刀尖上的舞蹈---4款主流Hips实机测试

竹木刀

转自卡饭论坛，作者：chesterzhao

; d" ^  ~3 U, H3 j  T, j0 E参测软件：按软件英文首字母顺序排列
$ e$ V' c8 V/ [  _7 U) R
Comodo v3  3.0.18.309(简称comodo)

. `( w* e6 i, \; s$ c! tEQSysSecure 3.41(简称eq)
, o4 s) `' G8 O
ProSecurity 1.43(简称ps)                 　

! f3 P3 \' e/ H8 K# H0 uSystem Safety Monitor 2.4.2.620(以下简称ssm)
2 i. `4 z5 q5 c5 J& K% G6 T/ |! E
# I7 q) k& K: h  G由于不可抗力因素，eq并没有实机安装测试，而是参考了各种权威测试帖，敬请谅解

! ~* t7 F# a9 X. w3 ^
. t( z- B; w, y4 \: d
+ G( p: c4 `9 x' N, HOS：xp sp2 msdn原版

) H% R! ~6 l. B内存：1G*2
2 q/ s9 T; l3 e7 J8 u* S3 X+ a
测试目标：当前4款主流hips不完全横向比较（托盘图标、软件界面、资源占用、自我保护测试、病毒防御...）
& ~& b2 i6 t7 n0 ]
- b# b8 T5 D- \+ I4 [2 i样本下载地址：
' {8 |7 F; p# f5 ]" H& j! {1、熊猫烧香 样本来源  
2 V/ _" N2 w5 f, Y* R  e* l- h" R
6 d8 o7 U2 z9 }  \! fhttp://bbs.kafan.cn/viewthread.php?tid=106100

2、小浩病毒 样本来源  

http://bbs.kafan.cn/viewthread.php?tid=118551

+ ?" f% ~- O1 ^3、磁碟机   样本来源  

http://bbs.kafan.cn/viewthread.php?tid=211669
5 J& H  A7 d$ H  S1 o1 W, I
4、机器狗   样本来源  

8 t/ A* U2 \+ B5 ~$ h- p, E; Bhttp://bbs.kafan.cn/viewthread.php?tid=183346

( a0 e1 `( W3 \7 q* v0 }" O- `托盘图标：
: \8 l) G7 e' [comodo


7 w9 ]" D! u  ]: V8 |8 `eq


0 O- G3 A0 W& j/ xps
1 |- e: E& a# l8 @
' ~. H. m( g% u7 u4 C" @* J$ C
9 A4 v' P' I7 ]) b) k/ e5 sssm


* w: n) L* S3 I; {' h& _" k5 b& F' R软件界面：　
/ o, }/ T$ A/ ~comodo
: q4 u, ^, {, ]/ G3 ]9 E


eq
3 E  n# o* w! A0 x5 \
! D, d% m0 Q0 p9 ~5 z

ps
- h( A' W8 U) y4 q9 U3 Y7 k


6 y# B3 v% q; g& H# m+ `5 Gssm
: e7 u# r$ N$ L  Q, d5 J" n+ u
7 b; V* P! S5 i1 u! E- {1 w. D

6 f# s% M" X/ g' h0 j
7 |. Q) c) q' _* S1 m0 x) V资源占用
5 u" g3 O7 q& |- g
0 n8 ^& s1 V3 y- f/ v：各人系统环境各有不同，仅供参考，如有雷同，纯属巧合
4 Z& j# f$ D4 `
# v- l$ Q- U. ~; B- q, C( }& U0 `( w4 s
+ M: U  J" U$ {5 @& V; r
' g$ Y: _: I: s. kcomodo
& P% D1 W$ _6 z" }# q9 F% n4 Q
. E2 |* U8 |9 S9 b: J6 {
eq
' j3 v# G# p! Q9 ^4 x
& {: M) g) j( b) ~% [' ]% e
0 O2 R& Z$ _4 ]/ Y; g
% D8 U! ~: a$ Gps


8 J, I- k  p' z# S9 J7 |
& q4 Y# r7 i5 {, p6 [, qssm

+ H6 @+ X6 Q+ N. Y. p
( {6 T/ s0 A+ I9 Q6 C
9 {" ^! c# {0 D! r/ d5 _* w. i9 y
阶段总结：

