下沙论坛

 找回密码
 注册论坛(EC通行证)

QQ登录

QQ登录

下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
查看: 7638|回复: 5
打印 上一主题 下一主题

刀尖上的舞蹈---4款主流Hips实机测试

[复制链接]

该用户从未签到

跳转到指定楼层
1
发表于 2008-3-14 10:37:06 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
转自卡饭论坛,作者:chesterzhao
( C6 p9 H. q- x9 |: q" M
9 ]3 H4 }0 d2 _7 P( L参测软件:按软件英文首字母顺序排列6 O. J2 e5 @' N- C9 Y. L  p9 f
1 H, {, E' G, _" X/ M) f) w# R
Comodo v3  3.0.18.309(简称comodo)9 G) l% ~; O* A, M. ]

! G9 L/ F! e7 H) K# UEQSysSecure 3.41(简称eq)
# U0 l4 A: N* @3 h1 w% p
6 i, O6 }. Z/ Q, _* iProSecurity 1.43(简称ps)                   * Z: u$ y/ i% z) j- b1 {

5 [% L% s3 }, @" k) f+ d" FSystem Safety Monitor 2.4.2.620(以下简称ssm); P8 o+ m: n5 A- W" D% V7 P

3 w% l0 `3 ?* C$ J' k" @) o由于不可抗力因素,eq并没有实机安装测试,而是参考了各种权威测试帖,敬请谅解
; e6 L! _3 f* Y  e  w0 P' ?2 X8 V" S
" i% A* E$ l) y; |% C# ^( |9 a0 l7 ~, Z" G/ {5 y1 E( W8 S8 q1 m) Y

# Y' ~" F7 {. NOS:xp sp2 msdn原版
2 h% L7 t+ |# v: N: B2 D) [, L6 J; k- f5 a$ B) @* F! i
内存:1G*2
) V, p8 J6 ~4 M# I
. O* B$ e0 f7 u7 @) O4 v测试目标:当前4款主流hips不完全横向比较(托盘图标、软件界面、资源占用、自我保护测试、病毒防御...): V6 o, t3 c/ [9 }
4 L& ^  I' r( }4 U
样本下载地址! J2 P5 Z! \  D8 k
1、熊猫烧香 样本来源  2 G6 |  L' T- R: U/ |4 T' [. ?8 S
9 p" T: ]  w% p: T/ }- e
http://bbs.kafan.cn/viewthread.php?tid=106100+ Q+ p, O7 q- j1 y/ L% D

( F* h" H% [" @6 ]/ u8 S2、小浩病毒 样本来源  ) o  `4 x+ a+ B. v& s

4 V  C5 L! n, H9 Y2 p& ]  _3 Rhttp://bbs.kafan.cn/viewthread.php?tid=118551
' l* e: S8 Y1 z& _( Q2 f0 ~. X* n$ {6 N# E( ~
3、磁碟机   样本来源  4 ?4 Q1 l  P' j& H- i) ~3 A

% i; s3 z0 @6 O5 p6 L% Zhttp://bbs.kafan.cn/viewthread.php?tid=211669
4 ]# B( Y4 x1 ?1 ]( P5 K+ [2 \
! E$ b  d+ V$ g  s8 e* P4、机器狗   样本来源  
# @! m  L8 u! r( B( D% h8 F7 E# E* |" ~, w3 r. Z2 |: f
http://bbs.kafan.cn/viewthread.php?tid=183346
) l% r/ z! v# O) B3 s
: ?. d" o0 [. p' k% c2 {托盘图标
: M* Y- g, g" r% `: Mcomodo
' F" ?' F+ h1 x5 Q0 u7 d8 d
. H1 f3 c/ M# g
8 Q. x6 G' D' N+ A( }$ |; u3 heq
4 {! q5 W% {. f, O0 q! |  H7 ?, c9 l7 ?; P  k4 r+ l

( g/ t7 s, w# Z! [/ tps
* p, R$ A0 k9 ]5 E4 [- Q9 p& ?! S2 a% [0 t0 \- d0 U# j( S  \

