精品无码国产一区二区三区A_ SSM“AD”模塊中級教程——組和權限類(lèi)別升級設置（高級篇）

SSM“AD”模塊中級教程——組類(lèi)別升級設置（高級篇）
原創(chuàng )作者： Oceanzd
[卡飯首發(fā)]SSM“AD”模塊中級教程——組類(lèi)別設置（初級篇）
http://www.kpfans.com/bbs/viewthread.php?tid=55441&extra=page%3D1
QUOTE:
寫(xiě)作原因：還是因為那幾位會(huì )員（yzt1004，16734994等）的原因而寫(xiě)的，并且解釋清楚SSM各類(lèi)權限的意思，以進(jìn)行“授之以漁＋授之以魚(yú)”的教程配合了～～
實(shí)際上，自己也是為了練一練手吧～～～
QUOTE:
測試版本：
SSM 收費版 2.3.0.612，使用半年注冊碼
這次的分組名稱(chēng)和賦予的權限都有改變，但是大部分的還是一樣的。分組明確更明確的話(huà)安全性會(huì )更提高，也易于找到程序，順便學(xué)習一下各類(lèi)程序的應用等。非核心系統文件的分界更明顯了，這樣的話(huà)包括一些容易被木馬等利用的進(jìn)程（Svchost.exe，Explorer.exe等）的權限和管理就會(huì )和其它的程序分離開(kāi)來(lái)。當然一些會(huì )員會(huì )想，單獨設置也很方便呀，為什么這樣弄呢？這個(gè)我也不好說(shuō)，可能是我的性格所致吧，要把東西分類(lèi)的整整齊齊（就像我的文件夾分類(lèi)……）。

總之，此帖僅供參考，很多規則還需要靠自己的能力來(lái)進(jìn)行修改和添加。我只會(huì )講述部分實(shí)例而已，并且會(huì )講解SSM的權限意義，這樣自己制定起來(lái)會(huì )更明白設置的意義。

QUOTE:
日志：

程序啟動(dòng)：是否記錄程序啟動(dòng)的日志。
程序終止：是否記錄程序終止的日志。
進(jìn)程間的活動(dòng)（DLL注入等）：是否記錄包括創(chuàng )建新的線(xiàn)程或者遠程線(xiàn)程等的日志。
系統控制：是否記錄操作系統函數的日志。
設置全局掛鉤：是否記錄關(guān)于A(yíng)PI等被全局掛鉤的日志。
加載驅動(dòng)：是否記錄程序加載sys驅動(dòng)的日志。
注意：一些人不知道程序啟動(dòng)的設置位置，可能會(huì )將“日志”選項曲解為“直接控制程序”的設置區，這個(gè)區只是為了記錄日志的，但是為什么也要分類(lèi)是否記錄日志呢？我也只是為了分類(lèi)明確而已。

系統控制：

允許物理內存存?。簺Q定是否在內存寫(xiě)入緩存（包括線(xiàn)程等），0線(xiàn)程意味著(zhù)這個(gè)進(jìn)程雖然存在，但是沒(méi)有存在的價(jià)值。
底層磁盤(pán)讀?。郝赃^(guò)不講（大家都清楚）。
允許關(guān)閉系統：決定此程序是否允許調用ShutDown函數關(guān)機。
底層鍵盤(pán)讀?。河脕?lái)監控keylogger的。
代碼注入/DLL 注入：

允許遠程代碼控制：決定是否允許第三方程序對一個(gè)程序的代碼嵌入控制（包括一些Windows主題等，關(guān)聯(lián)DLL）。
允許遠程數據修改：決定是否允許第三方程序對一個(gè)程序的嵌入代碼行為（關(guān)聯(lián)“代碼”）。
掛起線(xiàn)程/進(jìn)程：決定是否允許第三方程序對一個(gè)程序的注入型監視，用來(lái)檢查程序的發(fā)生行為（包括調試程序）。
進(jìn)程控制：

