刀尖上的舞蹈---4款主流Hips实机测试

竹木刀

转自卡饭论坛，作者：chesterzhao

参测软件：按软件英文首字母顺序排列
* p; ?9 U' d& L# I+ F
% u/ {, L+ S) F/ ZComodo v3  3.0.18.309(简称comodo)
  n, E; Y' v) H$ y7 h+ `/ J* B
$ T6 j2 i* a& u, r; MEQSysSecure 3.41(简称eq)
! n2 d7 O0 n, P$ d
2 k& J7 U7 M- y" |ProSecurity 1.43(简称ps)                 　

System Safety Monitor 2.4.2.620(以下简称ssm)

由于不可抗力因素，eq并没有实机安装测试，而是参考了各种权威测试帖，敬请谅解
4 D: ]  Y; ?: S/ _5 n
& [/ o2 k# R) x1 `- }# [" z5 k

OS：xp sp2 msdn原版

/ W! z$ w( K! h& j" I2 ?/ x内存：1G*2
% F4 q- p0 M& z" W$ W
  ]/ K3 T) s# {2 \8 C测试目标：当前4款主流hips不完全横向比较（托盘图标、软件界面、资源占用、自我保护测试、病毒防御...）
$ H( \$ G* v7 J7 j: P8 |. g
- Q% @/ T+ Z% T7 c; L6 Y1 U+ }样本下载地址：
1、熊猫烧香 样本来源  

http://bbs.kafan.cn/viewthread.php?tid=106100
3 p$ q1 s$ ?& g- g
4 G- _! J' H8 s2、小浩病毒 样本来源  

http://bbs.kafan.cn/viewthread.php?tid=118551
9 S7 a2 B, _* N! ]
3、磁碟机   样本来源  

http://bbs.kafan.cn/viewthread.php?tid=211669

& e: @& s, z3 Q1 v$ Q2 H4、机器狗   样本来源  

; @0 S7 b6 X/ I( b# V; ohttp://bbs.kafan.cn/viewthread.php?tid=183346

托盘图标：
comodo
  o% g: o* t) o1 M4 h
6 y& r7 ?9 {/ S& N" E2 T8 y
  P; Q9 k& @% A+ C+ Leq


ps
( O! d6 ~* m! s/ ^, g8 s& J0 n
! z: X- v& M% o( t" q
ssm

- T7 b5 v6 J3 m/ q
软件界面：　
comodo
( d/ @- P0 n0 k3 [
) X( T- {4 ~: W

eq
$ L+ A% P' C0 s. R5 e( q1 S* ^
. Y" b; X' W0 p+ j

ps
4 {+ g6 B. @" v6 m8 z( }8 P

* ?3 P9 B6 v/ Y. T5 d
# D2 `3 m  j2 a( [( bssm
, _* r  {0 j! N$ m+ k
  t( Z& o  P+ T! V

' Q# B* ]$ z* H& h6 y/ m
) X! q2 P- n2 I& z0 N; _# a8 t: L: _资源占用
5 r$ d( s5 j# b5 t  K) O' g
2 d7 }. l$ O2 T$ `0 E2 n+ b! R：各人系统环境各有不同，仅供参考，如有雷同，纯属巧合



comodo


1 F% z8 @' `$ C+ Aeq

6 B& x& N& Z4 F$ p$ S8 y
9 b8 X; u3 ?3 W) S+ ~! q
ps


0 t& B; R% H# Z- b# F: v' t# @! |; q+ e
3 \5 Z) G0 t' a7 K5 K- Tssm

  r0 u9 I3 T2 A" T2 [0 O
1 @/ O7 }% A% P2 c. x
! U4 r8 I2 `4 o5 N1 q. ^
阶段总结：
* I' U) D& Q) |
+ n5 @7 K7 N/ k现有的一般配置运行HIPS软件已经绰绰有余，其系统资源占用相对于杀毒软件和防火墙来说绝对是轻量级的

* ^$ k' G" X) H0 |1 }3 j4 U2 t

[ 本帖最后由 竹木刀 于 2008-3-14 17:04 编辑 ]

