SSM图文教程七篇 『HIPS专版』 深度技术论坛 - powered by phpwin...

个人认为这篇帖子是学习SSM的经典的教程，看完后估计大家都是高手了。但是请大家注意，没有绝对通用的规则，适合自己的规则才是最好的！
        弄了半天，搞了个索引，方便大家查阅，直接点击下面的链接就可以了。

Quote:

SSM“AD”模块初级教程——父子级完全设置教程
SSM“AD”模块中级教程——组类别设置（初级篇）
SSM“RD”模块中级教程——添加规则组并且分配
SSM“AD”模块中级教程——组类别升级设置（高级篇）
SSM“AD”模块高级教程——命令行参数教程（初级篇）
SSM“RD”模块高级教程——细致的组分类和程序应用
SSM“AD”模块高级教程——程序综合权限的防护

作者：卡饭论坛——Oceanzd
SSM“AD”模块中级教程——组类别设置（初级篇）

Quote:

　　写文原因：
　　因为一些会员看到我的SSM分组，比较感兴趣，如：yzt1004，飞天等等，故初级的介绍一下我的分组设置。
　　没有什么技术性，写错的尽量拍砖呀……

　
　

Quote:

　　　测试版本：
　　SSM 收费版 2.3.0.612，使用半年注册码

　
　　装上SSM后，发现里面的分组很不明确，如果全部程序都在Normal的话，不仅是权限管理上的问题，在同一类型的软件管理的整体改革也非常麻烦，所以就分了一些设置组，会发现方便了很多。每个组的程序都具有一些相同的性质，权限需要差不多，所以可以聚集起来便于统一管理。一些系统的文件，包括arp.exe和calc.exe这些，会发现它们有很大的区别，一个很明显的区别就在arp.exe（IP－MAC管理查找工具）需要联网和calc.exe（计算器）不需要联网，这些设置我会在后面的续贴里讲到。
　　还有Explorer.exe和Svchost.exe这些用到的权限很多但是容易被病毒利用的系统程序一定要小心，加入System(about)组，然后单独设置权限。
　　此帖仅供参考，很多规则还需要靠自己的能力来进行修改和添加。而且此帖的规则放的比较松，所以追求完美防护的人可以进行大量的加强。
　　

　　首先看看我分的组别。分为：SSM，Trusted（信任的），System（系统），System(about)（有关于系统的文件），Unresgistered（我不需要此组别），Software(allow to connect)（允许联网的软件），Software(deny to connect)（禁止联网的软件），Installer（安装软件），Games（不需要联网的游戏），Normal（默认组别），Blocked（黑名单）和Locked(Protected)（锁定（受到保护）的文件）。
　　

　　首先看看SSM的组别，这是默认的，不允许改变任何权限和新增程序。
　　

　　这个是我自己制定的设置组，Trusted，听名字就可以知道这个组的权限很大，所以放入的程序一定要万分小心。我只放入了我的核心杀软程序和防火墙主程序，连杀软的升级程序和扫描器都没有放入。
　　

　　这里是Trusted组的权限，可以看出来有多大了吧。为什么“远程代码控制”那里要禁止呢？因为允许的话，第三方Windows主题就会无法被应用（具体原因先不讲了）。这些程序的联网也被控制了。
　　

　　父子级的设置，Installer等组的控制很严，避免未知的程序对Trusted的文件进行控制和破坏。
　　

　　这里是System的设置组。这里的权限也很高，所以只能加入Windows核心进程。
　　

　　System组的权限设置，一些权限是不能被赋予的，因为会导致无法自身调用而出错关闭，所以设置时一定要小心。
　　

　　父子级里System的权限比Trusted还高，可以随意的调用和控制任何组的程序，当然这是必须的。大量的程序不能作为核心系统文件的父程序。
　　

　　这里是System(about)的设置组，包括了其它的系统程序。里面会有非常重要的Svchost.exe和几乎可以删除的“扫雷”游戏程序，所以整个组的权限制定一定要保守。
　　

　　大量的问号可以为个别特殊的程序制定更加安全的权限，还有联网也一定要控制。但是基本的系统文件的权限都有了。
　　

　　仍然是大量的问号，大量的程序启动时会用到services，Explorer等程序，所以此设置会更安全。Locked和Blocked的程序不能被调用，所以设置为禁止。核心文件必须负责启动它们，程序检查和打开线程等，所以要在父进程那里勾上勾子。
　　

　　这里是“允许联网的程序”的设置，包括了常常需要联网的程序（杀软的升级器在这里）。
　　

　　权限开始限制了，大量的权限不允许使用，但是正常的文件活动绝对不会被影响。
　　

　　父子级是大量的问号，因为这些程序会被互相调用和程序间活动等，不确定性太强，不得不先启用问号，当规则制定的差不多了再改成禁止。
　　

　　这里是“拒绝联网的程序”的权限设置。当然包括了很多不需要联网的程序，如：Photoshop.exe。
　　

　　父子级设置和“允许联网程序”的设置是差不多的，也是大量的问号，因为这些程序会被互相调用和程序间活动等，不确定性太强，不得不先启用问号，当规则制定的差不多了再改成禁止。
　　

　　这里是Installer的设置组。因为我将所有的安装程序都聚集到了2个文件夹里，所以我加入目录就行了。
　　

　　Installer需要调用程序，解压缩，Temp文件执行，脚本执行，最后改变程序内存等权限，所以Installer组的也很高，但是大部分仍然是问号，一些功能也根本不需要，所以就禁止了。包括一些远程联网或者程序需要调用检验等等，那些权限也不能打开。
　　

　　父子级里放的比较松，因为很多程序会调用安装的文件（包括杀软的监控等），不过必须禁止的也禁止了。
　　

　　这里是Games的设置组。可见到的有3个游戏主程序。
　　

　　Games的权限设置的比较严，因为它不像其它软件需要调用系统文件，联网（都是本地游戏）等，更不需要说“系统控制”等等有一点风险的权限了。
　　

　　Games不要调用其它的程序做为子级，所以被大量的禁用了，父程序则相对宽松些。
　　

　　这里是“默认”设置组。所有第一次建立规则的程序都聚集到这里，等待转移。权限上来说限制的很严，因为在规则移动之前，这个地方是一个鱼龙混杂的地方，也有可能包括潜在威胁的程序，所以权限上要设置的很严格，虽然能保证程序本身的正常工作，但是想干点事情就不可能了。
　　