. `6 a& O5 Z* m4 V& U1 {ssm
) ^" |' @- k5 x: l* y, \0 S  o( W" E" }2 J* c
5 o/ X3 B2 W4 Y9 M
软件界面: 3 e  v2 d# @5 _! z) n- Q9 b+ U
comodo
- S9 w) p- S9 O4 F5 Y% G1 w
8 }2 M6 X# e0 w7 r! E
, |% \' _& j4 F) g+ X: o! ?% ^
/ Q$ e- I- |9 X0 B) teq- h4 s% c9 r' G: X1 g& j
4 X3 T  T( S# X& w+ B+ W- n
, k9 L3 q$ [1 ?' c& [9 H
- y8 P( F, o* T0 u
ps4 K! H! T8 m2 x6 i8 }
' p9 a0 T  V; `' v) d: j% f0 U- @3 r

  U3 m" S7 c2 X. z8 r
: U" ^2 f; ~# G% v. zssm; C0 C8 y$ Z5 Q0 z& b" |" \
" }8 x& i# H, K; C: ?" a* Z6 U# r
% g' U: X0 ?, T6 X: c
/ _% J. E* o$ n0 y. N- S- J
0 g" j' O# u3 t  e
资源占用
! A' c* O  u8 }% \4 V
' P- H7 O9 V3 [# S/ E2 S" d/ B:各人系统环境各有不同,仅供参考,如有雷同,纯属巧合
6 d' t6 w7 `, S
0 _0 ^" H1 \) B: W0 g) O
+ |" o6 A0 a0 P; ^: [! Z' k
/ `) G( \- _) {3 W  |0 j* g( Q/ vcomodo
% m1 C' U- ?; [9 q
/ V3 u; K" _; O5 N* h+ |
, F7 }3 R% P+ O  r0 ieq4 k' z/ c3 r" F6 r  ~5 W- E

/ b# R! \/ [4 z0 p8 n" L6 @! k
2 l7 k% F9 c6 a3 K4 }( W1 Q' s$ _9 S8 V% @  `
ps0 B1 z) M, ?% v
( w- D, ^( _; @/ Z+ q6 u; p

  Z% w) G" T4 K( y6 m; J0 s
% m; @# W4 u* w0 I8 pssm
/ p1 [! S9 J. h
2 }& Z" I" A5 l( ]1 F4 z0 i' C: C- g
1 \* E5 v6 W/ ^
4 a1 p- E: H5 [. s/ e3 N9 c
阶段总结4 x' q3 d! r( B$ S* Q/ i5 G
/ T  n: {% b1 f: ]# q* I
现有的一般配置运行HIPS软件已经绰绰有余,其系统资源占用相对于杀毒软件和防火墙来说绝对是轻量级的) h$ p0 t. E' U5 g
) r, K  d3 j  a6 o6 n! V  M

6 k* v2 ~/ h/ E6 V3 a  w# f/ ]
6 ^, c" C' n9 n[ 本帖最后由 竹木刀 于 2008-3-14 17:04 编辑 ]
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏 分享分享 顶 踩

该用户从未签到

2
 楼主| 发表于 2008-3-14 10:37:24 | 只看该作者
进程保护:使用工具Advanced Process Termination v2.1
. ?8 h0 b" y9 t- P8 p
3 @0 R5 s- C, U  D9 ccomodo/ m9 {* Q+ S1 Y1 v- z0 z

+ E4 l' y( @6 I: m: A/ m3 J- b2 o; f% a
Comodo 在图形界面cfp.exe关闭之后、启动之前,默认的规则处理逻辑是允许。- `) Y& B4 ~  k( q' ]$ Q: u' J8 c
0 ~9 A5 ~% [3 `5 U+ H2 y
选上 block all the unknown requests if the application is closed,可以在GUI关闭以后,启动之前,提供保护。- M% p- t: y% {& J% a
/ L) Y& \* Z& }, T1 |) i; `; |
测试病毒的时候,万一cfp崩溃了。。。,所以要选上。! g2 ^9 P* @5 W( E* I4 r% A+ @2 G2 s

, {: X7 i$ C0 `3 A0 M/ t6 [在安装了新的自启动程序以后,需要暂时去掉,等学习规则以后,再选上。) A$ ~# O3 p* ?2 l5 Z0 a

