技术信息：执行进程ID，以及进程的路径，参数等。这样你可以知道哪个程序要运行，然后决定它是否是合法的，有用的。

　　2、拦截移动硬盘U盘的Autorun病毒

现在用移动硬盘或者U盘的越来越多，也很普遍，但是经常我们不知不觉就在传染着病毒，它主要利用了Windows提供的根目录下的autorun.inf这个文件的特性，它就是指定了一个可执行的命令，因为是自动运行，隐蔽性很强。一般因为是熟人拿过来或者是同事同学之类的，根本防不胜防（天知道这个时候，那些杀毒软件在干嘛，大部分时候都查不到的）。下面就做这一个测试，把有毒的U盘挺入，马上跳出来一个提示：

父进程rundll32.exe是一个Windows的合法程序，但是每多病毒都是通过它加载的，强烈建议不要为它设定永久性允许规则！它要运行一个H:setup.pif这个进程，一看就是一个可疑的，点“阻止”，中止它的运行。再打开U盘，显示一下隐藏文件，果然有一个autorun.inf文件和setup.pif文件，经检查，就是一个隐藏的病毒。

3、恶意篡改主页

在我的BLOG中，针对飘雪/飞雪/MY123之类专门修改IE浏览器首页的，相信大家也记忆深刻，恨之入骨。当然，SSM也提供了对所有注册表敏感键值的保护，下面我们做一个测试，比如现在中了一个BHO的插件，因为没有单独的进程，它是利用IE来修改首页的，马上SSM就拦截了：

这个时候，我们就可以点阻止，来拒绝对这个注册表健值的更改，成功地保护了系统首页。

4、恶意捆绑软件测试

常常最头疼的，就是网上下载的软件，被捆绑了许多恶意插件，用的时候，一不小心就是中上了，无论你再小心都不行，象卖拐中的那句： 防不甚防啊！我现在装所有的软件的时候，都会把SSM打开，除非是一些绝对信任的。做这一个测试，是有风险的，直接在自己机器上装病毒（有时想找这类软件，还不容易，晕）：

这个程序运行的时候，首先释放到temp目录下，然后写自启动，让机器下次自动启动：

接下来运行另外一个流氓软件安装：

接下来再运行一个安装：

接下来。。。一共点了七八次，其实根本就是一个病毒软件包，捆绑了七八个恶意软件，如果没有SSM，那后果就是很惨.....看到光标不停地闪，机器就得非常慢，然后广告窗口接二离三地弹出来——相信这个遭遇很多人都遇到过。

 

上一页  [1] [2] [3] [4] [5] 下一页