HIPS研究基地 - 【活动】【卡饭首发】SSM“RD”模块高级教程——细致的组分类和程序应用 - Powered by Discuz!

SSM“RD”模块高级教程——细致的组分类和程序应用
Oceanzd
QUOTE:
写作原因：更加细致的分类组合能使用户在管理SSM时拥有方便，安全，轻松的感觉，而不是以往的烦躁；
在用户常用的部分程序里面，可以制定安全并且管理轻松的规则，使SSM的用户感受不到SSM的存在，却仍然能享受到带来的安全的舒适感；
虽然目前部分规则可能仍然有缺陷导致窗口频繁出现，但是那毕竟是少数时间，而且也能学到适合自己爱机的理念的规则
QUOTE:
测试版本：
SSM 2.4.0.618 Beta 版本，30天试用（已破解）
初级入门：
病毒日新月异的变化使杀软措手不及，注册表对于病毒提供的方便性使注册表保护日趋重要
以前我们所熟知的Run，Services键值已经不再是部分新病毒所看中的部位了；破坏安全模式，AutoRun，新的后缀名，流氓软件的右键菜单和网络连接键值成为了破坏电脑的新方式。
这时除了AD和FD对于程序和文件的保护之外，注册表保护也显得至关重要，而且很多部位我们都可以形成保护圈而不至于频繁弹出窗口
AutoRun：注册磁盘右键菜单的AutoRun项（和autorun.inf合用）
Policies：管理计算机策略
SafeBoot：安全模式的变量管理和驱动选择
Network：网络连接管理
Protocols：协议管理
Extensions：后缀名管理
Right Click：右键菜单管理
Security：其它安全类型的管理（适用于不好分类的其它注册表键值）
SSM的注册表模块（新增规则）：
[attach]58686[/attach]
服务上面需要注意一下，默认的官方规则里服务只保护了CurrentControlSet项，却没有保护ControlSet*项，建议添加规则：
HKLM\SYSTEM\ControlSet*\Services
新手上路（细致分组）：
不需要关心一个组的规则的多少，分组越细，管理起来才方便，添加规则的时候更加方便
[Copy to clipboard][ - ]
CODE:
AutoRun（自动播放）
Policies（策略）
SafeBoot（安全模式）
Network（网络）
Protocols（协议）
Extensions（后缀名）
Right Click（右键菜单）
Security（安全）
以上几样是我们需要添加的，当然你也可以把它们填写成中文
这个只是我建议的范围，可以随更多的规则而添加更多的组别以便于管理，同时也要分配规则到新的对应的组合
初级应用（添加规则）：
这个没什么好说的，直接按照规则表添加就可以了
AutoRun：
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
其中一个最容易被修改的注册项，包括CLSID值注册AutoRun和直接按照磁盘的字母（C盘，D盘）来注册AutoRun
Policies：
HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
HKCU\Software\Microsoft\Windows\CurrentVersion\Group PolicyObjects\User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Policies\Microsoft\Internet Explorer\Control panel\homepage
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies
SafeBoot：
SYSTEM\*ControlSet*\Control\SafeBoot
Network：
很简单，直接在RegWorkShop里面搜索所有带有Network的注册项添加即可
Protocols：
HKLM\SOFTWARE\Classes\Protocols\Handler
HKLM\SOFTWARE\Classes\Protocols\Filter
HKCR\PROTOCOLS
Extensions：
记得以前很多人这样添加：
HKCR\.aif
HKCR\.exe
HKCR\.http
……
现在只需要2条规则就可以了：
HKCR\.*
HKCU\SOFTWARE\Classes\.*
HKLM\SOFTWARE\Classes\.*
HKLM\Software\Microsoft\Internet explorer\Extensions*
Right Click：
HKCR\*\shellex\ContextMenuHandler
HKCR\*\shell*
HKCR\DRIVE
HKCR\Directory
HKCR\Folder
Security：
这一项是不固定规则的范围的，只要是无法找到合适的组别的规则都可以暂时归类到这里
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
HKLM\SYSTEM\CurrentControlSet\Control\MPRServices
HKLM\Software\Microsoft\ole
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache
HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Shell folders\Startup