, C$ _4 ^4 Q3 o7 v8 QComodo 完全可以无进程内核保护,两个方法:2 b$ |! Q& Z- W$ R7 V
8 Y+ w) N$ B% ?1 x
1. block all the unknown requests if the application is closed 或者
" P9 p9 X1 S+ E3 R  i- d: L) ^) S. y: R  p, \( Y/ d
2. 使用我的All Applications Limited 作为所有程序规则 All Applications *
/ L% [* X1 X/ k
5 q: U8 F/ ?; \8 S7 }( H* X2 k% U因为,在GUI关闭以后,All Applications 里的Ask规则会被忽略,直接允许。这种处理方式是为了照顾用户体验。
7 p) f, J7 e0 d& G0 }, ^4 [8 Z
2 w, L1 D* m% b) w这两种方法,可以同时使用。$ Z2 m/ H% d/ [# V9 [. C1 l

. ^6 J" d: @2 Mps5 q8 @. q- t  ?; Q

! f# B, L/ ~  n3 U& q( U! ~
  S0 O1 e  {0 y3 j& v% {6 E7 b9 t( z; ]: g* n
进程被结束后,防护依然有效(基于内核保护的缘故1 r( ]7 ~! [/ c+ p4 k
6 z* v- B4 u: W" m/ E
ssm
$ i% f& Z$ ^- U  H% S% g
9 Q: l7 ?! \2 ~0 L& c! v4 L9 N+ F& _! c% `5 l5 [) u2 s6 ~
有点出乎意料啊1 Y+ P1 I+ V" ?; \- ~7 S
. G+ r1 F+ |* A0 |6 H

3 K$ t) ~- y9 s- z' O$ o2 ~( }/ }7 H, l/ O8 q6 V
eq3 p, e+ s$ m+ S) K$ {  K

( |, J- X4 o8 j% W4 |) I) D$ u& f: @; M  f! d) r
" j0 ^* `* O! q  g, l- R
哪位XD做个测试后发上来,谢谢- ^: M& ^- L! U& r
5 Z4 W; f" w( @, B2 A
. B, m1 ~8 S9 S0 ^5 w

3 z2 \1 R" o: |& h阶段总结:现在市面上的安软自我防护一般分为(1)软件进程难以轻易被结束,如BZ和SSM,一旦被结束后,防护大多就失效了。(2)软件进程易被终止,但因为基于内核或驱动级别防护,故无进程状态下仍可发挥作用,如PS和DW
  p  Y* @; m' s) w; n/ Z1 F$ |8 k* @+ u, {9 ]" C1 f" ~0 p
其中第二种方案为目前大多数HIPS所采用
回复 支持 反对

使用道具 举报

该用户从未签到

3
 楼主| 发表于 2008-3-14 10:37:55 | 只看该作者
病毒测试之
. H2 t6 K( b& f9 l% a7 W( a' ^- K3 e) V( l$ f4 R
熊猫烧香

- I$ d" _) v) K7 z7 Tcomodo: I- g% M6 R9 l2 }, p
. a& j: s8 [" m; o7 C! B/ O9 O% p& v
' }- N2 `& R) B) f. ^
ps
! n: X4 \8 C2 T$ o4 \3 E( b- U# T0 m! _2 r! J1 x4 m6 v- M9 l# a

) W/ W# Q1 Z5 o6 [/ A& ~! h* W' N6 p5 i
! q. ]+ s* J( H7 I
( Z( {# }7 @/ g' j9 `: m5 [

3 L' R6 ]1 N* n5 q+ T, _8 t7 R: S

3 R' l% v- x' b' s) P8 fssm
7 Y9 ?! R! c9 a; q' L. g& n/ j8 W. g/ i5 ]' ~

. A5 u3 z, x( G" v) f& y& T4 K* A
1 y# k0 G2 R" J; D, u& g* D8 J
6 i1 l) J5 g- ^, w6 {eq

- r* A! g% C9 I, u' T" h& M3 Y& d3 |. N
2 X( j1 o! n$ j8 R

5 J) P( P  p4 w! D. h
/ P0 m( S. }1 F' j% [, l: }$ Z; Y9 y* S! ^4 i

" e. w5 H5 T$ P2 o6 }! k, j6 O小结
& n+ D( d/ H+ d四款软件均轻松阻止了熊猫,没有任何尸体和进程生成
2 D, N. P0 u2 a' @% ^# r' o6 F/ ~0 d! m
$ Y; E3 T8 _$ b' G3 _