　　父子级分类的比较明了，都是大量的问号，因为新加入的程序会被那些Software组调用（作为子级，如TT的升级程序）。
　　Blocked的规则和默认的一样，故忽略不讲。
　　

　　这里是“锁定（受到保护）的程序”的设置组。加入了Ghost文件夹（不止ghost.exe一个EXE文件）。
　　

　　权限上设置的异常严格，比Blocked还要安全，包括了不允许远程代码修改等等，更全面的防护，连程序的运行都中止了。
　　

　　父子级规则上因为Trusted组的杀软的扫描和核心系统程序（SSM）在启动时需要验证和加载这些程序，所以必须打勾，其它的一律禁止，里面的程序也不需要调用文件夹外的程序。
　　

　　如何改变一个程序的组位置呢？很简单，选定你想要改变位置的程序，然后按下“Ctrl＋C”，出现上面的窗口，然后选中组别按下“确定”即可。
　　注意：“重置”是一个很好用的按钮，一定要熟练此按钮。
　　至此，SSM的组类别设置（初级篇）就告一段落了。一些地方可能会有不完善甚至错误的地方，尽管拍砖，我会尽快的改正的。
　　SSM的组列别不要想的太复杂了，实际上熟悉了也就是几分钟的事情，而且也很容易上手。一些主要程序的设置不能依靠整个组设置的权限，需要完全制定新的规则，整个组的规则只是用来制定和整个组程序不冲突的权限而已。
　　顺便说明一个缺陷：组下面不能在设立子组，这样会显得没有层次感，管理，易用性和安全方面也会有一定的
shenyi309 2007-05-26 09:11 SSM“AD”模块初级教程——父子级完全设置教程
　　
初级入门：
　　
　　父程序和子程序是什么？
　　子程序概念较为模糊，它相对于一个程序整体而言，即一个程序的一部分，如一个函数，一个过程等。有时甚至包括一个功能模块。如一个软件的文件处理模块，和其它工作模块，我们都可以称为子程序。子程序通过被调用来达到它的功能效用，通过接收父程序的数据来分配句柄执行实际操作，然后通过自身的直接返回用户或者返回父程序来调整数据将结果显示在用户界面上。它可以被任何的函数，过程和一个语言进行替换，在运用上需要有一定的技巧。（PS  以前写VB的时候觉得这个最麻烦）
　　“过程”和“函数”实际上没有什么区别，说是返回值的区别，实际上“过程”在一些语言里也会返回值。
　　父程序则相对简单，它的基本工作就是通过调用子程序实现用户功能，并且负责接收返回函数实现功能。实际上父程序不是负责处理用户操作的功能的，它几乎什么都不干，只是负责管理（就像是一个经理管理下面的员工一样的）。
　　QUOTE:
　　上面的可能有一点难度，可以看看下面简单些的：
　　任何一个大程序均可分解为许多相互独立的小程序段，这些小程序段称为程序模块。可以将其中重复的或者功能相同的程序模块设计成规定格式的独立程序段，这些程序段可提供给其他程序在不同的地方调用，从而可避免编制程序的重复劳动。我们把这种可以多次反复调用的，能完成指定操作功能的特殊程序段称为“子程序”。相对而言就把调用子程序的程序称为“父程序”，把父程序调用子程序的过程称为“调用子程序”。
　　我在这里主要是讲简单的EXE程序调用，关于DLL的调用等以后的高级教程会讲到。
　　注意：由于单纯作为的子程序很少，故这次不讲了，主要是讲父程序的应用。（子程序会在以后讲到）
　　新手上路：
　　SSM的父子级程序的基本设置：
　　首先呢，这个是一个calc.exe（就是Windows自带的计算器）的父子级规则图表，关于这里如何选定很多人都不知道怎么回事，到底选上的是哪种程序呢，都给SSM套进去了。
　　

　　实际上不复杂，上面的选项，你选择在哪里（如父程序），那个程序（或者组）就可以成为（或者不可以和询问）这个本身程序的（父进程）。也就是说，如果我将程序里的Explorer.exe的父程序改成勾子，我就可以不通过SSM询问Explorer.exe直接作为父程序启动子程序calc.exe。当然也可以通过此设置改成“禁止”的形状，但是以后除了取消此禁止符号，Explorer.exe再也无法启动计算器程序了。
　　

　　

　　

　　初级应用：（弹出窗口）
　　
　　所谓的初级应用人人都会，那就是弹窗处理。先删除calc.exe的规则，然后用3种方式启动calc.exe。（Explorer.exe，taskmgr.exe和cmd.exe）
　　反正能够以正常方式启动的方法全部都试一遍，然后制定永久规则。（记住一定要选择“附带命令行参数”，计算器不需要调用什么启用函数）
　　

　　

　　

　　然后进入SSM，将其它的程序（父程序）全部设置为阻止。（除了系统核心文件和Trusted组，或者华生医生也可以加上）
　　OK！这样的设置比较麻烦但是适合新手，一般来说cmd没有必要加上，但是在特殊情况（如鼠标问题）就可以起作用了。
　　高级应用：（手动设置）
　　初级应用会有一定的缺陷，如果在一个程序的调用参数过多或者是需要连带调用的程序过多的话（如wuauclt.exe创建还原点，后者很少发生），就会创建太多的规则，而且没有实际的意义，而且多次点击会导致驱动问题而蓝屏（任何程序都无法避免此问题）；或者自己想手动，增加熟悉度。但是需要用户一定的系统父子级常识（这个在软件用多了就会熟悉，包括ZA 7，卡巴 6等）。
　　来 2 个小例子：
　　最简单的肯定是Child App了，它们一般来说只有一个父进程而且它们本身不会成为父进程，不会出现子进程包含子进程的层面。
　　如屏保：Snow.scr
　　

　　先禁止所有让其它程序成为子进程的可能。
　　

　　然后在父进程允许用来启动屏保的winlogon.exe，导入转换的rundll32.exe。其它的最好弄成“？”（处理方便，不过实际上除了Explorer.exe，系统核心文件和杀软之外其它的可以禁止）（杀软如果杀这个屏保的话，可以也把它的父进程设为禁止，呵呵）。
　　Explorer.exe（桌面处理程序）：
　　

　　首先打开所有的子程序的启动，关闭，修改内存等等权力（就是在子进程那里打勾），但是不保险的组（如Normal，Common System App，Reg Edit App等）一定要弄成问号“？”。
　　

