查看: 36837|回复: 184
收起左侧

[原创文章] 天琊超级进程监视器防护系统教程(39楼后面有相关内容)6.11日更新程序

  [复制链接]
天月来了
发表于 2009-3-19 16:07:58 | 显示全部楼层 |阅读模式
本帖最后由 天月来了 于 2010-6-15 07:49 编辑

今天我们终于可以向网友们推荐这个小程序了。它已经完成基本的功能了。用于上网时监控系统内进程活动,可以阻止浏览器后台运行病毒程序,其主体核心就是监控----已经运行的程序去启动规则外的程序---的行为,它的简易和方便性,是其他软件所没有的。菜鸟们也能慢慢的在无忧无虑的情况下使用它,学习HIPS软件的进程监控,也就是AD部分的基础性初级东西。因为不论你怎么折腾它,都不会导致你的系统出问题,完全可以放心体验。如果你放弃这个工具的体验,就真的太可惜了。因为这是目前系统进程监视软件中唯一免费的、免安装的、对系统无任何危害的程序了。

最终版附件下载(右键选择“目标另存为”下载)本链接不支持迅雷等下载工具下载:
附件: 超级进程监视器最终版.rar

这是它的主人的原贴,欢迎浏览并下载使用:
http://bbs.kafan.cn/thread-440640-1-1.html

这个工具的特点是:

1、免安装,删除后不影响原系统。
2、体积小巧,操作简单。可以做好基础规则后,任意复制到其他电脑中继续使用,包括密码都是可以延续使用的。
3、规则的添加也简单易操作,定制灵活。
4、一定程度上可以较好的阻止病毒运行。

       只是我们使用它需要有一定的系统基础知识和反病毒的基础性知识才行。否则我们一开始初期使用的时候,可能会将一些危险的东西加入白名单内,导致阻拦网页病毒不足。同时本程序还可以监控并阻止移动存储设备内的病毒主体运行。

       现在我们就说说它的详细使用,纯监控进程活动的(只是以2000系统和xp系统来讲解,其他系统大致类似):

一、系统基础性知识了解:

在任何一个能看详细进程的工具内可以看到,2000系统和xp系统有下面的基础进程:

%ProgramFiles%\Internet Explorer\IEXPLORE.EXE
%SystemRoot%\system32\hidserv.exe
%SystemRoot%\system32\regsvc.exe
%SystemRoot%\system32\MSTask.exe
%SystemRoot%\System32\WBEM\WinMgmt.exe
%SystemRoot%\system32\hkcmd.exe
%SystemRoot%\system32\internat.exe
%SystemRoot%\SYSTEM32\SMSS.EXE
%SystemRoot%\SYSTEM32\CSRSS.EXE
%SystemRoot%\SYSTEM32\WINLOGON.EXE
%SystemRoot%\SYSTEM32\SERVICES.EXE
%SystemRoot%\SYSTEM32\LSASS.EXE
%SystemRoot%\SYSTEM32\SVCHOST.EXE
%SystemRoot%\SYSTEM32\SPOOLSV.EXE
%SystemRoot%\SYSTEM32\CTFMON.EXE
%SystemRoot%\SYSTEM32\ALG.EXE
%SystemRoot%\EXPLORER.EXE
%SystemRoot%\system32\userinit.exe
%SystemRoot%\notepad.exe
%SystemRoot%\system32\notepad.exe

%SystemRoot%是环境变量,就是C:\Windows文件夹,2000系统内是C:\WINNT文件夹。

上面这部分系统进程,我们都需要加入白名单的。这只是为了一些安全考虑而已。

%ProgramFiles%\Internet Explorer\IEXPLORE.EXE这个的加入不用说了,我们上网时的浏览器嘛。

%SystemRoot%\notepad.exe
%SystemRoot%\system32\notepad.exe

这二个的加入,是因为我们需要使用计事本打开本程序的数据文件Run.dat进行初期的规则编辑。

二、反病毒基础知识的了解:

那么下面我们要说规则编辑中以及将来使用本程序中必须永远强记的安全基本原则,在这两个Windows系统内下面的几个程序我们永远不能将他们加入白名单的,涉及到它们的所有正常进程行为提示,只能选择“信任命令行”

%SystemRoot%\system32\cmd.exe
%SystemRoot%\system32\Command.com
%SystemRoot%\system32\Wscript.exe
%SystemRoot%\system32\Cscript.exe
%SystemRoot%\system32\mshta.exe
%SystemRoot%\system32\rundll32.exe


这完全是因为上网时的安全考虑,以及防护U盘内病毒运行的基本的需要:

