刀尖上的舞蹈---4款主流Hips实机测试

竹木刀

转自卡饭论坛，作者：chesterzhao
  w: D2 q2 t" `; x2 S# y% h
4 R- G! c0 b7 H) c7 ?9 t/ p3 w参测软件：按软件英文首字母顺序排列
3 g; }+ _' t$ @8 _4 \
Comodo v3  3.0.18.309(简称comodo)
' ?) r2 C7 v0 j+ ?$ c5 S) Y
4 F- q( ^7 r0 Z! l; E0 [EQSysSecure 3.41(简称eq)
5 Z7 z9 v+ Q2 I4 |
4 `! h- V9 g' |8 P3 BProSecurity 1.43(简称ps)                 　
$ u: y+ N3 r0 r" g8 h# ^. ~
System Safety Monitor 2.4.2.620(以下简称ssm)

& W% g- ?  k/ c8 [8 Q$ u" n由于不可抗力因素，eq并没有实机安装测试，而是参考了各种权威测试帖，敬请谅解
  O  F% @! e% B- ~8 n( p& p

. W4 w1 V; k; V% F! k/ ?
OS：xp sp2 msdn原版
; g& E4 n% d, Y2 e+ q" d
内存：1G*2

测试目标：当前4款主流hips不完全横向比较（托盘图标、软件界面、资源占用、自我保护测试、病毒防御...）
  l- p  K: h* c3 g. g
样本下载地址：
1、熊猫烧香 样本来源  

; I. o: ]# B' m; Y! G' n: xhttp://bbs.kafan.cn/viewthread.php?tid=106100

2、小浩病毒 样本来源  

- ?2 Z6 s2 S3 phttp://bbs.kafan.cn/viewthread.php?tid=118551
1 Z8 J* q. D! k% V1 M9 W9 d
; h" V3 A+ C; c' d. ^" h* w+ n3、磁碟机   样本来源  

- ]6 h3 P: u- N, U8 r2 M* a8 Ihttp://bbs.kafan.cn/viewthread.php?tid=211669

) y" [! k! ~* k9 ~7 Q8 B8 L4、机器狗   样本来源  
: z! d* K2 A. k6 j+ t
http://bbs.kafan.cn/viewthread.php?tid=183346
4 Y9 {6 n8 D" W, `$ _+ q. }  X
  n2 t! S2 Q0 d7 U+ s1 ?" N6 y* ?6 n托盘图标：
comodo
2 P  ], j! p( L- M: U' f
: D% j  J; e6 P$ A7 }' t9 _
eq

: @- r/ W. ^7 B( |
0 ~7 i6 k4 u; d4 Zps
8 I; Q0 f3 ^  G/ M! k& g
/ {! D, b- q. Q9 f4 \+ u' M4 I$ ~
ssm
5 [7 R, T. D' R. Y2 i

软件界面：　
comodo


7 a2 K2 J2 I2 X, T
eq


* F7 J* x; k' V7 T
5 g$ D- R- B8 {) c7 E$ Tps

# A% ?6 Z/ _3 }
) ?- w' o! P. V, N  A) Y
ssm


. `  o7 w' R& F9 O& h. P; ]

& P9 p, @0 w+ S+ I) t资源占用
# G; |, {5 B9 U# I! H4 _
0 c; J7 P8 w2 s, K：各人系统环境各有不同，仅供参考，如有雷同，纯属巧合


' j3 G2 A! W. v, z/ _# f. q+ j6 Q6 F
% J& N4 k) q  d0 ^comodo

3 g, M+ }0 u' n3 {) h5 \( |) w
+ J: Y. v% w% R3 ?eq



! l- v# t7 `9 T; g1 Cps

+ x1 t! m. ^* B+ P  @: J: g
4 D: Q+ K5 m! |9 P
ssm

) ?8 P, C3 P, C0 m

; @1 U6 @! X8 V
" S- x/ k3 d8 t, g4 ^* h% s阶段总结：

现有的一般配置运行HIPS软件已经绰绰有余，其系统资源占用相对于杀毒软件和防火墙来说绝对是轻量级的


8 x0 g5 P0 o9 L1 ]) R; W
[ 本帖最后由 竹木刀 于 2008-3-14 17:04 编辑 ]

竹木刀

进程保护：使用工具Advanced Process Termination v2.1
: [! B1 N/ ]" `1 X
- v* S: `* T& ]1 a5 K- `, e' W& ~comodo
* e9 a$ \6 v; X5 h
3 H1 S2 A% L% y: P
7 R3 L2 M: H) k0 X! |1 ^) |7 ?1 ZComodo 在图形界面cfp.exe关闭之后、启动之前，默认的规则处理逻辑是允许。
5 J% M, r7 w2 X$ B5 c8 o
选上 block all the unknown requests if the application is closed，可以在GUI关闭以后，启动之前，提供保护。
" d/ Y# o" @8 b" d: z: l
0 o" W* }0 z9 {% C. k测试病毒的时候，万一cfp崩溃了。。。，所以要选上。
+ A7 i) B+ e1 h
在安装了新的自启动程序以后，需要暂时去掉，等学习规则以后，再选上。