　　父程序，熟悉了之后（如看网上的资料＋SSM日志）我们知道了启动Explorer.exe的程序直接受控于系统核心的Process管理，所以禁止所有的父进程启动（打上System组的勾，因为进入系统的时候需要用到），然后打开Svchost.exe的线程调用就行了。不过对于其它有可能调用的程序，如Cmd和Taskmgr等可以弄成问号“？”，以便紧急时用。
　　至此，SSM的父子级完全设置教程就结束了。一些地方可能会有不完善的地方，请提出意见，我会尽快的改正的。
　　这样的设置实际上不难的，就要靠自己的经验和对系统了解的水平，而且我已经尽量的简化和平常化的语言了，希望大家理解。主要重点就是为了理解父子级程序那里的设置，经常会有人弄反，所以就写出此教程让大家注意一下。
　　这次就不在图片上设置“Oceanzd 原创”了，但是希望大家转贴的时候注明来源和作者。
shenyi309 2007-05-26 09:11 SSM“AD”模块高级教程——命令行参数教程（初级篇）
　　
　初级入门：
　　
　　SSM里面的“命令行参数”是什么？
　　任何父程序在执行子程序的时候都会调用一定的函数，然后反射成功能，子程序执行相应的操作。
　　而“命令行参数”则是用户可以轻易接触到的函数，但是这里的“命令行参数”则和我们以前讲到的“命令行参数”还是有区别的。包括VC等语言的“命令行参数”是单一上的，而且不会被SSM干涉（程序自行调用）；这里的“命令行参数”则是子程序上的附带的执行命令函数，是广义的，任何命令参数，甚至是大家想不到的数据都会成为SSM里面的所谓“命令行参数”。
　　

　　如QQ.exe调用默认浏览器并进入www.google.com的活动（在QQ聊天窗口点击网站的时候会出现此设置）
　　注意：SSM默认不对已经制定规则的程序打开“检测命令行参数”的权限。
　　
　　SSM的“命令行参数”的位置在哪里？
　　

　　首先需要讲明，SSM里面的“命令行参数”是需要配合父子级的，执行的“命令行参数”是属于子程序，所以在设置上需要在子程序的“命令行参数”选项上进行，而且如果一个被选择的父程序没有一个绝对的选项的话（就是“询问”），哪怕“命令行参数”的参数设置为“拒绝”，SSM仍然会询问。这个是一个很好的机制。
　　一个程序，如果完全不让它做为某程序的父程序，那么就在“父子级设置”上改为“禁止”，那么不管是什么“命令行参数”此程序都不能调用执行了；所以当这个程序可以做为某程序的父程序时，“命令行参数”才可以完全的发挥出它的功效。
　　新手上路：
　　

　　在一个新的程序被当作子程序执行的时候，SSM便会弹出上面的窗口。
　　

　　如果选上“检测命令行参数”的话便会在“检测命令行参数”的“参数...”窗口里看到一个空参数。
　　这是怎么回事呢？
　　在执行一个程序并且没有附加的执行功能的动作或者函数的话，就没有“命令行参数”，选项便为“空”。
　　这种选项经常会在SSM遇见，但是部分程序不要打开此执行权限。
　　

　　我所分开的组，下面写上的就是需要打开“命令行参数”权限的组。
　　普通模式：Common System App，System App（Ask for Connect），Games，Reg Edit App 和 Normal；
　　安全模式：Common System App，System App（Ask for Connect），System App（Deny to Connect），App（Allow to Connect），Games，Reg Edit App 和 Normal；
　　保险柜模式：Common System App，System App（Ask for Connect），System App（Deny to Connect），App（Allow to Connect），App（Deny to Connect），Child App，Cmd Run，Games，Reg Edit App 和 Normal；
　　SSM里面的“命令行参数”选项的通配符是什么？
　　“命令行参数”选项通配符讲解：
　　
[url=javascript:]Copy code[/url]
　　* 代表任何文件，任何文件的后缀或者多层目录
　　例子：
　　*\setup.exe                                    任何文件夹下的 setup.exe
　　*\*.exe                                          任何文件夹下的 EXE 文件
　　*\setup.*                                        任何文件夹下的名字为的 setup 的文件
　　
[url=javascript:]Copy code[/url]
　　" "，在参数里经常会用到这2个小双引号（除了真正的执行命令），包括路径，网页等
　　
[url=javascript:]Copy code[/url]
　　经常用到的参数：
　　*
　　"*"                                                  这2个参数一起用代表全局参数
　　*:\*.*                                              所有盘的根目录
　　"*\*.*"
　　*\*.*                                                所有盘的任何文件（和第一个参数的作用一样）
　　E:\soft\*                                          E盘soft文件夹下的所有文件（包括子目录）
　　E:\soft\*.*                                        E盘soft文件夹下的所有文件（不包括子目录）
　　"http://"                                         浏览器做为子程序时浏览网页专用
　　

　　我们在用“命令行参数”阻止了”参数，但是仍然会有上面的窗口
　　所以我们应该制定更加完全的规则
　　

　　打开你的浏览器的“命令行参数”窗口，在后面加一个 *
　　

　　规则如此，以后便不会再次弹出窗口了
　　

　　如果以后再也不想用此方法浏览网页，可以使用上面的命令，以后再次点击网页就没有用处了。
　　

　　再次说明需要打开QQ.exe允许做为默认浏览器的父程序的权限才能使“命令行参数”生效。
　　
　　
Quote:
　　规则的优先权由规则的上下位置来决定，移动规则可以使用下面的上下箭头。
　　
　　

　　小灯泡：在cmd.exe里面可以加入这些危险的命令以防止执行脚本的时候会被恶意命令袭击。
　　普通应用程序应用：
　　

　　如开启了AcdSee5.exe主程序的“命令行参数”的权限，在打开图片的时候就会弹出上面的窗口，很多人会关闭“命令行参数”，比较遗憾。
　　

　　实际上完全可以通过制定规则达到效果，在AcdSee程序里面查找支持的后缀，加入“命令行参数”里即可（可以安全并且轻松的浏览图片了）
　　

　　WinRAR在解压 RAR 文件的时候也会弹出上面的窗口
　　

　　可以通过制定规则来解决问题
　　

　　更严厉的规则：
　　只允许在E:\soft及其子目录下解压 RAR类型或者压缩成 RAR 类型的文件，然后全局阻止其它的地方进行此操作。
　　注意：此命令只适合 RAR 类型，不适合其它压缩类型，参数可以通过不断的试验得到结果。
　　至此，SSM的命令行参数教程就结束了。一些地方可能会有不完善的地方，请提出意见，我会尽快的改正的。
　　这样的设置实际上不难的，就要靠自己的经验和对系统了解的水平，而且我已经尽量的简化和平常化的语言了，希望大家理解。主要重点就是为了理解命令行参数的含义和基本用法，所以就写出此教程让大家注意一下。
　　这次就不在图片上设置“Oceanzd 原创”了，但是希望大家转贴的时候注明来源和作者。
　　

