刀尖上的舞蹈---4款主流Hips实机测试

竹木刀

转自卡饭论坛，作者：chesterzhao

参测软件：按软件英文首字母顺序排列
) U2 B9 D6 G0 m
Comodo v3  3.0.18.309(简称comodo)
' |9 z& z, j) [8 k. Q
5 S8 X( X5 S/ j& YEQSysSecure 3.41(简称eq)
4 g$ P$ Q9 _& F
1 C7 U, q$ }, E( CProSecurity 1.43(简称ps)                 　
# U0 n, S" F* J& q8 T
' R1 h# M$ i5 p: c8 m# r! QSystem Safety Monitor 2.4.2.620(以下简称ssm)
9 {4 ~+ j# g( u" H+ A8 x+ L/ T
由于不可抗力因素，eq并没有实机安装测试，而是参考了各种权威测试帖，敬请谅解



OS：xp sp2 msdn原版
! q6 ^# {! N5 J5 X! u9 V3 W6 z
4 Y# P1 m2 P: R& s% T8 [8 G, [4 o' ^" B内存：1G*2

测试目标：当前4款主流hips不完全横向比较（托盘图标、软件界面、资源占用、自我保护测试、病毒防御...）

样本下载地址：
1、熊猫烧香 样本来源  
8 c' @$ _- A: k7 m. M0 P. L
* F2 i- ?6 b  a% j# mhttp://bbs.kafan.cn/viewthread.php?tid=106100

9 _: A4 W" |( Y  n) M3 c& c; s2、小浩病毒 样本来源  
. C8 |' I3 k8 [) t
http://bbs.kafan.cn/viewthread.php?tid=118551
# t  u4 j$ D9 C1 M' Y: S  N3 T
  F2 a1 l; O1 ~( y5 G4 k3、磁碟机   样本来源  
) j* l7 p8 O2 [9 h4 [' t4 m! y
http://bbs.kafan.cn/viewthread.php?tid=211669

4、机器狗   样本来源  

: |0 `7 J2 R% {# dhttp://bbs.kafan.cn/viewthread.php?tid=183346

托盘图标：
comodo


eq
6 G/ `" l# s! G& [+ g  U
% W" Y/ M8 M4 ~0 E% s
7 k) |: m1 K1 m. hps
( K9 z; D% `1 q+ m+ y

  G/ o; L. U  u& L+ C5 y. Wssm
; O3 e* `" `5 S' L3 x. K) J
' S; l/ v  g/ n* F& C8 _/ e
软件界面：　
# c, a2 L/ ~' h* F& gcomodo
; r' @  }6 f7 X6 k2 v2 ~! s
( q1 I) t9 [! O/ j+ T# @. w
' D' x! K- O6 D; S1 C2 d; a3 m) [
( D8 m7 P* e8 F8 U$ Q; Req
0 B" t& X* @0 R9 e6 B; w+ u
- [. [) U$ b9 U0 A8 L& A

ps
3 D; S- T7 A* U# N' K/ U$ R* ]& _3 e

" g& Q+ d- x) j5 D6 V
ssm


4 B* ?# P0 }+ m- @  y- S

资源占用

) B2 v1 D, A3 @5 Z2 I4 r: x：各人系统环境各有不同，仅供参考，如有雷同，纯属巧合

& I$ w* X, ]2 S
0 Z) a4 I% p4 x; s6 r& u) K
& Q" q+ l* u: V# X& Fcomodo
- {- r, ^8 L* o# r( c/ R6 R( u0 Z

eq
+ ?" v- }, \6 E+ h0 _
$ W- \! S" u$ N' _6 ]. r2 s

ps
5 b* v% d2 Z% E) S4 u8 Y- J
- ?8 L1 ~' _' l; U, z( S
( t0 n$ Y( |+ P' h3 y& E0 L! r
3 y  D! f. B2 F5 z" i* E/ \; Assm
9 C' `& M" Z# v5 Y8 u; f4 Z

