刀尖上的舞蹈---4款主流Hips实机测试

竹木刀

转自卡饭论坛，作者：chesterzhao
$ H0 m- g# \8 S" \8 Y$ A
/ }1 f( p9 w6 q& m9 c参测软件：按软件英文首字母顺序排列
2 r- m8 B9 q- f5 d; ?: B, t9 L3 R8 \
Comodo v3  3.0.18.309(简称comodo)
4 O; V, w: e8 ]9 i; s! T' A# l
EQSysSecure 3.41(简称eq)

ProSecurity 1.43(简称ps)                 　
* ]: `- r4 W8 D5 |# u
System Safety Monitor 2.4.2.620(以下简称ssm)
# \7 B) Q# j, v) e, ]* G6 a. y
5 u& L+ ]; y( Y9 `# @7 n3 U0 y由于不可抗力因素，eq并没有实机安装测试，而是参考了各种权威测试帖，敬请谅解
4 M4 }- W! T  P  k  }- [/ F9 G

7 B: p  ^9 q! c" L* S
0 N7 X, g8 D; Z& g7 ?OS：xp sp2 msdn原版
1 c. g/ `, x% r
' u: M8 q# y6 _5 ~: p3 \$ F内存：1G*2

9 h: A; N" w. n- Z7 t' t* W! I测试目标：当前4款主流hips不完全横向比较（托盘图标、软件界面、资源占用、自我保护测试、病毒防御...）

7 s/ V& z( d% x样本下载地址：
1、熊猫烧香 样本来源  
4 P" A. j* y# ^3 K& E; F$ K' D
http://bbs.kafan.cn/viewthread.php?tid=106100

2、小浩病毒 样本来源  

* }9 W! ?6 z6 f, lhttp://bbs.kafan.cn/viewthread.php?tid=118551

3、磁碟机   样本来源  
( g9 ]- T  ?8 l4 q6 m3 x# p: r5 W
http://bbs.kafan.cn/viewthread.php?tid=211669

; d+ w* z! \. b! I4、机器狗   样本来源  

6 K  F" p3 Z! }. {; F# t: i( o( b  j6 }http://bbs.kafan.cn/viewthread.php?tid=183346

托盘图标：
comodo
% z+ t! c, x6 _# e) Q0 @) i
' {- h+ j# d- m2 p
eq
- o* \: _6 q; R6 Y) n

4 X6 i* E2 G6 ips
$ o+ Y! W! O9 Z* w& C+ I1 H1 ?
4 C! ?5 ]( O4 w- Y
9 j% @$ G6 ~" }7 S  e( n1 a2 kssm

7 J) k0 z- [1 @$ \+ a# G8 C: H# T
软件界面：　
5 S# E# q# W9 i4 z3 s+ c& o) qcomodo



( w  T1 P+ u9 r; Q8 {; H5 {( ieq
1 ^) i5 w8 r& j/ |5 \

- B* a, h  j) X; s/ s7 m1 x% I, b3 u
! F6 w6 o* T8 l8 ups
7 o2 o  i, S; |# V


ssm
5 m/ K+ y- d+ D: Y" T# w* P


2 v& Q( r/ [# _) ~: S
资源占用
- @4 ~# w" m0 ?1 i3 W/ |
% e2 J& S6 S) V* @1 O7 p：各人系统环境各有不同，仅供参考，如有雷同，纯属巧合



$ t" {* e( M3 j8 I5 V- rcomodo

; O5 l1 v% a/ C/ o, {
6 \4 C' P& Q* m0 C& j2 oeq


* }) o& R# r) w, w! V! j$ ~
ps
) P( F- J# T/ [. x% Z; A: Z
: d' D  w. c5 J- k" @
- h/ e& H) W  W8 r
9 r# v) H/ G6 j- {ssm
! E; R3 L' ]8 X+ n: [: _. S



阶段总结：

现有的一般配置运行HIPS软件已经绰绰有余，其系统资源占用相对于杀毒软件和防火墙来说绝对是轻量级的

. A; ?5 T0 j* M

[ 本帖最后由 竹木刀 于 2008-3-14 17:04 编辑 ]