若被終止則重啟進(jìn)程：題目說(shuō)得很清楚了。
不驗證效驗和：即不驗證MD5，有很大風(fēng)險，但是適合經(jīng)常升級自身的程序。
斷開(kāi)用戶(hù)界面時(shí)阻止：即禁止了后臺運行，用戶(hù)的窗口必須可見(jiàn)。
檢測命令行參數：決定了此進(jìn)程可以調用的程序或者自己本身被其它父進(jìn)程調用。
終止其它進(jìn)程：題目說(shuō)得很清楚了。
保護：題目說(shuō)得很清楚了。

網(wǎng)絡(luò )：略過(guò)。

選項：保護規則不被刪除。

新增組設置：

圖片附件
:
1.PNG
(2007-2-26 08:16, 20.62 K)

在原有的基礎上添加了Cmd Run和Child App。原來(lái)的System(about)分化成了Common System App，System App(ask for connect)，System App(Deny to connect)。

圖片附件
:
2.PNG
(2007-2-26 08:16, 9.21 K)

Common System App里面的程序列表。當然不止這幾個(gè)程序，我只是列出了幾個(gè)很典型的程序而已。這里的程序都是會(huì )被大部分病毒注意和常用的系統程序。權限上的限制和要求很高。

圖片附件
:
3.PNG
(2007-2-26 08:16, 13.32 K)

我設置的權限制定。一般來(lái)說(shuō)最好打開(kāi)“命令行參數”一條，雖然會(huì )更加繁瑣，但是安全性會(huì )大大增強。

圖片附件
:
4.PNG
(2007-2-26 08:16, 34.41 K)

父子級設定。必須打開(kāi)大量的問(wèn)號，因為我們不能確定DLL木馬或者EXE木馬的調用意圖，有可能會(huì )雙層注入調用。一些組的程序不能作為這個(gè)組的程序的父程序，以防止虛擬調用。

圖片附件
:
5.PNG
(2007-2-26 08:16, 8.84 K)

這里是System App(ask for connect)的設置組。包括了極少量的需要聯(lián)網(wǎng)，相對安全，個(gè)人用戶(hù)能用到的系統程序。

圖片附件
:
6.PNG
(2007-2-26 08:16, 13.44 K)

我的權限設置。

圖片附件
:
7.PNG
(2007-2-26 08:16, 34.18 K)

父子級設置。和Common那個(gè)一樣，實(shí)際上這類(lèi)需要聯(lián)網(wǎng)的程序都會(huì )限制的比較嚴的。

圖片附件
:
8.PNG
(2007-2-26 08:16, 32.68 K)

這里是System App(Deny to connect)的設置組。包括了大量不需要聯(lián)網(wǎng)的系統程序（包括計算器等）。

圖片附件
:
9.PNG
(2007-2-26 08:16, 14.04 K)

這里的權限看起來(lái)和聯(lián)網(wǎng)的一樣，控制的比較嚴，但是這里的程序大部分也不需要很多權限，所以就如此設置。

圖片附件
:
10.PNG
(2007-2-26 08:16, 35.26 K)

由于不聯(lián)網(wǎng)，不確定性會(huì )減少很多，在父子級里面的嚴格控制會(huì )更多。

圖片附件
:
11.PNG
(2007-2-26 08:16, 13.47 K)

這個(gè)是Cmd Run的權限。為何權限要求很?chē)滥?？因為這里的程序只能被Cmd調用，命令行里的命令也不會(huì )或者很少牽扯系統文件，所以很多關(guān)聯(lián)都給禁止了。

圖片附件
:
12.PNG
(2007-2-26 08:16, 34.81 K)

先設置成都禁止（除了核心系統和Trusted的之外）。

圖片附件
:
13.PNG
(2007-2-26 10:54, 8.81 K)

然后在Common System App打開(kāi)Cmd和Svchost的父程序權限。為什么要打開(kāi)Svchost呢？因為Svchost會(huì )一直監視并且會(huì )打開(kāi)任何正在執行的程序的線(xiàn)程，否則不能確定程序，必須打開(kāi)。