竹木刀

进程保护：使用工具Advanced Process Termination v2.1

comodo

. L# c1 r: b& M! U, ]3 s' ]
Comodo 在图形界面cfp.exe关闭之后、启动之前，默认的规则处理逻辑是允许。

0 F, [& e9 i' t% y- E1 C+ T3 C选上 block all the unknown requests if the application is closed，可以在GUI关闭以后，启动之前，提供保护。

; D0 x* c/ o; y9 z测试病毒的时候，万一cfp崩溃了。。。，所以要选上。
6 c3 n( J5 F4 N$ k; \2 {2 [) K
, w- p! d  }) ~5 [' j* p在安装了新的自启动程序以后，需要暂时去掉，等学习规则以后，再选上。
5 ]6 s  ^7 `% F$ k' L$ e2 K% H1 B
Comodo 完全可以无进程内核保护，两个方法：
2 W; `: J3 O9 r8 z- A8 @
+ J! h5 g4 `8 K9 |: W  C( ]1. block all the unknown requests if the application is closed 或者
. g0 r; M0 F! Z; f
2. 使用我的All Applications Limited 作为所有程序规则 All Applications *
, s3 l! u4 w% X
因为，在GUI关闭以后，All Applications 里的Ask规则会被忽略，直接允许。这种处理方式是为了照顾用户体验。
1 h, j: }5 m0 u" [+ [. C( c2 l% E/ F
+ q; [3 }& T5 `: k- `5 @6 l这两种方法，可以同时使用。
1 L# {+ p3 E1 P- u" Y+ a' o
1 S6 A9 }3 \5 ~! rps



进程被结束后，防护依然有效（基于内核保护的缘故）

ssm
* ^! e0 f  R5 N0 _# j. O5 g
4 U0 y% r. ?% _3 _# w5 D
有点出乎意料啊
) m/ ~% _0 ^8 q6 r  X/ u

' s1 i2 o5 `. j9 [
eq



1 i% L" ?6 b# r% G6 _' ]9 \: b) N哪位ＸＤ做个测试后发上来，谢谢
5 Q- L- E) s, O& Q. M7 N  s, G5 `
/ _  \. }3 o4 ~
& @, ^" G0 j5 q& s
' L4 ^$ E  n5 _- \0 e阶段总结：现在市面上的安软自我防护一般分为（1）软件进程难以轻易被结束，如BZ和SSM，一旦被结束后，防护大多就失效了。（2）软件进程易被终止，但因为基于内核或驱动级别防护，故无进程状态下仍可发挥作用，如PS和DW
' F! W7 I# i( [* M- ]& |9 P
其中第二种方案为目前大多数HIPS所采用

竹木刀

病毒测试之：
7 z* V7 H5 |: m1 L8 [  m2 Q
, R6 q/ y9 ?$ |8 |' S9 n5 C! r熊猫烧香
comodo
9 V6 M2 o9 y- Z" S' \9 q0 B
/ h$ ^3 Q$ m$ H! S9 H4 C
ps

6 ?. @. e2 w* \( a. h

# m( r' J0 ]/ m2 q% ]

2 o& D, l7 j" W' e


+ Y' S  s$ P8 L# R1 zssm
2 R) Y6 ?6 n+ B  \4 s! x+ {+ g

: g' H/ r: h8 M7 O( A

: r2 X8 W% Z, K0 geq
9 v6 j3 Q, u$ s
+ v  g/ _3 Y) C2 }+ V( J/ |8 j
$ u: S. M. _. `* g2 [5 X
& j/ `' N/ F* x6 K5 _+ s
! i7 ~! O! g& l& g2 Z( i5 k1 l
" `2 q. b- G$ S; @2 b  ?) Y  ?
0 L8 Y5 T: w+ d# c. u, A4 d小结：
; Z* J4 ?0 Z1 N) x; s四款软件均轻松阻止了熊猫，没有任何尸体和进程生成
8 \2 K  s  g6 M% ~: A$ ]4 E
! O0 i9 Z, K" T; C8 |" A- P+ s: g( E
$ v; W+ d/ a+ F- R' N) g5 `5 f6 B

6 s* V9 x' n# S/ L/ p小浩病毒
* {- [1 Q0 }% B6 G+ U6 d
2 \: R0 R. V$ S9 t. S8 Pcomodo
2 a/ b# _7 ?7 V