竹木刀

进程保护：使用工具Advanced Process Termination v2.1
8 k$ o8 ^- B8 O( @$ ~% `
comodo
! f% [- M3 s# }0 W% s( W
! {- d3 [& f0 Z! h5 m. a+ a
Comodo 在图形界面cfp.exe关闭之后、启动之前，默认的规则处理逻辑是允许。
, |: _) y4 r' \& k. B1 E% q
选上 block all the unknown requests if the application is closed，可以在GUI关闭以后，启动之前，提供保护。
& p4 N- t" x( I
0 b; r5 T! b8 d2 F测试病毒的时候，万一cfp崩溃了。。。，所以要选上。

5 K0 }2 ~& T$ m* P在安装了新的自启动程序以后，需要暂时去掉，等学习规则以后，再选上。
+ O) j- w3 V: q5 w. p9 e7 u
Comodo 完全可以无进程内核保护，两个方法：
: q. q" s4 m( a! ^5 y
1. block all the unknown requests if the application is closed 或者
. i  |- P2 |3 T8 _
$ ~/ c0 u! i% Z5 u2 \2. 使用我的All Applications Limited 作为所有程序规则 All Applications *

% _" I) ], v& A3 ]- X; }8 z因为，在GUI关闭以后，All Applications 里的Ask规则会被忽略，直接允许。这种处理方式是为了照顾用户体验。

3 W% u5 Y( o5 G6 ^; u) o这两种方法，可以同时使用。
' {+ t# P, i  c( O1 K" _
( @1 z( t3 d# H$ R, [2 V* X0 V" wps
9 A& a+ F* v5 x: y& ]
& ?0 h1 o4 z+ K: ~& J
: A$ V# W' w- ]+ s$ G
进程被结束后，防护依然有效（基于内核保护的缘故）
5 s9 S  e9 o. E7 j' v5 K4 ^6 p% a
' j% {: M; W9 Z6 ?7 i3 Hssm
+ g  H1 e) H8 p7 v" t
! z; `2 G: H: [% {. p- q
7 y5 ~( w$ m: Y3 H有点出乎意料啊
3 n' U* k: B" R( V  \
) ~. @  s, r! E
6 O: m5 {8 |/ Y, c1 L
) b3 y# V2 u! Req

5 q6 ^2 p5 a7 Z% W6 l

3 {0 l' U6 _2 L! R) X, v; ]! B5 l哪位ＸＤ做个测试后发上来，谢谢


& p# s' W% j+ K6 h) V9 \9 P
阶段总结：现在市面上的安软自我防护一般分为（1）软件进程难以轻易被结束，如BZ和SSM，一旦被结束后，防护大多就失效了。（2）软件进程易被终止，但因为基于内核或驱动级别防护，故无进程状态下仍可发挥作用，如PS和DW

其中第二种方案为目前大多数HIPS所采用

竹木刀

病毒测试之：
7 s: W$ d! c9 W! c
" R) r3 Q% H* T4 S- ?- F8 n: }熊猫烧香
- o" u) W/ D/ C8 B& Vcomodo


ps
$ I0 I) W2 W& ~$ i
$ l% T+ z+ w5 X: u( l( j) a
7 }0 H7 U  s3 e2 I4 m
$ B# `9 ?" p) c) n; a

/ t/ q- S; E3 f$ N5 T( t9 J
2 G/ d8 w! ]+ ^1 \
1 m" A, G& k; q0 f3 ?$ D0 I
" w$ @7 ^+ [* H* u1 Mssm




" V* Z. E% ^& R" H0 {  req
' i, d! W$ B9 Y4 G$ N
( T, i+ q. \. t* F) _* _) i. m


! S& G' _% r) x7 _' i! g

& p' {/ J% f6 X+ @小结：
( O8 a6 _( |+ I4 R1 F四款软件均轻松阻止了熊猫，没有任何尸体和进程生成
% T: h, c6 g% U- \% k( O2 F( t