其中:
cmd.exe是Windows 操作系统的命令行控制台程序。
保护后,默认任意程序无法直接启动 cmd.exe,防止被恶意程序后台利用。

Command.com是兼容 Windows 16 位的命令行处理器。
保护后,默认任意程序无法直接启动 Command.com,阻止其被恶意程序利用。

Wscript.exe是 Windows 系统的脚本解释器,用于执行 VBScript 和 JScript 脚本。恶意程序会利用 Wscript.exe 启动其它程序对系统进行破坏。
保护后,默认任意程序无法直接启动 Wscript.exe,阻止其被恶意程序利用。

Cscript.exe是 Windows 系统的脚本解释器,用于执行 VBScript 和 JScript 脚本。恶意程序会利用 Cscript.exe 启动其它程序对系统进行破坏。
保护后,默认任意程序无法直接启动 Cscript.exe,阻止其被恶意程序利用。

mshta.exe是微软Windows操作系统相关程序,用于执行.HTA文件,其中最典型的就是会被利用来执行一些恶意程序行为。
保护后,默认任意程序无法直接启动 mshta.exe,阻止其被恶意程序利用。

rundll32.exe用于在内存中运行DLL文件,它们会在应用程序中被广泛使用,而它本身也会被病毒后台广泛的用于启动加载病毒文件的运行。
保护后,默认任意程序无法直接启动 rundll32.exe,阻止其被恶意程序利用。

三、现在我们开始程序的规则编辑以及基本使用中的一些东西吧:

下图是程序下载解压后的三个文件。
SuperMonitor.exe是监控主程序(支持改名运行,不过没什么必要)
CH000003.sys是驱动文件,主程序需要加载的,不能丢失它。
Run.dat是数据文件,黑白名单以及一些设置都保存在这里。我们需要关注它的。

1.jpg

主程序运行后要加载CH000003.sys驱动,如果你的电脑内有杀毒软件提示,请给予放行。

程序运行后,任务栏右下角有图标出现,可以右键菜单看一看,熟悉一下项目:

2.jpg

更改密码后可以保护本程序不被随意的误操作退出保护,以及被其他人随意修改,当然了这只是个简单的防护,防超菜的人而已,不当真的。

密码就保存在Run.dat文件中,用记事本打开它,可以看到下面内容:

3.jpg

其中PassWord=项后面的内容即是密码,设置密码是在任务栏右键菜单那选择“更改密码”即可以修改。如果哪天忘记密码,只要用记事本打开Run.dat文件,将PassWord=项后面的内容删除即可。

程序运行后,原始默认是提示的,这时候你一运行白名单内没有的程序,并且此程序是在黑名单监控区的,那么监控器就会跳出提示的。如下图:

4.jpg

因此我们需要详细根据提示做出正确的处理,如果是你正在启动你自己的正常软件,那么可以选择“信任路径”项,这时候图中对应的“启动进程路径”中的那个程序将被加入白名单允许运行,而那父进程是指欲启动“启动进程路径”中的那个程序的原始程序,这个父进程是不在操作之列的。只是提示给你,让你知道什么程序欲启动图中所示的C:\Antivirus\Antivirus.exe这个程序而已。

那么上面全部项目的含义,我们继续说明一下,提示窗口内的:

禁止-----指只禁止当前提示中的进程行为一次,进程行为出现第二次,还是会继续跳同样提示的。

禁止并删除------指禁止当前提示中的进程行为,并删除父进程欲启动的那个不明程序,也就是“启动进程”路径中显示的那个程序文件。

允许------指仅允许当前提示中的进程行为一次,二次出现同样进程行为时,还会继续提示。

添加信任------指全部信任,并加入白名单,以后对同样进程行为不再提示和阻止,不仅信任父进程要启动的那个程序,同时也信任那“启动进程命令行”中的命令行。(这下面还要重点说明关于命令行的设置的原因)

信任命令行------指仅信任命令行,并加入白名单,以后对同样进程行为不再提示和阻止。(此项涉及的部分有点绕人,我们后面耐心讲解)

信任路径------指信任“启动进程”路径中显示的那个程序,并加入白名单,以后对同样进程行为不再提示和阻止。这个的信任能够让那个被信任的程序运行并可以做很多事而不再提示,除非它去启动规则外的程序,才可能提示。(这一个概念因为工作原因,被其他人打断,所以我忘记要说什么了,汗死)

退出--------指退出提示窗口并同时默认禁止,只禁止当前提示中的进程行为一次,进程行为出现第二次,还是会继续跳同样提示的。

关于正常软件的使用中监控器跳出的提示,我们只需要选择“信任路径”即可不再提示。并加入白名单。这个应该都可以轻松理解和正确操作了吧???