7 T$ q; v! U6 p3 a9 E. [
% P4 v0 h1 F; {* R: Z6 H& b4 ]) o& B
阶段总结：

现有的一般配置运行HIPS软件已经绰绰有余，其系统资源占用相对于杀毒软件和防火墙来说绝对是轻量级的
2 a% R0 @1 S/ T1 _7 [* ~5 s8 T3 e
8 u9 Y  T& z+ o+ b3 k

[ 本帖最后由 竹木刀 于 2008-3-14 17:04 编辑 ]

竹木刀

进程保护：使用工具Advanced Process Termination v2.1
6 l6 C* D; u/ \: W" B
comodo


) [& ?& c& Q* g; x4 C" }7 V; G$ \4 SComodo 在图形界面cfp.exe关闭之后、启动之前，默认的规则处理逻辑是允许。
7 a; O( z6 P% r, E. I' J8 m: B, R
0 L% L4 e0 q3 n" f0 h& q选上 block all the unknown requests if the application is closed，可以在GUI关闭以后，启动之前，提供保护。
/ U  ]; p9 ~2 b6 l
, G& ?+ z% g$ n3 e5 ^" N( k. e, l' R测试病毒的时候，万一cfp崩溃了。。。，所以要选上。
' Q0 }7 n0 D3 m' o
在安装了新的自启动程序以后，需要暂时去掉，等学习规则以后，再选上。
8 o/ X7 o; G* Z. z! h% r
! X+ h0 L* g* f! B/ {. g7 ~Comodo 完全可以无进程内核保护，两个方法：

1. block all the unknown requests if the application is closed 或者

1 L! S+ g( z" i6 F5 [3 w6 Z0 p* m2. 使用我的All Applications Limited 作为所有程序规则 All Applications *

因为，在GUI关闭以后，All Applications 里的Ask规则会被忽略，直接允许。这种处理方式是为了照顾用户体验。
& m, |* d5 e# s; n
这两种方法，可以同时使用。
7 D2 b- [; |4 ~4 W0 I
2 H* Q& t6 w7 V- y! \ps


# w/ m9 @/ J( o) @5 m/ e  h
进程被结束后，防护依然有效（基于内核保护的缘故）
6 H3 V* I# ?! k$ F) y3 x
* ^: K( N+ a7 Wssm


- n, y6 ~0 E' x+ j有点出乎意料啊



4 ?" E& j- a* N; B4 N0 qeq
9 `0 d7 b7 j" d# S2 q4 G5 @


8 A6 [3 N; g: ?% F" k哪位ＸＤ做个测试后发上来，谢谢
- q6 q2 @8 u; _2 }1 t

/ H; ^5 n# z9 o# D+ Z4 N
阶段总结：现在市面上的安软自我防护一般分为（1）软件进程难以轻易被结束，如BZ和SSM，一旦被结束后，防护大多就失效了。（2）软件进程易被终止，但因为基于内核或驱动级别防护，故无进程状态下仍可发挥作用，如PS和DW
, i7 o' n2 y, w  ^8 w5 G; T
$ d: g) {9 Y; ]# [其中第二种方案为目前大多数HIPS所采用

竹木刀

病毒测试之：

熊猫烧香
: g  @1 P  }& b1 qcomodo
5 Y+ o3 Q4 ?* C' W' Q

ps
: p2 i: |% S+ c& Q. i/ L

% Q* d8 j$ N! P

8 w! }* l2 ?2 ~& e' R  V
4 u6 z4 G& k- x

3 N6 y6 P0 i/ n5 ~5 F
! r1 E. F5 Q, N9 g( H' T" L1 _6 ]ssm
1 t4 R2 k1 O  U  `# e3 T
/ v; Z& A' U, u1 g+ y0 ?- f
3 V7 h) V+ ?- j8 f9 n8 b

