刀尖上的舞蹈---4款主流Hips实机测试

竹木刀

转自卡饭论坛，作者：chesterzhao

- k. h" }' l% n参测软件：按软件英文首字母顺序排列

Comodo v3  3.0.18.309(简称comodo)
* @% R9 p7 `5 c4 s
EQSysSecure 3.41(简称eq)
+ Z* Y- [2 k& W3 S/ _' g
+ I+ k0 y/ R6 O! U. d6 jProSecurity 1.43(简称ps)                 　

System Safety Monitor 2.4.2.620(以下简称ssm)

9 s: E' X5 B5 o. _- Q由于不可抗力因素，eq并没有实机安装测试，而是参考了各种权威测试帖，敬请谅解

  ]) `& z, Q3 [$ x$ Y
/ N! N( D: m" n# m- s( H% n' g8 O
5 C. ]: I. B; i2 N5 JOS：xp sp2 msdn原版

# S/ r, u' T" u/ e3 x) Q内存：1G*2
% @2 H- Y. P3 O5 S3 t
测试目标：当前4款主流hips不完全横向比较（托盘图标、软件界面、资源占用、自我保护测试、病毒防御...）

样本下载地址：
1、熊猫烧香 样本来源  

0 R8 d! w% l' A0 \5 Whttp://bbs.kafan.cn/viewthread.php?tid=106100
/ @+ h* ~: W6 i. p
: g! X$ a* |. J8 b2、小浩病毒 样本来源  

$ `' \+ _/ x9 s5 v+ @- ~* Jhttp://bbs.kafan.cn/viewthread.php?tid=118551

3、磁碟机   样本来源  

http://bbs.kafan.cn/viewthread.php?tid=211669
% Y! b0 Y$ m# L
4、机器狗   样本来源  
+ N  g. f3 u( h: ]
http://bbs.kafan.cn/viewthread.php?tid=183346
7 E& [" o, R' y, a. A) _2 ]
/ N6 y7 t' `! L' ]2 Q+ [# @. u4 B; M- F托盘图标：
comodo
6 f( H( ?: S2 s! Z5 H
4 Y( q0 V7 v& R; `' T& o% O. y
eq
& t. B1 c3 u3 y  T1 N& p
4 ?2 h4 z9 @2 l' O/ f
ps
+ k) R; R5 p$ x5 q1 Y! n( z* ?6 c9 u

, ]! T8 g' A4 }; v' i, Kssm

3 n, p. n3 U, x+ \9 @
6 d1 L; b1 g$ L) |+ v/ r2 a' a软件界面：　
( N" c' W* ?: l( V+ \comodo

8 a- ?0 V; l2 D' {5 b5 H  B$ T; C
& T1 D- E- d" H6 B
eq

8 I% [7 Z5 ^* [4 F0 C  f: E, e
$ a; P1 r& H" M0 w9 L* m5 K! G1 A
ps

: |+ O1 h# u8 b& q
9 _3 G: ^/ d% z2 k, T0 J
ssm
5 m% D* v3 |6 @5 |. x( p
1 F5 r8 c) E4 ^; {

3 z) L+ T6 N: s+ T5 ]
资源占用
- C: p$ e  J7 q; ~
) ^( @' j3 c5 I! X) v- Y：各人系统环境各有不同，仅供参考，如有雷同，纯属巧合


! ]1 @' \8 T- p/ G# D) N
" I# o& G9 R5 k& V6 W( ^0 O! Qcomodo

) ?5 i9 d2 v+ `2 X0 S1 W) O: \' I! d
! i7 W+ U2 D- j9 w) @0 Req

; m* T3 A( Z. T; A6 `6 ~* q. N, h
$ u3 Y( x7 Y6 M2 U* l0 d7 `( T
* f1 F  C3 w0 [# x0 \% j) Y: |- c- vps
+ v6 ?1 @4 b2 I, {

2 h. r. S" ?  D+ o7 N' p0 P
+ ^+ _0 B  _3 f7 U: v; vssm


& B/ y" t( ~( h0 C2 t2 m
* N# m$ z+ p9 `) V2 F  u  B
( o, T- k9 N0 v% U/ e阶段总结：

; z9 A# }7 u+ w; a! x9 I0 d5 \现有的一般配置运行HIPS软件已经绰绰有余，其系统资源占用相对于杀毒软件和防火墙来说绝对是轻量级的
. L" C  J) t) b, }& H0 u
; B" Y* D4 _2 H+ p5 n) u