8 n1 {5 w# |/ _3 s5 ~( ^/ M: \" u/ R  w! e
小浩病毒
. `" q) G4 G8 Q' e& J% Z: ~! Z

/ O/ O! ^) f* S- Qcomodo
7 F) w& \9 `% h( O# k
( Y4 K* a1 j2 y/ d/ W
& |$ K, p. \/ Q3 H" F& M
7 ^& E, W/ i* P) o, |/ F* C2 k6 y& K* \" P+ J/ V
, b& T4 D) z5 O% A; z

& A- m3 {" l2 P8 X5 F. L6 r# T/ I1 x) a0 Z' V4 n6 O4 y7 w

; y) |8 ~3 x9 n3 s" k, z' @* O# P% P3 b4 Z' A
# p! C' c' t* y8 e8 s
ps* o+ V( A! @3 y& H
1 A! |* {) j& D: w1 b# z
% y% v1 ?5 _# d! }( @9 |

) L- y  p3 d5 R) C, L$ `
3 c& Y6 N; [; ]/ F0 c: L1 u
2 u6 \5 g' W4 G. _$ n; V: Z9 Q
; J/ l5 }2 \7 `) s4 F) u
+ Q. r& f2 _% o+ {& [9 v( z5 l$ D
( U" z1 H. g7 I6 s1 g
" Y! |8 U2 K* F, T3 `1 `9 c$ |# B3 d8 b6 a
( D5 y1 i6 r) P- M  T  T, ]7 u$ O" O7 G! {- [7 e9 _, P3 |

7 Q# c) i3 S% H/ K
/ }  t; c6 E8 _" z" i/ V" k+ }, P4 q! t# T3 x1 |  d; V9 A

% P. _" _& [, g5 G! P, m8 ?( |5 N: L& f/ U, e0 P* ]9 c1 i- T

9 S( D+ k4 m0 {0 a- N4 `  k6 b' t" P* w& `' R5 n  S
ssm" w4 Y- B8 d6 j, G5 i# d* \1 O

& \. A( j/ G- b4 x2 n, y2 H$ i& V* H( |9 _7 J) j
eq
" V! d$ f8 _& A4 p9 n) L6 {
! Y+ O0 }: h* n" e
$ D2 }, j2 u- k% @3 H
3 E+ X$ D3 Z2 S# i
3 f" u( E9 \/ b: ~2 \. L  Z* P: _# C% J7 I
+ f! A0 A6 T/ w" F. X& K6 n

+ K+ P8 f' ?! @5 o$ @5 S/ U) h4 {/ b: ~3 }
8 E* o2 m' c" ~1 o' k: N) W

9 K! z# @/ x9 G! R$ q& F2 V; `2 D( _5 v6 M
小结:不用多说什么了,comodo、eq和ps均经受住考验,只在运行后生成一个无用的xiaohao.exe进程。1 V. ~+ q, C4 i1 `* G

/ S; I, t7 q5 v/ C- g' Z* M
/ K" M# x$ x2 m0 t  \. f. ]9 ^) l% o9 h
反观ssm只是在xiaohao调用ie时弹出询问窗口,其余动作一概没有防住。壮烈牺牲, i  G7 P' r+ R( c; F* [8 Z

1 d7 e" S/ \/ c' U
回复 支持 反对

使用道具 举报

该用户从未签到

4
 楼主| 发表于 2008-3-14 10:38:22 | 只看该作者
机器狗:) D; {6 e( x7 r, E4 k
comodo
5 p; h! O6 t7 f: A+ F
% Q$ k. J) N7 D1 U+ i* ~$ Q& Q/ t2 Q* ~9 ~3 y8 e, }0 A6 H

3 I3 T0 Z! Y5 c* J8 y6 Y6 v. ]
1 N: u7 R* Z$ ~; H& q
2 V" ]- t6 G" ^' l2 x: V1 @- G( D7 f4 g# e: P) j

' b( i. _# P0 N- N9 `- O
* [- [* c: r8 ^: w8 v1 D. V! w, c. |: B8 i

! B$ q; e6 v2 T$ leq
  C% Y# _4 _, @. v. f0 o, Q
% o! U' K% w; q  k, o
5 M, ?* N. {- n5 K& @7 i7 G8 E- S$ I' l2 v- v# F  }- Q
$ L* N9 H& v' p0 J6 @
5 N/ u% Z% r. A' a
- W! k4 L. h7 X6 k& l
0 e) a4 |( `( C1 |. g5 I
' P5 l& F1 q+ K0 Q. s

