的修改已經如此，對於那些網路病毒就更能輕鬆解決。筆者曾用“證券大盜”等多款病毒對SSM進行測試，它都能輕鬆應對。

　　功能強大的程式監控

　　SSM另一強大而有用的監控就是應用程式監控，它能監控程式開啟過程的一舉一動。並且不管這個程式是以何種方式開啟，無論是使用者雙擊直接開啟，還是由其他程式間接開啟，甚至是由於系統漏洞而被悄悄執行的錯誤程式(包括病毒)，也不管這個程式是何種格式(EXE/DLL等)，SSM只要發現有新程式被開啟，均會報告使用者，最終由使用者決定該程式是否運行。

　　1.實戰SSM的程式監控

　　現在很多軟體的安裝程式，在給使用者安裝軟體的同時，還會“預設”安裝一些使用者不需要的東西(廣告/外掛程式等)。一旦你安裝了這種軟體就同時在不知情之下往硬碟“塞垃圾”。這時，SSM就能發揮攔截作用了。

　　SSM預設是未開啟程式監控，需要使用者自行開啟，方法很簡單，只要右擊系統托盤內軟體表徵圖，選擇Watch App Activity(監視應用程式)即可。

　　筆者再運行含有廣告外掛程式的軟體，如“QQ自動聊天器”，在安裝時除了原程式，SSM提示還有新程式想運行(見圖4)。

　　在這裡，SSM的程式監控對於程式開啟提供五個不同的選擇。所對應的快捷按鍵分別是F1到F5，每項都各有含義:F1是“總是允許”，F2是“總是阻止”，F3是“只允許系統管理員，不包括其他使用者”，F4是“只允許這一次”(預設選項)，而F5是“只阻止這一次”，而這裡自然要按F2或F5。

　　之後繼續安裝，但居然又出現了廣告外掛程式，自然使用相同方法將其攔截即可。

　　如果是病毒，SSM也同樣不含糊:筆者空閑時也喜歡下載電子書看看。但如果下載下來的電子書是夾帶了病毒，並且防毒軟體沒有檢測到怎麼辦？

　　不要緊，還有SSM。前段時間筆者從網下載了EXE格式的電子書，開啟該電子書後，SSM的程式監控很自然請求使用者選擇，由於是要看書，所以是選擇F1、F3或F4通過啦，可是令人意外的是，又彈出SSM的警告，還有程式要運行，書開啟了，自然是有問題，不管好壞先按下F2或F5阻止運行。

　　後經過分析發現原來這本電子書使用了加殼處理，並綁定了病毒，雖然繞過了病毒防火毒，但SSM是從不會讓你失望的。

　　小提示

　　在4所示介面中點擊Scan項，可啟動殺毒軟體對程式進行殺毒。但要注意需要先在SSM中設定好殺毒軟體目錄，否則，這裡會顯示Locate。殺毒軟體佈建方法如下:開啟System Safety Monitor - Preferences視窗，點擊Options項，在視窗左側點擊Misc，然後在視窗右側的Antivirus中設定即可(見圖5)。

　

　　2.添加修改應用程式規則

　　如果希望針對不同的程式設定不同規則，可以在SSM中進行詳細設定。

　　第一步:開啟System Safety Monitor - Preferences視窗，點擊Application Rules(應用程式規則)標籤。

　　第二步:這裡列出了所有正在啟動並執行程式，然後將Rule(規則)預設的Allowed(F3)修改為Blocked(F2)則會阻止該程式運行。

　　第三步:雙擊程式，可開啟針對該程式的進階規則設定視窗，可進一步設定該程式是否能被其他軟體所調用或是調用其他軟體(見圖6)。

　　 小提示

　　 SSM在監控之外

　　★“黑名單”功能:如果不想別人使用你的MSN Messenger及Outlook Express，可以開啟System Safety Monitor - Preferences視窗，點擊Windows標籤下的Filters項，添加上“MSN Messenger”(不含引號)及“收件匣 - Outlook Express”(不含引號)兩項，再右擊系統托盤SSM表徵圖，勾選Filter windows captions(視窗標題過濾)項。

　　這樣兩個程式只要一開啟就馬上消失掉。你可根據自己的需要將其他程式視窗標題列填到這裡即可。

　　★匯出設定檔:點擊System Safety Monitor - Preferences視窗中Service標籤下的Save current config file as備份你的設定檔，以便升級或重裝時使用