圖片附件
:
14.PNG
(2007-2-26 08:16, 10.18 K)

這里是Child App的設置組。為什么叫Child App呢？因為這些程序只會(huì )作為子程序運行，不會(huì )調用其它程序。當然這類(lèi)程序很少，所以要求很?chē)?，加入以前要仔細了解此程序的運行方案。

圖片附件
:
15.PNG
(2007-2-26 08:16, 13.37 K)

我設置的權限。這類(lèi)程序的權限需要一般很少（因為不作為父程序，不需要“調用”等權限）。

圖片附件
:
16.PNG
(2007-2-26 08:16, 35.42 K)

父子級設置。將“其它程序作為子級”全部設置為“禁止”。父程序就要自己看看此程序的屬性了，如圖片里的TT升級程序，就要禁止所有其它的程序做為父程序（除了核心系統進(jìn)程，殺軟，TT瀏覽器和Svchost外）。
典型系統文件的SSM設置：

圖片附件
:
17.PNG
(2007-2-26 08:16, 34.58 K)

rundll32.exe的父子級設置。禁止不需要的程序的調用，但是子程序不能控制，因為rundll32經(jīng)常會(huì )調用一些可執行程序（如應用“控制面板”）。

圖片附件
:
21.PNG
(2007-2-26 08:16, 14.26 K)

regedit.exe的權限設置。禁用不必要的權限。

圖片附件
:
18.PNG
(2007-2-26 08:16, 35.14 K)

先禁用所有程序作為父程序和子程序（regedit不需要調用任何程序）。

圖片附件
:
19.PNG
(2007-2-26 08:16, 35.05 K)

然后在分組來(lái)開(kāi)啟Explorer.exe的啟動(dòng)權限。

圖片附件
:
26.PNG
(2007-2-26 08:16, 21.08 K)

注冊表修改改成“Unrestricted”（無(wú)限制的）。

圖片附件
:
20.PNG
(2007-2-26 08:16, 14.23 K)

svchost.exe的權限設置。

圖片附件
:
22.PNG
(2007-2-26 08:16, 35.17 K)

svchost.exe的父子級設置。拒絕所有程序作為父程序，然后在子程序勾選部分可靠的組，因為Svchost.exe需要對任何進(jìn)程開(kāi)啟線(xiàn)程（特別是Explorer.exe）。

圖片附件
:
27.PNG
(2007-2-26 08:16, 24.86 K)

svchost.exe的注冊表設置，列出了經(jīng)常需要用到的注冊表應用。建議對照添加和修改。

圖片附件
:
23.PNG
(2007-2-26 08:16, 14.96 K)

Explorer.exe的權限設置，包括經(jīng)常應用的“進(jìn)程間活動(dòng)”（太常見(jiàn)了，不舉例子了），“關(guān)閉系統”（平常的開(kāi)始關(guān)機都是Explorer.exe調用函數的）和“終止其它進(jìn)程”（也很常見(jiàn)，你關(guān)閉窗口都算是Explorer.exe的）。

圖片附件
:
24.PNG
(2007-2-26 08:16, 34.72 K)

父子級設置。因為很多程序會(huì )反調用Explorer.exe（包括打開(kāi)窗口），所以就設置成了“？”。大部分的程序都是Explorer.exe直接啟動(dòng)的，所以大部分的都設置成勾號。殺軟也勾上了，但是部分進(jìn)程是以服務(wù)（services.exe）來(lái)啟動(dòng)的，需要單獨設定。

圖片附件
:
25.PNG
(2007-2-26 08:16, 35.28 K)

最后在Common那里詳細的設置一下。允許這些程序以Explorer的子程序啟動(dòng)或者其它操作。

圖片附件
:
28.PNG
(2007-2-26 08:16, 35.64 K)

舉一反三：ping.exe的父子級設置。只允許核心系統進(jìn)程，殺軟，cmd和Svchost.exe來(lái)充當父程序。

圖片附件
:
29.PNG
(2007-2-26 08:16, 13.48 K)