　　敬请期待“中级篇”。
shenyi309 2007-05-26 09:12 SSM“RD”模块中级教程——添加规则组并且分配
　　
　　初级入门：
　　注册表的基本项和受到保护的项的讲解
　　整个注册表一共分为5类：
　　HKEY_CLASSES_ROOT（HKCR），HKEY_CURRENT_USER（HKCU），HKEY_LOCAL_MACHINE（HKLM），HKEY_USERS（HKU）和HKEY_CURRENT_CONFIG
　　一般来说最后一项注册表对于系统功能和病毒利用没有用处，所以SSM没有加入那一项的保护
　　HKEY_CLASSES_ROOT（HKCR）：主要记录了注册的后缀名和程序模块
　　HKEY_CURRENT_USER（HKCU）：目前登录的用户的设置
　　HKEY_LOCAL_MACHINE（HKLM）：本地计算机的设置
　　HKEY_USERS（HKU）：用户默认和升级安装包设置
　　Run及其类似的项：自启动程序
　　Services：服务注册
　　IE Settings：IE浏览器和系统部分变量的设置
　　Explorer：Explorer关联和变量的设置
　　SvcHost：SvcHost模块和变量的设置
　　Winlogon：Winlogon关联和变量的设置
　　Terminal Server：远程服务管理
　　WindowsUpdate：Windows 安全更新升级的管理
　　Control Panel：控制面板的管理
　　这些是部分基本应该受到保护的地方，必须设定一定安全并且不影响大量操作的规则
　　SSM的注册表模块：
　　

　　其中文件夹上带有“P”的为SSM默认自带的规则
　　有人说，2.4的SSM的注册表规则已经差不多了，实际上不然，虽然我上报了大量的注册表里面必须拥有的规则，但是官方只采纳了部分规则
　　但是，各类服务和Run键的保护已经很不错了，我们只需要管理一下其它容易被病毒利用的注册表项或者值就可以了
　　新手上路（注册表组）：
　　
　　SSM的RD有一个缺点，就是它的规则，注册表“项”和注册表“值”的管理是分开的，所以如果你想全方面保护一个项（包括里面的值）的话，就必须双管齐下，如图：
　　

　　

　　前面一个负责保护项，后面的负责保护值
　　为了便于统一管理和在弹出窗口方面能有更加安全的方式，建议对于具有共同性质的规则进行统一管理，如上面说到的Explorer，WindowsUpdate等
　　如何创建一个新组呢？
　　首先在注册表模块里面，“右键——添加规则”，在左边具有其它组的空白处“右键——添加组”，输入组的名称（如Explorer），确定即可
　　

　　这个时候，就可以往组里面添加规则了
　　有时候你会发现在不同的组里面拥有相同的规则，这是怎么回事呢？
　　是“分配到群组”的原因
　　分配到群组可以使同一条规则分配到不同的组别里面，而可以双重管理＋双重安全，哪怕你对一个程序允许了某一个组别的权限，但是那条被分配的规则仍然会在另一个组里面对此程序生效
　　添加方法：
　　

　　

　　选择分配的组别
　　这时就可以分配规则和调整顺序了
　　当你制定好一定的组别之后，就需要向里面添加合适的规则；除了从其它的位置分配之外，还需要自己寻找需要保护的位置
　　我对大部分用户推荐的注册表组：
　　Explorer
　　SvcHost
　　Self Protection
　　Windows Update
　　Terminal Server
　　Security Center
　　Control Panel
　　大家从名称上就可以看出保护的系统位置了；分类越细，系统保护的越好
　　初级设置：添加合适的规则
　　
　　设置好组合后，开始寻找规则
　　
　　利用SSM自带的“查找”功能：
　　
　　先选中“全部规则”，然后“右键——查找”，在输入框里面输入需要查找的规则（如Explorer），然后按下一个类似于文本图象的“选择全部”。
　　

　　然后分配即可
　　或者使用下列的部分规则：
　　HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
　　HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
　　HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
　　HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
　　HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
　　SvcHost的规则SSM默认的已经足够了，只需要分配就可以了
　　Self Protection指保护SSM本身的注册表项：
　　如：HKLM\SOFTWARE\System Safety
　　HKLM\SYSTEM\CurrentControlSet\Services\safemon
　　然后优先权设置为0（移动到最顶处即可）
　　Terminal Server：
　　一般用户或者软件是不需要这类注册表项的，但是在远程管理的时候却会用到，所以需要严加管理
　　在RegWorkShop搜索Terminal Server，添加合适的规则
　　或者参考以下的规则：
　　HKLM\SOFTWARE\Microsoft\Terminal Server Client
　　HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\Terminal Server
　　HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\MCI32\Terminal Server
　　HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server
　　HKLM\SYSTEM\ControlSet*\Control\Terminal Server
　　HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server
　　Windows Update的规则也很简单，SSM自带的足够
　　Security Center的也只需要查找和分配SSM自带的规则即可
　　Control Panel：一般只需要注意Control Panel\Desktop项即可
　　HKLM\Control Panel\Desktop
　　HKCU\Control Panel\Desktop
　　HKU\.Default\Control Panel\Desktop
　　中级应用：优先权
　　
　　一个规则组的检测顺序——优先权也是比较重要的，分配注册表组的优先权分为3个点：
　　1. 规则对于预防病毒的重要性
　　2. 规则的管理范围
　　3. 其它比较重要的组别是否存在相同的规则
　　一般我们把容易被利用的注册表项都放在最前面，如Terminal Server，Explorer和SvcHost（放在Winlogon的下面）
　　

　　然后其它的注册表项归类在一起
　　大家认为哪个放在最前面呢？
　　对，就是Control Panel，然后是Windows Update，最后才是Security Center
　　在以后自己制作的组别也需要自己判断组别的重要性
　　高级管理：应用程序规则
　　

　　在众多的应用程序分类里，管理注册表项显得比较轻松
　　

　　Web Browser：包括了IE和第三方浏览器（遨游，Opera，TheWorld等）
　　这时可以把IE Settings加入规则中，不过都是问号（日志最好都改成勾）
　　