而我们下面最主要介绍的就是关于Windows系统内下面的五个程序我们永远不能将他们加入白名单的,涉及到它们的所有正常程序的进程行为提示,只能选择“信任命令行”

%SystemRoot%\system32\cmd.exe
%SystemRoot%\system32\Command.com
%SystemRoot%\system32\Wscript.exe
%SystemRoot%\system32\Cscript.exe
%SystemRoot%\system32\mshta.exe
%SystemRoot%\system32\rundll32.exe


原因很简单,看了上面对这五个程序的描述,应该知道他们是大多数病毒要利用的程序,我们一旦将其加入白名单,系统的监控安全就难以保证了。他们的自由运行和启动是我们不能容忍的。

而菜鸟们尽管放心,不让他们运行,并不会导致系统或其他软件有巨大问题,几乎没什么正常软件需要调用启动他们,就算有需要的时候,我们也可以用“信任命令行”的操作解决这问题。

例如rundll32.exe这个是我们很多操作中需要启动它的。

例如查看桌面右键属性啦,任务栏右下角调整时间啦,控制面板内大量项目的设置啦等等。都需要rundll32.exe的运行支持,可是我们又不能让它任意运行,那么怎么办呢??呵呵!!

如果你查看桌面右键属性的时候,你会看到本程序跳出如下图的提示

5.jpg

此时你会看到命令行的内容(我这是2000系统,其他系统类似,我就不折腾了):

"C:\WINNT\system32\rundll32.exe" shell32.dll,Control_RunDLL desk.cpl

这个命令行是没有任何病毒或非正常程序调用的,它永远只属于桌面进程的属性查看那一步操作的程序行为。

所以在我们绝对不能让rundll32.exe任意运行的情况下,又要监控器不影响查看桌面进程等这样单纯属于Windows自身操作的行为,那么我们就在那监控提示的窗口内增加了“信任命令行”的项目,选择它就以将这个单一命令行的程序行为加入白名单,完全放行,也不需要担心rundll32.exe被病毒利用了,呵呵!!!!

类似的其他四个程序也一样的道理,这需要你们灵活运用这个“信任命令行”的操作了,它是这个监控器的核心之处,它才是本监控器为你提供相对安全的最主要的地方。没有它,那可是很烦的。

我上面附件里的程序,里面是这样的规则:

监控所有磁盘,从C盘到Z盘监控所有。

白名单内是系统主要进程和桌面属性以及调整时间等需要的系统操作的一些命令行。以及默认的IE浏览器和记事本等。(只是根据2000系统和xp系统做的,很基础性的东西,不包含其他什么。)

默认提示用户,提示窗口倒计时为120秒,足够详细看提示内容的了。密码为空。

自己选择是否用我这个了。呵呵!!!用我这个,需要你自己去白名单那里继续添加属于你的其他正常软件的程序白名单规则了,呵呵!!!

四、那么现在我们开始说说程序主界面上的相关东西吧。

双击任务栏监控器图标,跳出的主窗口界面如下图:

6.jpg

黑名单设置我们就不说了,有兴趣的去原贴看吧,一般建议将我上面那附件里Run.dat里的[Online]项目下的内容复制替换掉你自己的Run.dat里的对应部分,就可以监控从C盘到J盘的所有程序运行了:

[Online]
1=C:\;1;2
2=D:\;1;2
3=E:\;1;2
4=F:\;1;2
5=G:\;1;2
6=H:\;1;2
7=I:\;1;2
8=J:\;1;2


现在只说白名单的添加中的一些操作:

例如添加:C:\Antivirus\Antivirus.exe

可以选择象那图中那样,直接粘贴正确的程序文件信息,添加进去,对于文件,就直接添加即可,不需要操作其他的。

如果你想添加C:\Antivirus文件夹里全部信任,可以直接复制粘贴C:\Antivirus进去,然后勾选右边的那个“包含字目录”添加即可,添加后,这目录下的的所有程序都不再提示,完全放行。

上面的文件和文件夹的添加还是比较简单的,而下面所要说的“模糊匹配”就有点绕人,也比较麻烦了。

例如我们插入U盘后,再在任务栏处点击退出的时候,会跳出包含下面那样的命令行提示:

rundll32.exe hotplug.dll,HotPlugSafeRemovalNotification 2364

这个时候我们虽然可以选择“信任命令行”以后不再提示,但是重新插入U盘后,再退出,这时候你会发现它的提示又变了。

也就是rundll32.exe hotplug.dll,HotPlugSafeRemovalNotification 后面跟的数字不再是2364
而是变成另外的了,这自然会很烦人了,那么怎么做呢???我们这时候需要自己将命令行全部复制出来,然后打开空记事本,先编辑取消后面的那数字,将剩余的rundll32.exe hotplug.dll,HotPlugSafeRemovalNotification 代码在监控器主窗口添加白名单,同时勾选“模糊匹配”添加即可解决问题。