小試一局：dwwin.exe（Windows自帶調試程序）的權限設置。作為調試程序肯定要打開(kāi)遠程控制，掛起線(xiàn)程，終止其它進(jìn)程的權限。

圖片附件
:
30.PNG
(2007-2-26 08:16, 36.2 K)

實(shí)驗一個(gè)，關(guān)于設定子進(jìn)程。以UE里面UnRAR.exe來(lái)作實(shí)驗（因為只需要一個(gè)主父進(jìn)程）。首先禁止所有的父進(jìn)程（不包括核心系統進(jìn)程和殺軟）。

圖片附件
:
31.PNG
(2007-2-26 08:16, 36.44 K)

然后先設置cmd和svchost允許調用（cmd調用為此程序必須，但是其它的程序需要靠自己的判斷和經(jīng)驗）。

圖片附件
:
32.PNG
(2007-2-26 08:16, 37.79 K)

然后設置允許主程序UE調用。

圖片附件
:
33.PNG
(2007-2-26 08:16, 14.39 K)

taskmgr.exe的權限設置。允許關(guān)閉系統（一般為無(wú)法正常關(guān)機時(shí)使用）和終止其它進(jìn)程（這是必備的功能）。

圖片附件
:
34.PNG
(2007-2-26 08:16, 36.33 K)

父子級設置。先將父程序全部都禁止（除了核心系統進(jìn)程和殺軟）。子程序為了方便結束進(jìn)程，直接全部允許。

圖片附件
:
35.PNG
(2007-2-26 08:16, 36.9 K)

一般我們只需要用快捷鍵，也就是Explorer.exe來(lái)開(kāi)啟taskmgr.exe。所以我們只要將Explorer和Svchost作為父程序就行了，其它的都禁止。

圖片附件
:
36.PNG
(2007-2-26 10:54, 24.06 K)

關(guān)于“命令行參數”的設定：
一些人會(huì )問(wèn)，到底程序的啟動(dòng)是在哪里控制的呢？找了半天都找不到，實(shí)際上是在“命令行參數”里面設置的。
關(guān)于“命令行參數”，就包括“％s”“-Embending”等，但是在這里比較常見(jiàn)的就有文件路徑了，如：X:\Program Files\Acdsee 8\Acdsee.exe E:\ssm.jpg。在手動(dòng)設置的時(shí)候，很多人將X:\Program Files\Acdsee 8\Acdsee.exe也加進(jìn)去了，所以會(huì )發(fā)現無(wú)效，實(shí)際上中間有個(gè)空格，空格后面的才是參數，很多人都看錯了。那么只有一個(gè)路徑X:\Program Files\Acdsee 8\Acdsee.exe，沒(méi)有空格和后接參數怎么辦呢（在直接啟動(dòng)SSM規則里沒(méi)有的主程序時(shí)）？那么就是留空，如圖。里面的“允許”和“阻止”就是決定是否以此參數來(lái)啟動(dòng)程序了。
至此，SSM的組類(lèi)別設升級置（高級篇）就結束了。一些地方可能會(huì )有不完善甚至錯誤的地方，盡管拍磚，我會(huì )盡快的改正的。
這樣的設置實(shí)際上不難的，就要靠自己的經(jīng)驗和對系統了解的水平，而且我已經(jīng)盡量的簡(jiǎn)化和平?；恼Z(yǔ)言了，希望大家理解。在這里單獨設置規則和命令行參數是一個(gè)重點(diǎn)，希望大家重點(diǎn)看這里（雖然關(guān)于“命令行參數”的內容不多）。也要糾正一些用戶(hù)的規則曲解問(wèn)題。
這次就不在圖片上設置“Oceanzd 原創(chuàng )”了，但是希望大家轉貼的時(shí)候注明來(lái)源和作者。

本站僅提供存儲服務(wù)，所有內容均由用戶(hù)發(fā)布，如發(fā)現有害或侵權內容，請點(diǎn)擊舉報。

欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久