　　Installer：包括了所有的安装软件
　　开放Services，IE Settings，System Critical和Malmare的权限，但是要严加看管里面包含的安装程序
　　Explorer.exe：
　　

　　SvcHost.exe：
　　允许Windows Update的全部权限（全部打勾）
　　Services.exe：
　　允许Services注册表组的权限（但是都为问号，而且日志全部为打勾）
　　cmd.exe：
　　禁止写入注册表，设置为只读
　　至此，SSM的“RD”模块中级教程就结束了。一些地方可能会有不完善的地方，请提出意见，我会尽快的改正的。
　　这样的设置实际上不难的，就要靠自己的经验和对系统了解的水平，而且我已经尽量的简化和平常化的语言了，希望大家理解。主要重点就是为了理解应用程序那里的RD设置和SSM自带的RD规则的不完整性，所以就写出此教程让大家注意一下。
　　这次就不在图片上设置“Oceanzd 原创”了，但是希望大家转贴的时候注明来源和作者。
shenyi309 2007-05-26 14:37 SSM“AD”模块中级教程——组类别升级设置（高级篇）

　　这次的分组名称和赋予的权限都有改变，但是大部分的还是一样的。分组明确更明确的话安全性会更提高，也易于找到程序，顺便学习一下各类程序的应用等。非核心系统文件的分界更明显了，这样的话包括一些容易被木马等利用的进程（Svchost.exe，Explorer.exe等）的权限和管理就会和其它的程序分离开来。当然一些会员会想，单独设置也很方便呀，为什么这样弄呢？这个我也不好说，可能是我的性格所致吧，要把东西分类的整整齐齐（就像我的文件夹分类……）。
　　总之，此帖仅供参考，很多规则还需要靠自己的能力来进行修改和添加。我只会讲述部分实例而已，并且会讲解SSM的权限意义，这样自己制定起来会更明白设置的意义。
　　
Quote:
　　日志：
　　
　　程序启动：是否记录程序启动的日志。
　　程序终止：是否记录程序终止的日志。
　　进程间的活动（DLL注入等）：是否记录包括创建新的线程或者远程线程等的日志。
　　系统控制：是否记录操作系统函数的日志。
　　设置全局挂钩：是否记录关于API等被全局挂钩的日志。
　　加载驱动：是否记录程序加载sys驱动的日志。
　　注意：一些人不知道程序启动的设置位置，可能会将“日志”选项曲解为“直接控制程序”的设置区，这个区只是为了记录日志的，但是为什么也要分类是否记录日志呢？我也只是为了分类明确而已。
　　
　　系统控制：
　　
　　允许物理内存存取：决定是否在内存写入缓存（包括线程等），0线程意味着这个进程虽然存在，但是没有存在的价值。
　　底层磁盘读取：略过不讲（大家都清楚）。
　　允许关闭系统：决定此程序是否允许调用ShutDown函数关机。
　　底层键盘读取：用来监控keylogger的。
　　代码注入/DLL 注入：
　　
　　允许远程代码控制：决定是否允许第三方程序对一个程序的代码嵌入控制（包括一些Windows主题等，关联DLL）。
　　允许远程数据修改：决定是否允许第三方程序对一个程序的嵌入代码行为（关联“代码”）。
　　挂起线程/进程：决定是否允许第三方程序对一个程序的注入型监视，用来检查程序的发生行为（包括调试程序）。
　　进程控制：
　　
　　若被终止则重启进程：题目说得很清楚了。
　　不验证效验和：即不验证MD5，有很大风险，但是适合经常升级自身的程序。
　　断开用户界面时阻止：即禁止了后台运行，用户的窗口必须可见。
　　检测命令行参数：决定了此进程可以调用的程序或者自己本身被其它父进程调用。
　　终止其它进程：题目说得很清楚了。
　　保护：题目说得很清楚了。
　　
　　网络：略过。
　　
　　选项：保护规则不被删除。
　　新增组设置：
　　

　　在原有的基础上添加了Cmd Run和Child App。原来的System(about)分化成了Common System App，System App(ask for connect)，System App(Deny to connect)。
　　

　　Common System App里面的程序列表。当然不止这几个程序，我只是列出了几个很典型的程序而已。这里的程序都是会被大部分病毒注意和常用的系统程序。权限上的限制和要求很高。
　　

　　我设置的权限制定。一般来说最好打开“命令行参数”一条，虽然会更加繁琐，但是安全性会大大增强。
　　

　　父子级设定。必须打开大量的问号，因为我们不能确定DLL木马或者EXE木马的调用意图，有可能会双层注入调用。一些组的程序不能作为这个组的程序的父程序，以防止虚拟调用。
　　

　　这里是System App(ask for connect)的设置组。包括了极少量的需要联网，相对安全，个人用户能用到的系统程序。
　　

　　我的权限设置。
　　

　　父子级设置。和Common那个一样，实际上这类需要联网的程序都会限制的比较严的。
　　

　　这里是System App(Deny to connect)的设置组。包括了大量不需要联网的系统程序（包括计算器等）。
　　

　　这里的权限看起来和联网的一样，控制的比较严，但是这里的程序大部分也不需要很多权限，所以就如此设置。
　　

　　由于不联网，不确定性会减少很多，在父子级里面的严格控制会更多。
　　

　　这个是Cmd Run的权限。为何权限要求很严呢？因为这里的程序只能被Cmd调用，命令行里的命令也不会或者很少牵扯系统文件，所以很多关联都给禁止了。
　　

　　先设置成都禁止（除了核心系统和Trusted的之外）。
　　

　　然后在Common System App打开Cmd和Svchost的父程序权限。为什么要打开Svchost呢？因为Svchost会一直监视并且会打开任何正在执行的程序的线程，否则不能确定程序，必须打开。
　　

　　这里是Child App的设置组。为什么叫Child App呢？因为这些程序只会作为子程序运行，不会调用其它程序。当然这类程序很少，所以要求很严，加入以前要仔细了解此程序的运行方案。
　　