7 B, y, X* \- W6 ?[ 本帖最后由 竹木刀 于 2008-3-14 17:04 编辑 ]

竹木刀

进程保护：使用工具Advanced Process Termination v2.1
4 \' y* d8 b6 G3 N' x  w' T" Z
+ L4 z3 o' R" S8 V* T/ l' Vcomodo

: |/ h/ b( `3 R. M1 P" @, S
4 f  U6 r3 y9 I4 NComodo 在图形界面cfp.exe关闭之后、启动之前，默认的规则处理逻辑是允许。

选上 block all the unknown requests if the application is closed，可以在GUI关闭以后，启动之前，提供保护。

  T4 W8 b8 U- H! Y% N( v  h# z, o测试病毒的时候，万一cfp崩溃了。。。，所以要选上。
) H+ a7 e1 r9 C  e6 ?, \7 @
在安装了新的自启动程序以后，需要暂时去掉，等学习规则以后，再选上。
9 y$ X+ d: ~+ r- i' H# q
' _4 q! U6 p2 [6 X, {' M. kComodo 完全可以无进程内核保护，两个方法：
4 L' ^/ g  Y6 e9 I3 i
1. block all the unknown requests if the application is closed 或者

2. 使用我的All Applications Limited 作为所有程序规则 All Applications *
' x2 n* b6 ]2 h3 I$ @+ O, I% S
* q$ R8 T2 `( b3 [因为，在GUI关闭以后，All Applications 里的Ask规则会被忽略，直接允许。这种处理方式是为了照顾用户体验。
# h5 ]; ?. ]9 }) F
这两种方法，可以同时使用。
2 h4 s4 |, }" Y( u! _5 J
' x$ [: u* `. ~) m' g* tps



进程被结束后，防护依然有效（基于内核保护的缘故）

- }4 a" o# Z) E, U1 ]* hssm
4 S( G' P' Y, K! X: v+ q. Q; c/ o+ T
% _% s6 }  t; A& Q8 w
1 T; U) O1 B" [+ R. f/ R. u有点出乎意料啊

$ C! A0 v, R' Z% M( {

eq



哪位ＸＤ做个测试后发上来，谢谢


5 W! G, T) `' w& X9 X3 _
阶段总结：现在市面上的安软自我防护一般分为（1）软件进程难以轻易被结束，如BZ和SSM，一旦被结束后，防护大多就失效了。（2）软件进程易被终止，但因为基于内核或驱动级别防护，故无进程状态下仍可发挥作用，如PS和DW
% ]! r, c8 F; b2 h! F
! j8 i$ g% z5 }其中第二种方案为目前大多数HIPS所采用

竹木刀

病毒测试之：
) Q6 Q# Z& |, `- c# Y8 G! E5 ~9 Z
熊猫烧香
comodo

9 @+ f6 @5 b, |: ?5 D, ~- z+ R
ps




. h: u2 a, B6 p+ G7 X; w3 y2 B/ R, H% u
( q8 J$ J5 _! Q4 q! {7 i
/ y5 v( l% N: P8 K2 U
: H3 m' \- |2 y- T* K2 y3 @+ o
ssm
) i) _2 d* Z7 T* x* W- M6 i( {


% Z/ e( ^, A# g4 K# ^; \: J& ]
eq

; W, a6 z* R! X

9 c) q& j  x8 R

% J9 i/ @# Q- P& X& z: d# A
小结：
) s) S: G& u, Y' m  t四款软件均轻松阻止了熊猫，没有任何尸体和进程生成


# |! H* W; Z1 f

小浩病毒
! k1 c3 g5 S; }2 J4 p( ~
3 L' N7 T3 L% ]5 P. |' ^0 n2 ucomodo
9 Y7 c" N& m, U) a6 D6 Z
$ \& C& d: F: N6 @8 A7 |