7.jpg

注意不能只单纯用“模糊匹配”来添加那个原始代码,那没用的,因为后面那数字部分每次都变化着。

上面那个关于五个易被病毒利用的程序只能用纯命令行的那个,如果出现一样情况,始终命令行全代码后面部分变化,导致反复提示,就只有利用这样的操作去掉后面那不一样的部分,保留完全一样的部分添加白名单才行。

记住,为了安全性,尽量不要随意的去掉过多信息,尽量只去掉纯不一样的那部分即可。

五、关于这程序,有一个问题需要注意,可能2000系统内在任务栏输入法那里右键查看输入法属性的时候,本程序不能正确分辨命令行,导致程序卡死。我这里是这样。xp 系统没这问题。

还有不要没事去用其他方法非法终止本程序的进程,那样也会导致一些异常,不过都没什么,重启电脑即可解决问题。

另外本程序没有开机自启动,想开机自启动的,可以选择创建本程序的主程序的快捷方式,然后将快捷方式复制到开始菜单里的“启动”文件夹内,即可开机自启动。

因为那位置的启动是最后一个启动,所以本程序自启动不影响之前开机自启动的任何程序。

8.jpg

很不错的工具哟。

呵呵!!!

[ 本帖最后由 天月来了 于 2009-6-17 10:02 编辑 ]

评分

参与人数 4经验 +15 魅力 +1 人气 +2 收起 理由
边缘vip + 15 支持更新!
chenhui530 + 1 好教程
tawny2008 + 1 不错不错,很详细,支持^_^
水木 + 1 好帖,支持欢迎常来

查看全部评分

天月来了
 楼主| 发表于 2009-3-19 16:08:44 | 显示全部楼层
本帖最后由 天月来了 于 2010-6-13 20:41 编辑

呵呵!!

沙发。

我就弄这些了,其他的大家自己摸索吧。很安全的软件,没什么后果的。

对于本程序的最佳使用,应该是做完属于自己的白名单规则后,就可以设置不提示,取消主界面上的那个“提示用户选择”的勾。

然后我们就可以无忧无虑的去上网啦。

程序后台自动阻止白名单外的任意不明程序的运行。

这和ProcessGuard、SSM、EQ等HIPS软件的那个锁定或断开连接的一样。

这才是我们用这类AD进程监控软件的目的。

成天想看提示,绝对是错误的想法。

本程序还支持进程活动的日志记录功能。

可以去程序同目录内找生成的日志查看具体的进程活动情况。呵呵!!!!

至于其他什么FD和RD等HIPS类保护,不在本贴讨论范围内。
——————————————————————————————————
我自己因为喜欢全局监控,所有磁盘不放过。所以黑名单我不需要折腾了,因为我熟悉系统进程和我自己的电脑内的那两三个软件,所以我也不需要提示那过多内容。因此我自己改了改程序,我自己用了啦

不知道这样是不是什么都没有, 也太寒酸点了

未命名.jpg

未命名1.jpg

还有别的内容看38楼以下

[ 本帖最后由 天月来了 于 2009-5-5 14:26 编辑 ]

评分

参与人数 1人气 +1 收起 理由
wolfwalk888 + 1 版区有你更精彩: )

查看全部评分

水木
发表于 2009-3-19 16:23:45 | 显示全部楼层
这种帖子版区大力提倡
evilrabbit
发表于 2009-3-19 17:37:59 | 显示全部楼层
支持天月mm
sxbxyh
发表于 2009-3-19 17:49:01 | 显示全部楼层
学习一下超级进程监视器的使用,支持一下天月
小松鼠
发表于 2009-3-19 18:04:38 | 显示全部楼层
有点hips味道。谢谢天月妹妹!~!
tawny2008
发表于 2009-3-19 18:15:31 | 显示全部楼层
很详细,支持一下天月:)
angel13th
发表于 2009-3-19 18:18:15 | 显示全部楼层
很苗条的HIPS,不错~
tawny2008
发表于 2009-3-19 18:26:44 | 显示全部楼层
我一索要教程,来了两个热心人,谢谢鹦鹉老四和天月,期待大家把辅助区的其它工具的用法都发掘出来,造福其它朋友,我一定鼎力支持
天月来了
 楼主| 发表于 2009-3-19 18:29:42 | 显示全部楼层

回复 9楼 tawny2008 的帖子



会累死人滴

系统也吃不消那么多工具折腾

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 09:58 , Processed in 0.145164 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表