　　我设置的权限。这类程序的权限需要一般很少（因为不作为父程序，不需要“调用”等权限）。
　　

　　父子级设置。将“其它程序作为子级”全部设置为“禁止”。父程序就要自己看看此程序的属性了，如图片里的TT升级程序，就要禁止所有其它的程序做为父程序（除了核心系统进程，杀软，TT浏览器和Svchost外）。
　　典型系统文件的SSM设置：
　　

　　rundll32.exe的父子级设置。禁止不需要的程序的调用，但是子程序不能控制，因为rundll32经常会调用一些可执行程序（如应用“控制面板”）。autorun.inf类型的病毒需要rundll32.exe启动程序，所以一定要开启“命令行参数”和禁止（推荐询问）不可靠程序组（如Normal组）的子程序权限。
　　

　　regedit.exe的权限设置。禁用不必要的权限。
　　

　　先禁用所有程序作为父程序和子程序（regedit不需要调用任何程序）。
　　

　　然后在分组来开启Explorer.exe的启动权限。
　　

　　注册表修改改成“Unrestricted”（无限制的）。
　　

　　svchost.exe的权限设置。
　　

　　svchost.exe的父子级设置。拒绝所有程序作为父程序，然后在子程序勾选部分可靠的组，因为Svchost.exe需要对任何进程开启线程（特别是Explorer.exe）。
　　

　　svchost.exe的注册表设置，列出了经常需要用到的注册表应用。建议对照添加和修改。
　　

　　Explorer.exe的权限设置，包括经常应用的“进程间活动”（太常见了，不举例子了），“关闭系统”（平常的开始关机都是Explorer.exe调用函数的）和“终止其它进程”（也很常见，你关闭窗口都算是Explorer.exe的）。
　　

　　父子级设置。因为很多程序会反调用Explorer.exe（包括打开窗口），所以就设置成了“？”。大部分的程序都是Explorer.exe直接启动的，所以大部分的都设置成勾号。杀软也勾上了，但是部分进程是以服务（services.exe）来启动的，需要单独设定。
　　

　　最后在Common那里详细的设置一下。允许这些程序以Explorer的子程序启动或者其它操作。
　　

　　举一反三：ping.exe的父子级设置。只允许核心系统进程，杀软，cmd和Svchost.exe来充当父程序。
　　

　　小试一局：dwwin.exe（Windows自带调试程序）的权限设置。作为调试程序肯定要打开远程控制，挂起线程，终止其它进程的权限。
　　

　　实验一个，关于设定子进程。以UE里面UnRAR.exe来作实验（因为只需要一个主父进程）。首先禁止所有的父进程（不包括核心系统进程和杀软）。
　　

　　然后先设置cmd和svchost允许调用（cmd调用为此程序必须，但是其它的程序需要靠自己的判断和经验）。
　　

　　然后设置允许主程序UE调用。
　　

　　taskmgr.exe的权限设置。允许关闭系统（一般为无法正常关机时使用）和终止其它进程（这是必备的功能）。
　　

　　父子级设置。先将父程序全部都禁止（除了核心系统进程和杀软）。子程序为了方便结束进程，直接全部允许。
　　

　　一般我们只需要用快捷键，也就是Explorer.exe来开启taskmgr.exe。所以我们只要将Explorer和Svchost作为父程序就行了，其它的都禁止。
　　

　　关于“命令行参数”的设定：
　　一些人会问，到底程序的启动是在哪里控制的呢？找了半天都找不到，实际上是在“命令行参数”里面设置的。
　　关于“命令行参数”，就包括“％s”“-Embedding”等，但是在这里比较常见的就有文件路径了，如：X:\Program Files\Acdsee 8\Acdsee.exe E:\ssm.jpg。在手动设置的时候，很多人将X:\Program Files\Acdsee 8\Acdsee.exe也加进去了，所以会发现无效，实际上中间有个空格，空格后面的才是参数，很多人都看错了。那么只有一个路径X:\Program Files\Acdsee 8\Acdsee.exe，没有空格和后接参数怎么办呢（在直接启动SSM规则里没有的主程序时）？那么就是留空，如图。里面的“允许”和“阻止”就是决定是否以此参数来启动程序了。
　　至此，SSM的组类别设升级置（高级篇）就结束了。一些地方可能会有不完善甚至错误的地方，尽管拍砖，我会尽快的改正的。
　　这样的设置实际上不难的，就要靠自己的经验和对系统了解的水平，而且我已经尽量的简化和平常化的语言了，希望大家理解。在这里单独设置规则和命令行参数是一个重点，希望大家重点看这里（虽然关于“命令行参数”的内容不多）。也要纠正一些用户的规则曲解问题。
　　这次就不在图片上设置“Oceanzd原创”了，但是希望大家转贴的时候注明来源和作者。
shenyi309 2007-05-26 15:24 SSM“RD”模块高级教程——细致的组分类和程序应用
　　

Quote:

　　写作原因：更加细致的分类组合能使用户在管理SSM时拥有方便，安全，轻松的感觉，而不是以往的烦躁；
　　在用户常用的部分程序里面，可以制定安全并且管理轻松的规则，使SSM的用户感受不到SSM的存在，却仍然能享受到带来的安全的舒适感；
　　虽然目前部分规则可能仍然有缺陷导致窗口频繁出现，但是那毕竟是少数时间，而且也能学到适合自己爱机的理念的规则

　　
　　

Quote:

测试版本：
　　SSM 2.4.0.618 Beta 版本，30天试用（已破解）

　　初级入门：
　　病毒日新月异的变化使杀软措手不及，注册表对于病毒提供的方便性使注册表保护日趋重要
　　以前我们所熟知的Run，Services键值已经不再是部分新病毒所看中的部位了；破坏安全模式，AutoRun，新的后缀名，流氓软件的右键菜单和网络连接键值成为了破坏电脑的新方式。
　　这时除了AD和FD对于程序和文件的保护之外，注册表保护也显得至关重要，而且很多部位我们都可以形成保护圈而不至于频繁弹出窗口
　　AutoRun：注册磁盘右键菜单的AutoRun项（和autorun.inf合用）
　　Policies：管理计算机策略
　　SafeBoot：安全模式的变量管理和驱动选择
　　Network：网络连接管理
　　Protocols：协议管理
　　Extensions：后缀名管理
　　Right Click：右键菜单管理
　　Security：其它安全类型的管理（适用于不好分类的其它注册表键值）
　　SSM的注册表模块（新增规则）：
　　