& R( [3 [2 ?# `8 }9 yeq
% J0 x8 v8 b& l0 A7 I
( l8 k" T: W! G6 w  r, @* x

. L9 g: s4 q3 |& V, M
' r* b: F5 R1 k# R! D

小结：
, ]8 J% z& ?! h. K四款软件均轻松阻止了熊猫，没有任何尸体和进程生成



2 y0 X+ v. r8 Z3 w6 W2 O! I
小浩病毒
. s' x+ k% h4 [% u* n
) e7 Y( R8 j: B" Icomodo

3 a$ x* ]- M" Z" w1 ^; g$ ~  L
8 Z( |. @) |4 `1 D* d- @, F2 [



& D/ M0 u6 O( V. A# j

4 O) k/ I& D6 I6 t7 q+ _% {

ps
: R7 i/ c* A" M" s' A1 Z5 m) C




# C! ?2 Y8 `/ z' u1 ?


/ ]8 R8 n/ F0 b7 J, f
( T! h7 q8 {' N7 k: I/ }- u% N
- Z# @+ u: A* C0 s4 J4 ^

0 ^8 t9 D! Z. s" a: M
8 S9 }4 r9 }" t$ P

, B! ]6 J/ b6 t: a5 q, ^+ a
+ L( |# o  g$ A# l* Y

2 B* C& j3 M5 g1 |* |0 }ssm
5 R! b  t4 ^7 _

7 R1 ?4 B5 C+ Ueq

" f9 D+ Z. h/ a7 I) _

2 G) v- l! L1 n9 n: H  L) e




! ]( c9 q/ K* L
; F7 @% c$ S/ j. W: F: U, Y% q9 d6 ^
8 q2 P- K- u7 L/ \
小结：不用多说什么了，comodo、eq和ps均经受住考验，只在运行后生成一个无用的xiaohao.exe进程。
9 k3 j1 f; S; z6 o


反观ssm只是在xiaohao调用ie时弹出询问窗口，其余动作一概没有防住。壮烈牺牲
! A7 D9 r9 |5 i
5 j7 h7 W$ p: w

竹木刀

机器狗:
2 _3 h/ R$ ~' T9 @& V# F3 |) e+ y; Ucomodo




' t4 T4 @* c; [( l


6 G; M% ~$ e. W# }. m# _& Y
5 Z/ C5 P+ X! k" z9 o3 V
+ X5 b  ]1 Y4 K, w& o3 O$ p. ^
$ \* [+ q& b7 N1 L, [  leq

/ c, |; }9 ]4 z5 K2 V2 Z



, X4 Q" O; x+ s4 q+ T( ~
5 v2 I: B- p) M' J3 h+ ^2 J

8 W9 Z& a' U& e) J$ t% @9 V. m
8 F6 |  k9 d/ R, \
5 w" @( [; G; Eps


) i$ l4 V( a; A  z

3 A9 @8 [5 w* z5 i* ]




小结:comodo、eq和ps完胜，而ssm我就不再测试了，大家应该都猜得到结果

8 @# F5 \/ O( F# Y

磁碟机

; t' R3 M( _: p; S+ i) G! L2 I" [comodo

5 z2 v% D2 M1 T. C: c

7 X3 _& B! ]6 U7 t& W; d



; k% v- @4 u" _  s* z# `% u! d/ r
9 I+ B- K- P& N, S
: z) B1 v$ m, N& n' f/ h

- d+ z& }# Q- ?7 Seq



! d3 U& W: Z/ C# f3 I7 P4 D
# K" l6 v3 Z) P! _) t  T
1 V* y+ p" g  b' k0 ]

. h1 J' W" g8 [' v

, e/ e# }( W: v0 k8 i* M) ]

说明：这是火鸟大大为了测mamutu而一路允许下去的，只要当中block一下就......


1 u1 o6 Y6 K& M* Q, w; M
ps


8 B& D5 k* n: R  @) o( ^( Q
一击致命！！！
+ \* U& b& v+ ~! w6 L
% s# J3 K, U5 I" [老样子ssm还是老样子

% j7 v3 W+ J% M+ x, x) ^# [& d
1 |* Z" H4 u9 A! u6 V  H
阶段总结:

" m4 B2 N3 T6 |% X: H经过与四大毒王的血肉相搏，除了老牌的ssm由于缺少资金及技术支持，没有FD败下阵来，其它三款均与时俱进轻松过关

chesterzhao

麻烦请注明是转贴及出处，谢谢合作！！！

中航海

好复杂呀，要好好学