中华网络安全联盟    作者：baohe    来源：卡卡社区    时间：2006-9-24

隐蔽性较高、插入正常进程运行的木马/后门越来越多。遇到这类木马，有时用杀软也不能立即搞掂。怎么办？
我的习惯是用SSM解决问题。
SSM的全称为：System Safety Monitor，即：系统安全监控器。这个工具已经是“多国语言”版，支持简体中文。
SSM的使用确实比PG稍复杂些，但还算一个简单、易用的工具。如果你的IQ高于正常人，半天就能学会SSM的使用；如果你的IQ在“普通人”的水平，2－3天也能掌握它；如果你的IQ略低于“普通人”的水平，但还不属于“弱智”，花一周左右的时间，也能用它解决一些常见的问题了。
不少人不会（或不善）用SSM解决问题，其实不是其IQ偏低，而是“懒惰成性”，总是指望用杀软一下就将木马灭掉。这个帖子不是给这类人看的，我也不打算与这类人辩论“杀软是干什么的”、“XX杀软是否垃圾”、“如何向杀软商索赔”等问题。如果你将SSM理解为“运行后就能杀死那些该死的病毒/木马”的工具，那么，您就大错特错了。SSM根本就不是杀软！对于那些不愿意自己动手的的人，这个工具基本没用。还是早早卸载了好。

下面，以一个较隐蔽的后门为例，说明用SSM搞掂它的具体过程。

这个后门运行后，SSM并不能发现其文件创建、注册表改动等行为。但是，SSM的进程列表中可发现异常的浏览器进程和异常DLL模块加载（图1）。我用OPERA浏览器，但此时，OPERA并未打开。
遇到这类怪事，应追究具体原因。
右击这个DLL，查看其“属性”（图2）——更加可疑（正常的文件都有“版本”标签，而它没有！）；文件创建日期也是最近的。
右击SSM“规则”面板，自己添加一条规则，禁止这个DLL加载运行。
添加上述规则时，意外发现同一路径下还有一个server.exe文件（图3），创建日期与上面那个DLL相同。再添加一条规则，禁止server.exe加载运行。
规则添加完后，务必点击面板下方的“应用设定”（图4）。否则，你就瞎忙活了！
还要核实一下图5所示的复选框是否勾选了（需勾选）。
下一步：将SSM设置为“自动启动”（图6），也就是“系统启动时，SSM自动加载运行”。
最后，重启系统，这个后门就被废掉了。尽管后门的.exe、.dll文件还未删除，注册表项也未清理；但只要你的SSM能随系统启动加载运行，这个后门已经没用了。
至此，只剩下了打扫垃圾的问题了。自己清扫一下，就全部搞掂了。

图1

图2

图3

图4

图5

图6