　　服务上面需要注意一下，默认的官方规则里服务只保护了CurrentControlSet项，却没有保护ControlSet*项，建议添加规则：
　　HKLM\SYSTEM\ControlSet*\Services
　　新手上路（细致分组）：
　　不需要关心一个组的规则的多少，分组越细，管理起来才方便，添加规则的时候更加方便
　　
[url=javascript:]Copy code[/url]
　　AutoRun（自动播放）
　　Policies（策略）
　　SafeBoot（安全模式）
　　Network（网络）
　　Protocols（协议）
　　Extensions（后缀名）
　　Right Click（右键菜单）
　　Security（安全）
　　以上几样是我们需要添加的，当然你也可以把它们填写成中文
　　这个只是我建议的范围，可以随更多的规则而添加更多的组别以便于管理，同时也要分配规则到新的对应的组合
　　初级应用（添加规则）：
　　
　　这个没什么好说的，直接按照规则表添加就可以了
　　
　　AutoRun：
　　HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
　　其中一个最容易被修改的注册项，包括CLSID值注册AutoRun和直接按照磁盘的字母（C盘，D盘）来注册AutoRun
　　Policies：
　　HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts
　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
　　HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
　　HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
　　HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
　　HKCU\Software\Policies\Microsoft\Internet Explorer\Control panel\homepage
　　HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
　　HKLM\Software\Microsoft\Windows\CurrentVersion\Policies
　　HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies
　　SafeBoot：
　　SYSTEM\*ControlSet*\Control\SafeBoot
　　Network：
　　很简单，直接在RegWorkShop里面搜索所有带有Network的注册项添加即可
　　Protocols：
　　HKLM\SOFTWARE\Classes\Protocols\Handler
　　HKLM\SOFTWARE\Classes\Protocols\Filter
　　HKCR\PROTOCOLS
　　Extensions：
　　记得以前很多人这样添加：
　　HKCR\.aif
　　HKCR\.exe
　　HKCR\.http
　　……
　　现在只需要2条规则就可以了：
　　HKCR\.*
　　HKCU\SOFTWARE\Classes\.*
　　HKLM\SOFTWARE\Classes\.*
　　HKLM\Software\Microsoft\Internet explorer\Extensions*
　　Right Click：
　　HKCR\*\shellex\ContextMenuHandler
　　HKCR\*\shell*
　　HKCR\DRIVE
　　HKCR\Directory
　　HKCR\Folder
　　Security：
　　这一项是不固定规则的范围的，只要是无法找到合适的组别的规则都可以暂时归类到这里
　　HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
　　HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
　　HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
　　HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components
　　HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
　　HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
　　HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
　　HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
　　HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
　　HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
　　HKLM\SYSTEM\CurrentControlSet\Control\MPRServices
　　HKLM\Software\Microsoft\ole
　　HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
　　HKLM\SYSTEM\CurrentControlSet\Control\Lsa
　　HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache
　　HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Shell folders\Startup
　　HKCU\Software\Microsoft\Windows\CurrentVersion\explorer\Shell folders\Startup
　　HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping
　　HKLM\System\*ControlSet*\Control\Session Manager\KnownDlls
　　HKLM\SOFTWARE\Microsoft\Ras
　　HKLM\Software\Clients\Startmenuinternet
　　HKCU\Software\Policies\Microsoft\Internet Explorer\Control panel\homepage
　　HKLM\SAM\SAM
　　HKLM\SECURITY
　　中级管理（快速查找）：
　　

　　SSM有一个功能，就是可以快速查找程序里面的注册表规则和对某个组别的拥有权限的程序规则的显示
　　这时我们管理起来就会显得很方便了
　　比如我们查找IE Settings的规则：
　　

　　查找出来这些程序拥有IE Settings的注册表组别的权限了，而且也可以查出高级权限
　　

　　高级解答（玩转程序对注册表的访问）：
　　我们以前制定了Explorer注册表组别的规则，但是会弹出大量的Explorer.exe访问Explorer注册表组的信息，如何解决？
　　这时我们就需要利用“仅此键/值”来帮忙了
　　

　　但是必须先选择“制定永久规则”按钮才能生效
　　但是每次制定的项或者值都是不一样的，所以仍然会弹出，这时就需要自己判断了
　　如删除桌面上的文件（如系统盘在C盘）的时候会弹出：
　　S-1-5-21-*\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\c
　　值是NeedToPurge
　　你这次允许并且制定了“仅此键/值”的规则，但是删除D盘文件的时候又会提示：
　　S-1-5-21-*\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\d
　　值仍然是NeedToPurge看出来没有？所以你就可以制定规则：
　　S-1-5-21-*\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\*
　　如果想更加保险就看看自己有多少磁盘，然后制定相应的规则
　　
　　或者在画图里面存储jpg图象文件的时候会弹出：
　　S-1-5-21-*\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\.jpg
　　允许了之后，下次想存储png文件的时候又会弹出：
　　S-1-5-21-*\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\.png
　　哦，知道怎么制定了吧，把后面红色改成.*，然后值改为*即可
　　如果很多程序需要使用某一个较安全的键或者值的时候就需要制定全局规则，然后设置为“高优先权”和“全部访问允许”即可
　　QQ的设置：
　　

　　允许修改IE Settings，然后对于其它的注册表项设置为“只读”
　　迅雷的设置：
　　

　　也是允许修改IE Settings，对于其它的注册表项设置为“只读”
　　因为读取和记录文件的时候需要修改部分内置在IE Settings里面的迅雷值
　　Windows Media Player不需要访问注册表，设置为“只读”
　　MSN也不需要访问注册表
　　IE的设置：
　　

　　开启对于IE Settings和Extensions的部分访问权限，然后设置为“只读”
　　这样可以避免IE被流氓或者插件利用篡改iE数据，也能保证正常使用IE
　　浏览器一类需要特别注意一个地方：
　　

　　每隔一天都会弹出此类窗口，需要如何设置呢？
　　注意一下，上面显示的时间都是昨天＋今天的日期，所以我们要在那里做手脚
　　首先我们先允许那个提示（永久并且只是那个键值），然后进入浏览器
　　

　　选中规则后，双击进入修改日期，将MSHist后面的日期改为*
　　

　　

　　创建2条规则，然后允许所有权限（修改等），日志全部开启
　　应用到所有你拥有的浏览器上，以后就再也不会提示了
　　WinRAR不需要访问注册表
　　其它的软件大家也可以提出来，以便试验注册表访问
　　注意：
　　RegEdit Group是专门用于管理可以修改注册表的程序，所以不能开放访问，却是严厉控制访问，毕竟我们不是总是在用此类程序修改注册表
　　