; a) [) ]9 d6 v* O+ h5 r1 }4 B0 k& x! r
ps& G6 H0 g0 L) K+ \& ?5 w1 k+ D- s, {+ `

) S0 b% [: N$ V6 p. x
6 `8 [3 [5 c' k- M1 O9 }2 b1 c8 J& }. d( i
8 n. S% V$ f# p9 F

4 n. S7 k! V# ]( s) n7 H" @/ t- P% r# g) U5 a# D9 T" h

4 b6 p2 Z/ V8 W7 b7 C& `
: F) H+ Y: C; C, P: ~. |
. q9 D9 @0 j1 z* [7 Z5 t0 U# A* B小结:comodo、eq和ps完胜,而ssm我就不再测试了,大家应该都猜得到结果
2 F  T$ ?/ C. ]  J3 O. H5 T; M; B5 t( M* Y& A/ B

2 z6 {1 C4 e; R$ e/ U4 z
  b6 M: v/ W$ o6 [: z磁碟机6 v* c8 L  Q; x0 x

* i  S( }# B2 n& E0 ^! T! R: h6 {0 fcomodo
# W- g- _" C5 T$ L( ~* @, R, P3 ?
  v( L6 D) g) E- V
3 T8 I' J( g2 ?  b3 N9 E! `4 f$ o
+ L* I7 g: s% ]( J5 s1 ]' K3 ]3 ], T/ J

2 F% `: `5 h' J8 t$ v! ~/ q5 `: U+ o2 H2 e) Z8 q
9 ?$ Z& j5 B* h2 J, M
+ K  D+ B- p9 {! J6 T8 K7 p( c- K

  Y( N+ t) v: S( ?8 K! [
) z% ~. u+ o1 E
, n1 w7 m& f$ E8 A' V# ?eq
. ^7 ~" p6 }8 Z, G) o* k# B  S, p5 L: G: t7 E" I

3 u7 g3 _3 @2 _$ `! y0 D* n* b; e$ p$ w  v
: W' b+ }  \4 H1 w- O

* j7 z8 p* S  D
% _, y# v- z, f" G
  F4 K+ ?& P7 k% _0 \* w% [
. T2 ~% k1 ?+ V" u$ j; N
5 U4 ^0 a9 t. L; l) }3 \3 `- d2 p# q+ ]' {7 Z8 [7 I

3 H/ J6 s- V( ]2 A' Z说明:这是火鸟大大为了测mamutu而一路允许下去的,只要当中block一下就......4 ~7 v" s8 K' s- c, c) l2 K

" E: Q% T3 H4 ~1 x& e) S2 I  Y4 ?
) L4 _+ r4 j- d9 g* d- L& D+ Y$ x- |, r
ps
+ k6 F8 i4 Z3 i$ k: L5 s: J- y- |" V5 P* j" ^5 ?5 w  s7 }

# [. |! _  a! i, f1 d$ I/ J$ X3 p# J, n) E5 M% y
一击致命!!!
; c( b+ p  v5 J5 c; o1 M; J/ a$ v' c, E( V7 j' c+ J( S
老样子ssm还是老样子# u5 V2 d" z5 s" P; z
$ F7 `" P5 O, w( O! B, d6 p

* j  v: {* v9 I
4 r+ j. l$ k+ ]8 n  G) y阶段总结:  y1 B! I0 M8 }1 G/ q3 l8 P
3 s! n2 u5 K# l9 k' d
经过与四大毒王的血肉相搏,除了老牌的ssm由于缺少资金及技术支持,没有FD败下阵来,其它三款均与时俱进轻松过关
回复 支持 反对

使用道具 举报

该用户从未签到

5
发表于 2008-3-14 15:50:55 | 只看该作者
麻烦请注明是转贴及出处,谢谢合作!!!
回复 支持 反对

使用道具 举报

头像被屏蔽

该用户从未签到

6
发表于 2008-3-14 16:05:27 | 只看该作者
好复杂呀,要好好学
回复 支持 反对

使用道具 举报

本版积分规则

关闭

下沙大学生网推荐上一条 /1 下一条

快速回复 返回顶部 返回列表