2 a3 j/ R$ |8 Q  N2 w5 R7 s) o
) q( @$ y2 G% o4 O

4 M6 J1 n4 J" U" F7 \



1 l# W, f# }0 ^, c0 I! r+ G' Yps
5 W! ?7 E2 n3 Q, O
# b. |; c" L$ y# f


* W  Q9 g% P. {- f3 G8 Z$ x

4 W0 O! M/ H6 D% B5 \
8 @% p5 f7 h& {2 F) U' u6 M
9 z4 z* h( H; I& d( q



8 C; r# x+ J; K
! O" {4 `5 h; I6 D: Z, y6 E* A( H6 U
! j. z) i" \; O, G5 X

3 ?$ Z! Q1 b$ |6 S/ H3 m

+ ?  d, y7 x' H, y8 ~ssm
5 s5 n% m) R) w) Z
2 I  g- U' [1 ^5 |  {* z/ U
7 G+ [3 g8 I. ?, I% m7 r. heq
, q9 N  g5 c! K# C- m
7 i6 d3 u+ w1 q3 ^" p, K* v

0 ]& R5 y  N" Y! C: m



. n: F+ w! H8 H' |# g( b2 @& `1 d- ^



) B7 c# \9 A3 v2 s5 Y, P1 T3 I小结：不用多说什么了，comodo、eq和ps均经受住考验，只在运行后生成一个无用的xiaohao.exe进程。

$ n- h/ D9 d: P* |" J5 C8 }

' D- O4 L" I  K* P2 c/ @5 y( m反观ssm只是在xiaohao调用ie时弹出询问窗口，其余动作一概没有防住。壮烈牺牲

# u: e$ U& Y3 S+ m- b7 w$ T( G! s

竹木刀

机器狗:
comodo
5 k! u% `# ?8 T
+ F4 A2 V% y1 c  o# I+ @' l3 y
9 X0 h+ Q1 X; k2 N- J. c% ~6 {/ D


2 M3 n) j1 X) k/ `# ?8 B  e
& ]# z* Q. [" X; h) [
+ t" M* [9 k5 U# O) ^" u

0 J0 ~3 M9 m( l' C; z( O
$ F( H$ G1 U8 }, l/ a" leq

# R# R1 N8 |: t3 q6 Z


  c, E" z: A, D% D, r; Z  Q: L4 K
" A( q3 }8 T7 C0 n8 {6 M/ e3 k+ c# g
8 o: L. E' ]' F$ O2 X- Y) x5 S; a

8 k2 i( |( C: V% |) S% X

/ m8 H) O5 E0 q4 L+ N3 N5 U! Nps
( g4 ~' Q0 o" s
5 z9 D3 t* X( g
7 ^3 j% ^% t, J' o

: e9 \" [+ [- S( m: x
$ K% y$ L2 f" @% j3 X) K
2 }8 v5 J; Z3 B3 A
3 m' H/ z* t% G6 j6 p7 M
. r0 {( Z1 }5 a* ?# A: l
! p* ^9 x1 _( R# `0 O9 f小结:comodo、eq和ps完胜，而ssm我就不再测试了，大家应该都猜得到结果
9 V8 v: q* H/ y( f6 S
+ ^. [8 U, Y8 s# H- o! A" {
% {5 M% @# l/ T
磁碟机

comodo


0 W8 M5 ~, w0 U& @
+ b9 m% b. t+ a5 _! g  _




# V' d; z9 X& e, ], U  k% D' m
; c" N: `* W; U6 D: R7 S. D
# y+ h2 n: |+ {% [- A' }3 ^
eq
- l3 q3 @4 n3 h) D  f/ w$ V5 t7 A

% W* b1 E9 M# a! L
2 m: E* Q2 ]) C; w) I" u6 [% ^) k




5 y: Y& ?" g" z: U: q0 f% |9 Y' _
+ |! |$ T# f2 S& [, F7 Z

& H+ N+ }. x* b" z说明：这是火鸟大大为了测mamutu而一路允许下去的，只要当中block一下就......

- Q0 p- G4 h! J3 f+ r' G

! S9 n/ |7 O# z0 Dps
* I! F" \0 z# e( m0 p/ J6 S


2 K. D1 B: b# ~4 Y一击致命！！！
% P( W7 Z0 s& u% Q  s
老样子ssm还是老样子

1 r1 g8 ]+ x4 a

" L) W0 B- C: S阶段总结:

' O+ ?# M" }/ U4 S经过与四大毒王的血肉相搏，除了老牌的ssm由于缺少资金及技术支持，没有FD败下阵来，其它三款均与时俱进轻松过关

chesterzhao

麻烦请注明是转贴及出处，谢谢合作！！！

中航海

好复杂呀，要好好学