" L8 w4 `4 R7 B: |+ v现有的一般配置运行HIPS软件已经绰绰有余，其系统资源占用相对于杀毒软件和防火墙来说绝对是轻量级的

7 i" Z6 C; ^5 C# Y& Z$ `/ G; _. n/ k
# {* E. d$ j7 ^% K0 k) z' S+ K( u
, g" y" R4 w) ]+ }* X[ 本帖最后由 竹木刀 于 2008-3-14 17:04 编辑 ]

竹木刀

进程保护：使用工具Advanced Process Termination v2.1

comodo

3 [/ f8 u2 v# O( `/ R
Comodo 在图形界面cfp.exe关闭之后、启动之前，默认的规则处理逻辑是允许。

选上 block all the unknown requests if the application is closed，可以在GUI关闭以后，启动之前，提供保护。
; D! `9 Y( P( q( k' k" M: F
测试病毒的时候，万一cfp崩溃了。。。，所以要选上。

' _. R& f% [) r% N! f* t5 i4 ?4 H在安装了新的自启动程序以后，需要暂时去掉，等学习规则以后，再选上。
2 ^5 F. p  m' |% s7 o# j0 N9 A
Comodo 完全可以无进程内核保护，两个方法：
! I" x. ]% m4 D
2 f& b$ }/ N8 c4 z$ j1. block all the unknown requests if the application is closed 或者
. k+ y0 ?: A; S0 T; X3 q/ A. z+ |
2. 使用我的All Applications Limited 作为所有程序规则 All Applications *

/ r( M/ c% J* ~7 A' e6 j+ i2 q因为，在GUI关闭以后，All Applications 里的Ask规则会被忽略，直接允许。这种处理方式是为了照顾用户体验。
3 p/ U* M# n4 \; @/ i
这两种方法，可以同时使用。

ps

" u! b5 ?5 u* E8 p

  s& Q2 D! z) S; z进程被结束后，防护依然有效（基于内核保护的缘故）

0 y  q& H8 [2 ^) W* V% d# R% zssm
, N' `- _' `; Q$ Q: _: K  ]( F8 g/ b

有点出乎意料啊

7 \% e. Y7 F0 u6 Y5 \- O" ?
( Z1 F  O' k, Z2 N: m
eq


) i5 g- ~5 o: }( a2 O, O# \4 |
哪位ＸＤ做个测试后发上来，谢谢


7 f' v5 L& X. w& J
7 W( J# ~3 [5 l6 G4 _  Q阶段总结：现在市面上的安软自我防护一般分为（1）软件进程难以轻易被结束，如BZ和SSM，一旦被结束后，防护大多就失效了。（2）软件进程易被终止，但因为基于内核或驱动级别防护，故无进程状态下仍可发挥作用，如PS和DW
+ K0 Q5 @) o+ ^+ o& j
其中第二种方案为目前大多数HIPS所采用

竹木刀

病毒测试之：

: @+ V8 {  E( X' ~! P& ^1 [5 _熊猫烧香
" S8 v, L* Y! q( I. n& Ncomodo


ps
& S% v, l1 `" ?5 a/ B' ]/ v

/ j- D6 E, y8 ?* l/ U+ c1 i
2 E& r# {/ F( i9 y; s
9 I  n" g  y, t% U+ n6 [

* J# h! B: ?' I! `  }3 t4 A
- O3 Z8 J& v! X; O! [
/ j* p! V7 S; `" F. }9 R6 issm
! C* v/ [1 b  O' [
, @2 s$ Y% K9 I1 k7 ^% q
" K. l) J3 Z6 \) e

7 L5 t! ^6 \, U$ j7 O$ beq
- J: v6 b0 f& A  j/ T
/ D- u+ z% s4 i0 w' l/ f2 }
1 Z! q9 B: {/ a8 i

' v  ~; S. s/ y1 u% P
& M* Z- n5 N2 ]/ h6 D# h
% {2 D2 L# X2 l6 N* y9 h小结：
四款软件均轻松阻止了熊猫，没有任何尸体和进程生成
2 f, @& l+ z, V1 R( E6 w! {4 A! G  @

1 q% x0 p- I, E7 e2 J

4 E. M, Q) A0 K. I( n小浩病毒
* m# g# {7 d  x6 l: a* U* r
comodo

! H& ?  I, y: I

- A/ ~0 l$ ]% @) w




9 ^: m6 B1 `% f9 M7 O2 N

) k% y/ x: q8 v9 V4 `& D4 pps
- r0 e: m& E' F/ v- R, M


% C1 ?8 c3 l2 H$ U6 q( }: P6 ~
  S: J& _5 m! m
" G9 z8 ]3 s) U. i( D
( f0 R! X0 t. [4 f/ C4 z
& o  v9 j7 ]: j) ?  ]6 q% J


& j0 u1 W4 \6 L1 M! ?