) B* m; E/ d$ X" n1 l





3 n$ M; E# c! g5 v3 C6 ]

ps
7 K: Y; @/ _0 W3 Q( T3 u( I. {
! Y$ ]5 b1 b- P* {( a

2 G' W- m* R5 c/ V

8 U1 O# Q/ V. f/ H
% Z+ l- n# _, c  Z# S0 Y
/ m9 c9 b$ i! i7 K1 n1 X% _
, H/ u  x9 ?# Y$ A8 E% ^0 A
( S) w) z+ ^+ x
6 N( q& n7 _/ ]8 r. F( X





1 k7 @: p# {- a# h
6 \; R) S8 @  ]# J' ]6 _# x
ssm
) X! K* v4 M( L, p
5 f- ?& b# u1 ]/ s; q$ r. T
. m0 C$ ~7 p8 R' X1 R2 {2 O4 ]eq

1 ?9 A- c* V/ l( N: ]$ [( ?
  ^$ @* M6 s0 n0 `
3 w% G$ b/ I4 ]3 f; m$ t- ~

  b- [2 F$ O; [/ m* @+ W$ H6 h

& h4 v. {, S% r
. S" i# O; b( E. ~0 \


小结：不用多说什么了，comodo、eq和ps均经受住考验，只在运行后生成一个无用的xiaohao.exe进程。
( |: F. j' r# q3 W0 U
! E4 U1 Y5 C3 Z" g2 X8 G

7 m0 v) O  |3 S+ O0 {1 a5 h5 q反观ssm只是在xiaohao调用ie时弹出询问窗口，其余动作一概没有防住。壮烈牺牲

1 `7 f. s, b' f0 ^" {4 p1 m4 A

竹木刀

机器狗:
comodo
( N+ R" v9 {7 s
( @* L3 X& v4 z7 C1 H


6 H9 T; _( `$ R1 F
4 W2 [3 D1 p, {2 Y. E
5 l4 L6 u5 h, \* m! q4 a

! y4 _$ L2 U/ g
$ _+ F% E, \- i3 C
& n  Q7 J( r; w& H* m2 Ueq
0 V2 I- s5 W% D- y( E8 b


2 x# C5 u" _: i( H& S. y


( B& ^0 B3 o) w4 d
3 y+ K1 S, W$ @3 U+ H* S
2 ~3 P8 P' `% I: b: d) I& H" H' w" C

ps



) J! U4 B! ]8 x$ N' K

$ P: ^" b4 C5 @# J$ ?  ~7 E4 Z
! z" V4 x* b' n6 @! k0 b& R, R1 v
: a# \% g! U) I# x. s

小结:comodo、eq和ps完胜，而ssm我就不再测试了，大家应该都猜得到结果

& [, K  F7 y2 L4 @: i5 o' h$ w
& ~5 Y- J& i" A* ]9 W: P6 I
磁碟机
4 |* |6 X! }2 G* V6 ]" U5 `+ |
comodo







: M" C( y! `! Z) @. E6 m5 {
/ w! n2 p) N* l: E
  P* b$ c3 @# r! O$ a3 {
3 ~# @# L& \# d6 y+ p: W
eq


; i) w/ G" z; ]$ l
- ^) [5 a! I! c2 l5 S' s5 G

; z+ v7 @4 a* {! O9 u, m
. `$ [. s, `3 S2 q3 t2 r


! y/ S! G7 h3 P2 g, m

说明：这是火鸟大大为了测mamutu而一路允许下去的，只要当中block一下就......
# [& Z  S, C8 ]' O

9 N8 z3 |8 i' o3 U5 G* S$ d% y% s& K$ `
  u5 k4 `$ }: T, Hps
9 ]1 }8 K) Y+ r# y
3 B+ T2 h- S7 y7 Q; ^

一击致命！！！
  K- `+ g7 w1 f3 e' d; P+ i" ?
老样子ssm还是老样子
1 T4 ?' B# U! P4 t+ o, g# {
8 c8 D) m4 R- y/ P
: p) V/ x4 m: |4 L, G. n4 l- u
  ~/ k$ E# ^! I阶段总结:

经过与四大毒王的血肉相搏，除了老牌的ssm由于缺少资金及技术支持，没有FD败下阵来，其它三款均与时俱进轻松过关

chesterzhao

麻烦请注明是转贴及出处，谢谢合作！！！

中航海

好复杂呀，要好好学