8 ^# K+ f8 j1 V  `
& p3 `  y+ J& j  M. N1 p小浩病毒

comodo

# Y, U3 e1 ]6 W( Y# y4 A) C, p
' Q1 B( m& ]: u6 t4 g
5 _; Q; F" B2 S
5 C2 U0 O: b* t, v  v& F. e


8 e. c2 i" p' `6 L! ^! G

4 D- k4 p) J/ e  v) y+ @+ U
& F# e9 p# ~; g" ~. E) bps
$ W, A9 l) V/ k3 A' A1 Q
9 _) L. v) t1 m) }1 D: ~




  N. {0 L% L: s

. Q2 l, O! Q5 i" a, ~6 s9 G7 M* \; B7 T



6 k, P' B3 L0 Y
; L7 }8 w" w+ T: c6 {* r6 V
2 k5 J+ z, j1 F# O$ I- b9 j" j  \


7 ?7 B& O$ d: E3 Y$ Z* y7 L8 p
3 g2 t3 G$ D. D, O2 q$ s9 k2 Qssm

3 W: V1 j( H$ w
8 Q( f2 [, h! R$ Zeq
, s  i1 F& X/ r) `% s; j' c( B9 e- S, a
! y* O' z) I" i4 _" D
. I3 l7 j+ o' m




6 T; d2 y7 }2 U2 ~
* F+ h' W  Z  j. H
1 t+ H5 f8 Z/ w/ u0 F

小结：不用多说什么了，comodo、eq和ps均经受住考验，只在运行后生成一个无用的xiaohao.exe进程。


: ?" ]" f/ j' Z8 r
1 e5 q% V, w/ c反观ssm只是在xiaohao调用ie时弹出询问窗口，其余动作一概没有防住。壮烈牺牲
$ a# o, x8 W+ X% K5 y$ }1 V

竹木刀

机器狗:
$ m9 z: l( b6 O4 l7 f9 D  H# m- Vcomodo
6 ?$ Y9 ^) a# w$ `4 u* S' e+ O
9 w7 q# @2 k  Y8 Q8 }# [
# m9 f9 f2 n8 i# o  ~+ O. w. F! }8 w/ y! V
: c$ {* x2 g  B9 H) p
; O6 f) q% ?9 O- H5 j# N




" R. V+ V- m; ~" Z
eq

" F; l* u0 k2 y. R: S

$ b2 K0 I9 S( B5 K: f/ S

* R7 d1 l/ E% D( h! S( y3 q

1 O  T5 i2 ]6 F2 T* w( B+ F% D& B

4 b0 b5 D" [( c9 y& b# x6 J
! \6 C8 `. L- u5 N+ ]ps


' v- r; I' ]- p9 H
* F8 `0 }1 t, p% v/ L8 c

! J8 y- j" y- V! o; D: P' T: _

. K+ x+ h! q% s2 z2 M$ z2 X
8 V" w; b, N% z8 e2 U+ P+ u
小结:comodo、eq和ps完胜，而ssm我就不再测试了，大家应该都猜得到结果
1 {0 P/ N8 h) `


2 {* j5 p9 A9 U磁碟机

$ V4 D% a5 V7 ^$ B8 i! A- |comodo
% f% \5 |1 O( ]8 g1 Y# u



- \% a8 T2 u8 ]* s: Y




5 T* f* {5 x6 t' N- `# O
% X2 @, H' }( m8 Y0 F
eq
4 U4 W5 X" w7 G* a
% |4 k: O& c! H3 K4 O# J- n1 A
2 Q. T% V+ A0 |% C( J  p$ {- \& f7 j" C

5 a4 q0 o! p0 [4 V8 i


/ m7 N( V  R  g. z3 _

' H. Q$ I. G( K- b
) R! g4 X# P. [
说明：这是火鸟大大为了测mamutu而一路允许下去的，只要当中block一下就......

4 f5 D2 P" U$ E; L4 H% O! \; v  f
8 ?1 C  \, z1 t/ A* a& `. A* }
ps
5 ?- @8 I) o5 q

( ?" }0 b. N- l0 }8 H2 \
6 ~# e0 S% Z0 k) K: z( T' t) q& ~/ |一击致命！！！

8 W+ h! B& Q% c$ s& ]) L! O老样子ssm还是老样子

* i2 T) a& I: G' ?  G/ o: s
+ ]5 N$ b" a- L! {9 D( ?0 ~' B
1 t; p' R: m8 m* V& J阶段总结:
% Z% n# p" v6 Y+ x. v! F1 T
经过与四大毒王的血肉相搏，除了老牌的ssm由于缺少资金及技术支持，没有FD败下阵来，其它三款均与时俱进轻松过关

chesterzhao

麻烦请注明是转贴及出处，谢谢合作！！！

中航海

好复杂呀，要好好学