　　至此，SSM的“RD”模块高级教程就结束了。一些地方可能会有不完善的地方，请提出意见，我会尽快的改正的。
　　这样的设置实际上不难的，就要靠自己的经验和对系统了解的水平，而且我已经尽量的简化和平常化的语言了，希望大家理解。主要重点就是为了理解应用程序那里的RD设置和SSM自带的RD规则的不完整性，所以就写出此教程让大家注意一下。
shenyi309 2007-05-26 15:24 　SSM“AD”模块高级教程——程序综合权限的防护　

Quote:

　　写作原因：这篇可以说是目前SSM版本的最后一篇，但是在以后出现新的权限或者模块的时候仍然会继续教程
　　
　　估计在夏天SSM出现FD的时候才会续篇SSM的讲解，那时候估计还算有一点时间
　　
　　这次讲得是一些预防木马、病毒等威胁的实例应用，希望对于大家有所帮助

　　

Quote:

　　测试版本：
　　SSM 2.4.0.618 Beta 版本，30天试用（已破解）

　　初级入门：
　　首先，SSM的AD是不支持通配符和环境变量的，这一点我感觉很遗憾，这样会使实际防护能力大打折扣。如利用部分路径的程序进行升级，或者是被病毒利用可以完全的分隔，而不是混合在一起
　　
　　实际上EQ在这上面要比SSM好一些
　　
　　真正不需要其它任何程序依靠便可以执行的程序只有*.exe，*.scr，*.com和*.pif文件，在SSM的AD里面也只管理这些可执行文件，如其它的可执行文件则需要主体来协助完成执行，于是我们便可以利用这些主体程序来达到我们需要的防御效果（包括规定什么文件夹的可执行程序可以运行或者执行权限任务，哪些不可以）
　　
　　好了，这次的关键点主要是：文件夹内的程序限制，命令行参数的部分程序详细应用和部分程序的权限分配
　　
　　文件夹规则：
　　
　　规定一个文件夹规则之后，里面的程序都会被此文件夹规则管理
　　
　　如何制定一个文件夹规则呢？
　　

　　首先“右键——编辑规则——添加目录规则”
　　

　　选择你想设定权限的文件夹
　　

　　这时一个目录便会出现在此组中
　　文件夹规则设定：
　　一般我们管理的是一些比较敏感的文件夹，如Temp，每个盘的根目录，Program Files，IE临时目录和DPF（Downloaded Program Files），Document and Settings的部分文件夹等等
　　
　　每个人的Temp文件夹的路径可能都不一样，所以自己制定的时候需要注意一下
　　

　　这些就是我所制定的各个文件夹的规则，这时这些文件夹下的可执行文件的权限就完全被掌握了（包括存在的病毒）
　　
　　制定权限：
　　

　　

　　这些目录下的权限肯定要严格要求，我们按照最严格的方式来管理它们
　　

　　命令行参数在这里可以起到比较重要的作用，包括对于可以成为父程序的执行权限会被完全管理（注意：命令行参数必须在每个文件夹规则里单独制定）
　　
　　注意：需要在每一个文件夹规则的“选项”选择卡里面选择“包括子目录”，这个对于规则的应用很重要（本地磁盘除外，C:，D:等）
　　在这些权限的管理下，病毒想执行也难
　　
　　Program Files是一个很特殊的文件夹，因为它不仅可能包括病毒，而且一般也有你安装的正常程序（除非你不按照默认路径安装）
　　
　　不过如果你对于你所信任的程序设置了权限的话，这个文件夹规则就无法干预它们了，一般文件夹规则只是管理剩下没有制定规则的程序，所以不用担心冲突的问题
　　
　　按照默认（和其它的文件夹一样设定）的设置进行配置（如果你对于部分信任的程序制定了规则的话）
　　
　　这样就可以比较放心的应用程序了
　　命令行参数权限应用：
　　
　　我以前讲过部分命令行参数的初级应用，现在开始讲一些比较深层的应用，包括限制子文件运行，执行权限，甚至是什么路径才可以执行，什么路径不可以执行
　　
　　一般来说，命令行参数应用在主体文件上，如cmd.exe（负责*.bat，*.cmd等脚本），mmc.exe（一般负责*.msc），w(c)script.exe（负责*.js等网络脚本，不过禁用也没有关系），在执行相应后缀的子文件时便会出现相应的主体程序启动事件
　　

　　这是执行一个bat文件的时候弹出的窗口（注意“命令行参数”）
　　

　　我们创建了规则并且记录了命令行参数之后，查看cmd.exe的命令行参数，就会发现多出了一个“允许”的命令行
　　

　　我们把“清理”修改成“*”，这个文件夹里的所有bat文件都可以被执行且SSM不会询问
　　

　　这时我们增加一个命令行参数，禁止了所有盘的bat文件运行或者执行权限，只有那个文件夹里的bat文件才能执行（前提是那个文件夹的规则必须高于禁止的那个规则，也就是优先权）
　　

　　我们也可以只单独禁止C盘的
　　

　　实验之后发现无法执行此脚本，命令行参数实验成功！
　　
　　我们便可以用此方法来限制脚本文件的执行范围，大大提高电脑的安全性
　　

　　命令行参数不仅可以做到禁止脚本权限，也可以做到禁止程序权限，如我们在“命令行参数”里面加上“taskkill *”
　　

　　我们在cmd里面试图用taskkill程序命令终止一个进程
　　

　　发现会出现“错误：未知的用户名或错误密码”，进程没有被结束，SSM也没有弹出窗口，说明此命令被成功拦截
　　
　　当然这种命令只能应用在外部命令上，内部的无法管理，比较遗憾
　　部分程序的权限制定：
　　
　　由于我安装的程序有限，故只提供QQ，迅雷和金山词霸2007的规则，希望大家能够提出需要制作规则的程序或者自己制作发在论坛上
　　QQ：
　　

　　

　　迅雷：
　　

　　

　　金山词霸2007：
　　

　　

　　一般来说为程序制定权限需要了解程序的功能，需要访问的位置和执行的范围，然后制作规则
　　比如说：迅雷不需要注入驱动吧，那就禁止；也不需要注入线程吧，也禁止。实际上自己动手制作规则不是难事
　　至此，SSM的“AD”模块高级教程就完全结束了。一些地方可能会有不完善的地方，请提出意见，我会尽快的改正的。
　　这样的设置实际上不难的，就要靠自己的经验和对系统了解的水平，而且我已经尽量的简化和平常化的语言了，希望大家理解。主要重点就是为了注意文件夹规则的意义和高级程序执行应用，所以就写出此教程让大家注意一下。