! u4 C4 I" A7 `) g# J( W




. }) t" t% z, n
ssm


1 V) n* E. q& Meq
5 `9 \8 A& a; S% U8 R$ ?
; @% ^- Y7 r! x7 j0 q  V. o2 U

  p% o3 ]% n! I, |9 b" r* T
* D) v( _4 u7 O( s/ t% q3 }
! h6 [  V: }# f* b$ m2 _



. @8 V" f6 l: \% z0 N
% L' `2 {. x$ @& y# w1 I6 v: x
! Q2 m3 b0 N  l' z1 t小结：不用多说什么了，comodo、eq和ps均经受住考验，只在运行后生成一个无用的xiaohao.exe进程。
9 q+ N/ T9 V2 b; ^+ D1 l

& g; U1 `  c& v$ Z  A$ i
反观ssm只是在xiaohao调用ie时弹出询问窗口，其余动作一概没有防住。壮烈牺牲

& `( C7 N0 K' C3 ~4 Y0 w* [

竹木刀

机器狗:
3 a3 \5 z3 v- C1 y+ g+ b7 G- Scomodo



4 u8 i: W( O. n  J& u
; d' A( J/ W4 A" z
- ^. I2 b; G* q% P) L% ?5 @) f3 Q0 {
- K+ y3 n6 c8 [0 c1 V$ p
0 i& i* \7 i# i1 q/ P$ x
5 e7 U) Y: d( H$ q" D' U6 v
% K7 K4 j# _/ h; B, ?
eq




4 I+ U. {; _6 q$ q+ f$ p4 g& E+ `


* c" V. T8 G% \: Q2 z

9 O, p0 _# o& V  U3 `6 r
6 I3 I$ l/ x- {2 t7 o( \  I5 K7 Ops
8 h, l' T# O2 K
2 r3 q. P  h1 H2 J' }0 H7 n



$ e7 ^5 o/ N5 U  H1 o  h
- M4 B; A( e/ ^5 `. L& A" W& `( V+ m
/ i; i* K/ l! z" D6 g( `7 k
- Q, ]' k3 V  ]
小结:comodo、eq和ps完胜，而ssm我就不再测试了，大家应该都猜得到结果
/ [3 g4 }) a7 `$ ^6 D5 [7 n3 T
' U2 n, L# O0 e& S7 Q0 S  K! Q

磁碟机
4 [9 I- }. n, }8 T" }$ X4 G8 r
/ L! T& @+ ?& F! W9 G+ }comodo


  D  N. G1 }) G- W

3 U! e/ u# W6 M/ Y
7 U4 m& d9 `! h4 @/ J( y
* S5 {7 l8 F5 P
0 l9 t6 _5 U6 E% d, h1 @# s% S  X



eq



$ Q) S0 K5 q1 I# W
% c9 R+ w0 x6 Y7 }1 E
' k$ b* j7 o8 h9 E5 O, C; v
8 m2 _1 E% T' z. J7 [


% u/ V- C# G7 z4 @$ r6 x8 S
9 D+ E& i! z. w( A& C: E
  b. ]0 R; Q/ i. A) S$ R8 L说明：这是火鸟大大为了测mamutu而一路允许下去的，只要当中block一下就......
. c* ^* f! V- Y" M. s- [


ps
1 y, b8 X8 S, x. S; o# b. @0 D


一击致命！！！

老样子ssm还是老样子



阶段总结:

经过与四大毒王的血肉相搏，除了老牌的ssm由于缺少资金及技术支持，没有FD败下阵来，其它三款均与时俱进轻松过关

chesterzhao

麻烦请注明是转贴及出处，谢谢合作！！！

中航海

好复杂呀，要好好学