刀尖上的舞蹈---4款主流Hips实机测试

竹木刀

转自卡饭论坛，作者：chesterzhao

参测软件：按软件英文首字母顺序排列
1 m* Y# d. _! t- f
Comodo v3  3.0.18.309(简称comodo)

; Q6 @6 ?# Z2 [$ i) jEQSysSecure 3.41(简称eq)

ProSecurity 1.43(简称ps)                 　
, |3 S1 t* q$ w$ b
System Safety Monitor 2.4.2.620(以下简称ssm)
# y! d: a4 Z/ F3 Z$ w& l* E! u
1 f+ \$ r  O% x* X0 D- w: x由于不可抗力因素，eq并没有实机安装测试，而是参考了各种权威测试帖，敬请谅解
' Q6 C5 ], U' |* X1 o2 c
- N  B! V4 V0 d. {. h/ l0 F

, A4 D3 ]) I* w$ q: \OS：xp sp2 msdn原版

3 a. e$ {% {2 T' u- V% y内存：1G*2
" |5 }3 E9 X0 C% z
0 t) u4 P2 e0 Y* h0 ?6 [7 ]测试目标：当前4款主流hips不完全横向比较（托盘图标、软件界面、资源占用、自我保护测试、病毒防御...）
( P* q  U* [4 W/ ~7 O( P1 V
: v; G" |$ K$ ?% c7 m+ I/ H样本下载地址：
1、熊猫烧香 样本来源  

1 ?( T+ M7 \  o# T0 F  hhttp://bbs.kafan.cn/viewthread.php?tid=106100
! u0 h% y6 C. A+ A% I2 @
* [6 E0 T; ^' D9 y2、小浩病毒 样本来源  

6 v* m# Z% l" r* @  jhttp://bbs.kafan.cn/viewthread.php?tid=118551
7 Q( |, s: Q: k: A( L8 r1 t9 [+ B% I
3、磁碟机   样本来源  
" ^5 T; `% e4 `; |. e+ @
http://bbs.kafan.cn/viewthread.php?tid=211669

& W5 I6 {2 _: ?1 K( }4 m6 p4、机器狗   样本来源  

3 w& Y5 j% X- r/ s1 g- x# nhttp://bbs.kafan.cn/viewthread.php?tid=183346
9 s7 Y% _1 G0 w9 R' [
5 G0 R$ e1 p: g托盘图标：
comodo

0 y# K/ `3 d' c* S4 O
0 U9 L4 S8 B; }eq

* Y5 ?% m3 v, a+ h5 a
) g3 w) a6 I  W# L3 gps
7 p' C! w% x  B4 J( {
, Y7 W0 t6 j* [
3 y" q3 H- ^7 N2 w9 yssm
+ g0 e* }1 r: Z7 a( J+ ^
3 p" P9 @- F, M* I6 {+ l4 u2 o  [
软件界面：　
; v, R5 l  W1 Z! F! b  Xcomodo
. j  U+ ]' c2 I


( h; S4 _6 f: Z5 ~4 teq
% S. K4 a) F( c. N5 P' s- q


+ q& O/ }; @& O# J, cps
+ q& [, n5 k4 |( s5 ?! I

8 s. Q: F5 m. x7 x7 b
% d2 a& S3 y8 P8 }2 g% assm



) \: V( e% h$ ]6 c
) W5 |$ z4 m3 c6 Z! z6 `/ u  Z资源占用
6 C. g8 C2 y8 @& R
( H# a  Y7 @1 E# W; F8 W1 _：各人系统环境各有不同，仅供参考，如有雷同，纯属巧合

$ U. Y" v" g3 S( H
/ ?/ t& T; r1 F& j
3 `. f4 c5 E3 i  t6 Z; dcomodo
: ?# o8 m3 s; }  L3 d7 H' L  N

, g+ G0 U7 c4 r/ e# S& Aeq


1 ]. W- K" h1 N3 A. _9 {5 I
ps

# E$ k  ?4 y9 P( s

ssm
  `8 I" u& K4 M$ U3 {

  i- v" q+ {! I
1 E6 g7 t& N3 d, b; w
7 ?3 E- X9 g" T% s. E0 I阶段总结：

现有的一般配置运行HIPS软件已经绰绰有余，其系统资源占用相对于杀毒软件和防火墙来说绝对是轻量级的


& D3 V0 r' u% m. x
5 K6 ]9 G, z* e; p+ W( P[ 本帖最后由 竹木刀 于 2008-3-14 17:04 编辑 ]

