SSM“AD”模块中级教程——组和权限类别升级设置（高级篇）

SSM“AD”模块中级教程——组类别升级设置（高级篇）
原创作者： Oceanzd
[卡饭首发]SSM“AD”模块中级教程——组类别设置（初级篇）
http://www.kpfans.com/bbs/viewthread.php?tid=55441&extra=page%3D1
QUOTE:
写作原因：还是因为那几位会员（yzt1004，16734994等）的原因而写的，并且解释清楚SSM各类权限的意思，以进行“授之以渔＋授之以鱼”的教程配合了～～
实际上，自己也是为了练一练手吧～～～
QUOTE:
测试版本：
SSM 收费版 2.3.0.612，使用半年注册码
这次的分组名称和赋予的权限都有改变，但是大部分的还是一样的。分组明确更明确的话安全性会更提高，也易于找到程序，顺便学习一下各类程序的应用等。非核心系统文件的分界更明显了，这样的话包括一些容易被木马等利用的进程（Svchost.exe，Explorer.exe等）的权限和管理就会和其它的程序分离开来。当然一些会员会想，单独设置也很方便呀，为什么这样弄呢？这个我也不好说，可能是我的性格所致吧，要把东西分类的整整齐齐（就像我的文件夹分类……）。
总之，此帖仅供参考，很多规则还需要靠自己的能力来进行修改和添加。我只会讲述部分实例而已，并且会讲解SSM的权限意义，这样自己制定起来会更明白设置的意义。
QUOTE:
日志：
程序启动：是否记录程序启动的日志。
程序终止：是否记录程序终止的日志。
进程间的活动（DLL注入等）：是否记录包括创建新的线程或者远程线程等的日志。
系统控制：是否记录操作系统函数的日志。
设置全局挂钩：是否记录关于API等被全局挂钩的日志。
加载驱动：是否记录程序加载sys驱动的日志。
注意：一些人不知道程序启动的设置位置，可能会将“日志”选项曲解为“直接控制程序”的设置区，这个区只是为了记录日志的，但是为什么也要分类是否记录日志呢？我也只是为了分类明确而已。
系统控制：
允许物理内存存取：决定是否在内存写入缓存（包括线程等），0线程意味着这个进程虽然存在，但是没有存在的价值。
底层磁盘读取：略过不讲（大家都清楚）。
允许关闭系统：决定此程序是否允许调用ShutDown函数关机。
底层键盘读取：用来监控keylogger的。
代码注入/DLL 注入：
允许远程代码控制：决定是否允许第三方程序对一个程序的代码嵌入控制（包括一些Windows主题等，关联DLL）。
允许远程数据修改：决定是否允许第三方程序对一个程序的嵌入代码行为（关联“代码”）。
挂起线程/进程：决定是否允许第三方程序对一个程序的注入型监视，用来检查程序的发生行为（包括调试程序）。
进程控制：
若被终止则重启进程：题目说得很清楚了。
不验证效验和：即不验证MD5，有很大风险，但是适合经常升级自身的程序。
断开用户界面时阻止：即禁止了后台运行，用户的窗口必须可见。
检测命令行参数：决定了此进程可以调用的程序或者自己本身被其它父进程调用。
终止其它进程：题目说得很清楚了。
保护：题目说得很清楚了。
网络：略过。
选项：保护规则不被删除。
新增组设置：

图片附件
:
1.PNG
(2007-2-26 08:16, 20.62 K)

在原有的基础上添加了Cmd Run和Child App。原来的System(about)分化成了Common System App，System App(ask for connect)，System App(Deny to connect)。

图片附件
:
2.PNG
(2007-2-26 08:16, 9.21 K)

Common System App里面的程序列表。当然不止这几个程序，我只是列出了几个很典型的程序而已。这里的程序都是会被大部分病毒注意和常用的系统程序。权限上的限制和要求很高。

图片附件
:
3.PNG
(2007-2-26 08:16, 13.32 K)

我设置的权限制定。一般来说最好打开“命令行参数”一条，虽然会更加繁琐，但是安全性会大大增强。

图片附件
:
4.PNG
(2007-2-26 08:16, 34.41 K)