HKCU\Software\Microsoft\Windows\CurrentVersion\explorer\Shell folders\Startup
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping
HKLM\System\*ControlSet*\Control\Session Manager\KnownDlls
HKLM\SOFTWARE\Microsoft\Ras
HKLM\Software\Clients\Startmenuinternet
HKCU\Software\Policies\Microsoft\Internet Explorer\Control panel\homepage
HKLM\SAM\SAM
HKLM\SECURITY
中级管理（快速查找）：
[attach]58687[/attach]
SSM有一个功能，就是可以快速查找程序里面的注册表规则和对某个组别的拥有权限的程序规则的显示
这时我们管理起来就会显得很方便了
比如我们查找IE Settings的规则：
[attach]58688[/attach]
查找出来这些程序拥有IE Settings的注册表组别的权限了，而且也可以查出高级权限
[attach]58689[/attach]
高级解答（玩转程序对注册表的访问）：
我们以前制定了Explorer注册表组别的规则，但是会弹出大量的Explorer.exe访问Explorer注册表组的信息，如何解决？
这时我们就需要利用“仅此键/值”来帮忙了
[attach]58690[/attach]
但是必须先选择“制定永久规则”按钮才能生效
但是每次制定的项或者值都是不一样的，所以仍然会弹出，这时就需要自己判断了
如删除桌面上的文件（如系统盘在C盘）的时候会弹出：
S-1-5-21-*\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\c
值是NeedToPurge
你这次允许并且制定了“仅此键/值”的规则，但是删除D盘文件的时候又会提示：
S-1-5-21-*\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\d
值仍然是NeedToPurge看出来没有？所以你就可以制定规则：
S-1-5-21-*\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\*
如果想更加保险就看看自己有多少磁盘，然后制定相应的规则
或者在画图里面存储jpg图象文件的时候会弹出：
S-1-5-21-*\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\.jpg
允许了之后，下次想存储png文件的时候又会弹出：
S-1-5-21-*\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\.png
哦，知道怎么制定了吧，把后面红色改成.*，然后值改为*即可
如果很多程序需要使用某一个较安全的键或者值的时候就需要制定全局规则，然后设置为“高优先权”和“全部访问允许”即可
QQ的设置：
[attach]58691[/attach]
允许修改IE Settings，然后对于其它的注册表项设置为“只读”
迅雷的设置：
[attach]58692[/attach]
也是允许修改IE Settings，对于其它的注册表项设置为“只读”
因为读取和记录文件的时候需要修改部分内置在IE Settings里面的迅雷值
Windows Media Player不需要访问注册表，设置为“只读”
MSN也不需要访问注册表
IE的设置：
[attach]58693[/attach]
开启对于IE Settings和Extensions的部分访问权限，然后设置为“只读”
这样可以避免IE被流氓或者插件利用篡改iE数据，也能保证正常使用IE
浏览器一类需要特别注意一个地方：
[attach]58697[/attach]
每隔一天都会弹出此类窗口，需要如何设置呢？
注意一下，上面显示的时间都是昨天＋今天的日期，所以我们要在那里做手脚
首先我们先允许那个提示（永久并且只是那个键值），然后进入浏览器
[attach]58698[/attach]
选中规则后，双击进入修改日期，将MSHist后面的日期改为*
[attach]58699[/attach]
[attach]58700[/attach]
创建2条规则，然后允许所有权限（修改等），日志全部开启
应用到所有你拥有的浏览器上，以后就再也不会提示了
WinRAR不需要访问注册表
其它的软件大家也可以提出来，以便试验注册表访问
注意：
RegEdit Group是专门用于管理可以修改注册表的程序，所以不能开放访问，却是严厉控制访问，毕竟我们不是总是在用此类程序修改注册表
[attach]58694[/attach]
至此，SSM的“RD”模块高级教程就结束了。一些地方可能会有不完善的地方，请提出意见，我会尽快的改正的。
这样的设置实际上不难的，就要靠自己的经验和对系统了解的水平，而且我已经尽量的简化和平常化的语言了，希望大家理解。主要重点就是为了理解应用程序那里的RD设置和SSM自带的RD规则的不完整性，所以就写出此教程让大家注意一下。
这次就不在图片上设置“Oceanzd 原创”了，但是希望大家转贴的时候注明来源和作者。