竹木刀

进程保护：使用工具Advanced Process Termination v2.1
( L. G% Z: u* p( M1 u& G- {" R
# v( ]" ?- e6 K& l  G- B' xcomodo
* k9 e+ R/ }: r& i5 `9 V
5 Y2 w- C% e: c3 Z. @  L
# N+ X; n# x! y5 t; q, }% nComodo 在图形界面cfp.exe关闭之后、启动之前，默认的规则处理逻辑是允许。

选上 block all the unknown requests if the application is closed，可以在GUI关闭以后，启动之前，提供保护。

测试病毒的时候，万一cfp崩溃了。。。，所以要选上。

! ~& ]' ^5 x4 S在安装了新的自启动程序以后，需要暂时去掉，等学习规则以后，再选上。

( q+ h6 X& U4 O/ u: q& J. tComodo 完全可以无进程内核保护，两个方法：

1. block all the unknown requests if the application is closed 或者
4 h; L- g; ?0 G; d+ l* O6 Z7 I" ]
2. 使用我的All Applications Limited 作为所有程序规则 All Applications *

. w# `0 M$ y) q/ Z, A0 j! t2 r因为，在GUI关闭以后，All Applications 里的Ask规则会被忽略，直接允许。这种处理方式是为了照顾用户体验。

8 [4 i3 X$ l: \( v6 i! y这两种方法，可以同时使用。

ps


/ l& v* x. i) R0 q3 t% S
进程被结束后，防护依然有效（基于内核保护的缘故）
  D' ]1 h' B# C" B6 q
0 B; r/ S  O2 `7 Q7 Ossm


1 |# D6 T1 T; s2 {0 t6 a$ f! T% n. t) \2 r有点出乎意料啊
2 j) J# |5 _  `/ [  U5 J


eq
' \9 v7 q, a: ]

8 Z! X6 v, l2 A# R  Q/ e6 q* g
哪位ＸＤ做个测试后发上来，谢谢


7 t9 ^1 [4 b8 m: s$ v0 L6 f" ^7 h
阶段总结：现在市面上的安软自我防护一般分为（1）软件进程难以轻易被结束，如BZ和SSM，一旦被结束后，防护大多就失效了。（2）软件进程易被终止，但因为基于内核或驱动级别防护，故无进程状态下仍可发挥作用，如PS和DW
% [. \: Y; {. x& n( P
其中第二种方案为目前大多数HIPS所采用

竹木刀

病毒测试之：
9 K5 i; ~( ~) O* R7 `4 v6 l* R; V9 f6 Q
熊猫烧香
) u, T* ]5 b# Q7 c- D  m8 b6 E& i* \comodo
, Q& p& y+ }* B2 c* |: K' ~

  @5 G7 n$ Z" h, {- F: Lps
7 l) p4 n% P, I
4 |( }$ k" p) [8 Y3 y

$ G, u( s& \+ F" P7 ^8 e7 N
- @0 P! p! |3 n
0 v# X; |9 z8 i) U4 ^
) G3 z. f4 p3 K4 z# |: e

: ]: [  {; X; G* w  V$ \( q1 |: `ssm


3 N+ E$ ]1 w# W( ?  W
+ x8 U' |$ T# p) T7 r1 a, t" o
eq
/ P0 |3 U4 m+ H$ L7 u
, a3 h, y' f0 F" i7 e5 g


* \+ O& v, s" A( R
9 y8 h9 W: m7 g8 a, g1 |7 m8 y- _9 h/ ]
小结：
9 V! P/ X$ |( j四款软件均轻松阻止了熊猫，没有任何尸体和进程生成



& L6 A) Q- T" \, e- C, j: `
小浩病毒
# Y) C0 m, Y4 p8 o+ @
( @* v( X  m4 c' _comodo
5 T/ @$ K& U- V) u# K6 f; [3 p