父子级设定。必须打开大量的问号，因为我们不能确定DLL木马或者EXE木马的调用意图，有可能会双层注入调用。一些组的程序不能作为这个组的程序的父程序，以防止虚拟调用。

图片附件
:
5.PNG
(2007-2-26 08:16, 8.84 K)

这里是System App(ask for connect)的设置组。包括了极少量的需要联网，相对安全，个人用户能用到的系统程序。

图片附件
:
6.PNG
(2007-2-26 08:16, 13.44 K)

我的权限设置。

图片附件
:
7.PNG
(2007-2-26 08:16, 34.18 K)

父子级设置。和Common那个一样，实际上这类需要联网的程序都会限制的比较严的。

图片附件
:
8.PNG
(2007-2-26 08:16, 32.68 K)

这里是System App(Deny to connect)的设置组。包括了大量不需要联网的系统程序（包括计算器等）。

图片附件
:
9.PNG
(2007-2-26 08:16, 14.04 K)

这里的权限看起来和联网的一样，控制的比较严，但是这里的程序大部分也不需要很多权限，所以就如此设置。

图片附件
:
10.PNG
(2007-2-26 08:16, 35.26 K)

由于不联网，不确定性会减少很多，在父子级里面的严格控制会更多。

图片附件
:
11.PNG
(2007-2-26 08:16, 13.47 K)

这个是Cmd Run的权限。为何权限要求很严呢？因为这里的程序只能被Cmd调用，命令行里的命令也不会或者很少牵扯系统文件，所以很多关联都给禁止了。

图片附件
:
12.PNG
(2007-2-26 08:16, 34.81 K)

先设置成都禁止（除了核心系统和Trusted的之外）。

图片附件
:
13.PNG
(2007-2-26 10:54, 8.81 K)

然后在Common System App打开Cmd和Svchost的父程序权限。为什么要打开Svchost呢？因为Svchost会一直监视并且会打开任何正在执行的程序的线程，否则不能确定程序，必须打开。

图片附件
:
14.PNG
(2007-2-26 08:16, 10.18 K)

这里是Child App的设置组。为什么叫Child App呢？因为这些程序只会作为子程序运行，不会调用其它程序。当然这类程序很少，所以要求很严，加入以前要仔细了解此程序的运行方案。

图片附件
:
15.PNG
(2007-2-26 08:16, 13.37 K)

我设置的权限。这类程序的权限需要一般很少（因为不作为父程序，不需要“调用”等权限）。

图片附件
:
16.PNG
(2007-2-26 08:16, 35.42 K)

父子级设置。将“其它程序作为子级”全部设置为“禁止”。父程序就要自己看看此程序的属性了，如图片里的TT升级程序，就要禁止所有其它的程序做为父程序（除了核心系统进程，杀软，TT浏览器和Svchost外）。
典型系统文件的SSM设置：

图片附件
:
17.PNG
(2007-2-26 08:16, 34.58 K)

rundll32.exe的父子级设置。禁止不需要的程序的调用，但是子程序不能控制，因为rundll32经常会调用一些可执行程序（如应用“控制面板”）。

图片附件
:
21.PNG
(2007-2-26 08:16, 14.26 K)

regedit.exe的权限设置。禁用不必要的权限。

图片附件
:
18.PNG
(2007-2-26 08:16, 35.14 K)

先禁用所有程序作为父程序和子程序（regedit不需要调用任何程序）。

图片附件
:
19.PNG
(2007-2-26 08:16, 35.05 K)

然后在分组来开启Explorer.exe的启动权限。

图片附件
:
26.PNG
(2007-2-26 08:16, 21.08 K)

注册表修改改成“Unrestricted”（无限制的）。

图片附件
:
20.PNG
(2007-2-26 08:16, 14.23 K)

svchost.exe的权限设置。

图片附件
:
22.PNG
(2007-2-26 08:16, 35.17 K)

svchost.exe的父子级设置。拒绝所有程序作为父程序，然后在子程序勾选部分可靠的组，因为Svchost.exe需要对任何进程开启线程（特别是Explorer.exe）。

图片附件
:
27.PNG
(2007-2-26 08:16, 24.86 K)

svchost.exe的注册表设置，列出了经常需要用到的注册表应用。建议对照添加和修改。

图片附件
:
23.PNG
(2007-2-26 08:16, 14.96 K)