5 [! ~: _4 G' e* P
9 U: ~: h3 \" n. }( d: n
+ Y6 E; W- b! G# Y2 z

ps
& n3 Q# W1 k2 [- F$ a- Z. f! l
  k) K* F8 Y! h


: k7 O# w# B& ~3 Z$ e' W





. V  m& e2 u! X' m- ^9 p' `
  [9 V- g) d& e! y. {+ X. d
1 S0 A3 ?7 j- D- J* g4 W" ^

! l. z+ S! H  ~& s3 a( B8 Z
- T7 h1 t& ^% t0 J4 M: `
( _+ |1 O  J, r8 Z% k3 @8 k  n
. X6 M# p) y5 [8 f8 j
% m2 r1 D# Z3 b/ {9 g/ wssm


, W; s8 E/ a  I- Zeq

- \! H- R" S) |  c$ P1 N' _
; M& H; z- h! f
8 V4 L- ]" l+ G  e5 l
6 i" D8 U0 a4 Y, ~






小结：不用多说什么了，comodo、eq和ps均经受住考验，只在运行后生成一个无用的xiaohao.exe进程。



; F! s* N5 m# L  P  R2 g5 p反观ssm只是在xiaohao调用ie时弹出询问窗口，其余动作一概没有防住。壮烈牺牲

竹木刀

机器狗:
3 Z( |7 [5 N2 ?, ?comodo
' H" T/ f/ D. f6 r




  P: a; l8 V, i
% r. G' f& w0 W* [$ R

& `! Y. f0 q( o' e4 K/ y7 e  Q

4 B+ B1 ^, f. O# I# P! b( T; Qeq


. a1 f$ ?+ H4 z4 }( V

6 @+ c" Y+ m; e  j) [
. `8 N% V4 n2 I& ?8 d+ x

6 t$ y* y+ f7 t/ U* P  C" k7 r
. X: ~/ J6 ^' G- a8 P' L
3 {1 |4 I5 Q1 K
: b# s% a4 l, |ps

8 y" X" K( f$ t: `; E0 ^" N+ v7 _
* Y* q! _$ Y( j5 l

  Q1 C& k- A1 x1 z




小结:comodo、eq和ps完胜，而ssm我就不再测试了，大家应该都猜得到结果
, ^0 O" K: A! W$ R

, ?7 l" M0 o- z+ J7 [6 Z
- d3 s6 q- x( q* ?6 |磁碟机

3 ]: P3 a& l/ }7 x+ B- Acomodo

" R) J- D- Y* g1 |$ P, h


, m- C7 n% [8 d$ ~5 @: l


6 M. R( X$ ?+ w% q  ?0 a) B% v; ?
1 n+ t/ z+ d8 Z. D2 R

) l9 v! V3 W+ E) f( G
* P  @$ y1 ?7 W4 L$ G# l. Meq
1 E* m* Q; N7 ^) f/ k

" }4 o- {8 f  T+ s: N+ j
3 K8 {+ ]5 V: M4 R! ~2 T9 U6 {9 J
, P& t" p+ H4 }4 y. `* J, `


8 H+ K2 n  `: j& G

% B6 K) K- r; _& l: |

说明：这是火鸟大大为了测mamutu而一路允许下去的，只要当中block一下就......
9 Q( S5 l6 ~9 Y' W) b
$ D3 r$ H) m( w$ x
* F/ F# q/ {0 P7 }: }+ X
; }4 u! B7 w* `9 R9 K9 l4 Gps


6 ^6 s1 r) A& |& C7 i: K* C
# U/ E7 C( ]( E' H% x% c一击致命！！！
( y2 o! ?- G& p' Q$ I
老样子ssm还是老样子
# k$ \! Q5 y) I) m8 B( y
7 W" E% p5 B& y% W" o* T- b! T

% \$ a: y. s2 }阶段总结:
7 _$ Y) `9 B  M- E, [5 c
经过与四大毒王的血肉相搏，除了老牌的ssm由于缺少资金及技术支持，没有FD败下阵来，其它三款均与时俱进轻松过关

chesterzhao

麻烦请注明是转贴及出处，谢谢合作！！！

中航海

好复杂呀，要好好学