Explorer.exe的权限设置，包括经常应用的“进程间活动”（太常见了，不举例子了），“关闭系统”（平常的开始关机都是Explorer.exe调用函数的）和“终止其它进程”（也很常见，你关闭窗口都算是Explorer.exe的）。

图片附件
:
24.PNG
(2007-2-26 08:16, 34.72 K)

父子级设置。因为很多程序会反调用Explorer.exe（包括打开窗口），所以就设置成了“？”。大部分的程序都是Explorer.exe直接启动的，所以大部分的都设置成勾号。杀软也勾上了，但是部分进程是以服务（services.exe）来启动的，需要单独设定。

图片附件
:
25.PNG
(2007-2-26 08:16, 35.28 K)

最后在Common那里详细的设置一下。允许这些程序以Explorer的子程序启动或者其它操作。

图片附件
:
28.PNG
(2007-2-26 08:16, 35.64 K)

举一反三：ping.exe的父子级设置。只允许核心系统进程，杀软，cmd和Svchost.exe来充当父程序。

图片附件
:
29.PNG
(2007-2-26 08:16, 13.48 K)

小试一局：dwwin.exe（Windows自带调试程序）的权限设置。作为调试程序肯定要打开远程控制，挂起线程，终止其它进程的权限。

图片附件
:
30.PNG
(2007-2-26 08:16, 36.2 K)

实验一个，关于设定子进程。以UE里面UnRAR.exe来作实验（因为只需要一个主父进程）。首先禁止所有的父进程（不包括核心系统进程和杀软）。

图片附件
:
31.PNG
(2007-2-26 08:16, 36.44 K)

然后先设置cmd和svchost允许调用（cmd调用为此程序必须，但是其它的程序需要靠自己的判断和经验）。

图片附件
:
32.PNG
(2007-2-26 08:16, 37.79 K)

然后设置允许主程序UE调用。

图片附件
:
33.PNG
(2007-2-26 08:16, 14.39 K)

taskmgr.exe的权限设置。允许关闭系统（一般为无法正常关机时使用）和终止其它进程（这是必备的功能）。

图片附件
:
34.PNG
(2007-2-26 08:16, 36.33 K)

父子级设置。先将父程序全部都禁止（除了核心系统进程和杀软）。子程序为了方便结束进程，直接全部允许。

图片附件
:
35.PNG
(2007-2-26 08:16, 36.9 K)

一般我们只需要用快捷键，也就是Explorer.exe来开启taskmgr.exe。所以我们只要将Explorer和Svchost作为父程序就行了，其它的都禁止。

图片附件
:
36.PNG
(2007-2-26 10:54, 24.06 K)

关于“命令行参数”的设定：
一些人会问，到底程序的启动是在哪里控制的呢？找了半天都找不到，实际上是在“命令行参数”里面设置的。
关于“命令行参数”，就包括“％s”“-Embending”等，但是在这里比较常见的就有文件路径了，如：X:\Program Files\Acdsee 8\Acdsee.exe E:\ssm.jpg。在手动设置的时候，很多人将X:\Program Files\Acdsee 8\Acdsee.exe也加进去了，所以会发现无效，实际上中间有个空格，空格后面的才是参数，很多人都看错了。那么只有一个路径X:\Program Files\Acdsee 8\Acdsee.exe，没有空格和后接参数怎么办呢（在直接启动SSM规则里没有的主程序时）？那么就是留空，如图。里面的“允许”和“阻止”就是决定是否以此参数来启动程序了。
至此，SSM的组类别设升级置（高级篇）就结束了。一些地方可能会有不完善甚至错误的地方，尽管拍砖，我会尽快的改正的。
这样的设置实际上不难的，就要靠自己的经验和对系统了解的水平，而且我已经尽量的简化和平常化的语言了，希望大家理解。在这里单独设置规则和命令行参数是一个重点，希望大家重点看这里（虽然关于“命令行参数”的内容不多）。也要纠正一些用户的规则曲解问题。
这次就不在图片上设置“Oceanzd 原创”了，但是希望大家转贴的时候注明来源和作者。