Comodo 完全可以无进程内核保护，两个方法：

* M6 K& n8 B7 H1. block all the unknown requests if the application is closed 或者

2. 使用我的All Applications Limited 作为所有程序规则 All Applications *
) e* T2 }1 D% I0 ^
因为，在GUI关闭以后，All Applications 里的Ask规则会被忽略，直接允许。这种处理方式是为了照顾用户体验。

这两种方法，可以同时使用。
. I5 M  L2 |  G' d
3 c1 u& ~+ S& \  eps

# }6 s5 D4 c* s  n# c
' ~! m! L6 W2 E8 [2 a' Z" E; i
进程被结束后，防护依然有效（基于内核保护的缘故）
! c5 x  k% }5 S4 \3 p
  H) |2 p& Y1 d  p! Ussm


有点出乎意料啊


, z4 C  C* e5 Y2 `5 \
eq

( [8 ]2 ^2 y, W$ m+ {' N; M
5 L8 o. E- A4 S" [
# c" }5 @& z! m7 I6 o哪位ＸＤ做个测试后发上来，谢谢
# e5 H. c3 O0 ?9 l
9 T' _2 U! {( M# y, s% w6 h
; c, X! q6 ]4 l$ O/ U7 P, Y
阶段总结：现在市面上的安软自我防护一般分为（1）软件进程难以轻易被结束，如BZ和SSM，一旦被结束后，防护大多就失效了。（2）软件进程易被终止，但因为基于内核或驱动级别防护，故无进程状态下仍可发挥作用，如PS和DW
  v; Z8 _* r3 y/ ]+ i" B
+ w# v- Q/ ?: e& t; B- z其中第二种方案为目前大多数HIPS所采用

竹木刀

病毒测试之：

熊猫烧香
comodo

. G$ H5 G( [" c+ v8 D7 x
* |9 f0 H  t1 D9 v/ F9 C9 bps
: ]6 X9 e& ^/ O/ _$ i

3 L1 H& j- B" c' a9 u0 f" V( I$ |; [

7 @5 |" _4 ]/ d
- e# d: A' }& i. ~/ n: \
- ?% T* E# y# }  g$ T% K. c7 j
* C$ b+ w1 b% i* T
ssm
1 {: n! f3 Q7 J$ e3 J



eq
3 q9 V; d, k- V, Z! j* Y/ c

2 z/ D3 A% |) m, y8 P% w

9 n2 {% c* V/ ], F4 u  l2 n( @
1 d, D% V; W  W& e. j
小结：
四款软件均轻松阻止了熊猫，没有任何尸体和进程生成



7 M/ D/ X" Y0 W- j! i
小浩病毒
3 c9 P% Z; f8 d% P4 N
comodo


/ c/ T+ \) d/ i8 O
8 c9 x. W8 q: b

$ d" C$ }/ ?4 @3 s* P$ n2 k! p
/ y  J3 X( c( q9 o

- l: I7 k& u# \3 x

1 w3 }9 w! u8 E* Yps
: q" ~6 O" O2 x  E& E

+ z5 i( z  H  U+ F7 C4 O; F
$ K. [% F7 [  ]/ T






) P4 G; F; @8 s, M: p: c
9 Z' m# f3 k( o3 v1 o



" a8 p/ q+ O& M
8 P2 d$ Q# ]  e
3 e. t; n% h9 K8 C; b: a4 y
ssm

0 F: M+ E4 P. i( G) a
1 y2 q0 O  `, a" X. m7 c, T% ^* |9 G+ {eq
; T3 j* U6 o1 x' i, Q+ V: D

5 w; Q2 u) Z( f. |$ g3 l9 h& b

0 Z/ B! }. l8 D) l" I& D
3 ]4 X8 q0 e5 z7 k
% N. X& F/ E- S0 i



6 Q7 t" Y% v2 k# {
小结：不用多说什么了，comodo、eq和ps均经受住考验，只在运行后生成一个无用的xiaohao.exe进程。
7 F4 v, Y* \$ T9 x3 r  a

" w5 H. e# P2 B* ]
% H) o* c% ]1 {( h反观ssm只是在xiaohao调用ie时弹出询问窗口，其余动作一概没有防住。壮烈牺牲

竹木刀

机器狗:
0 u2 D+ e8 f% a0 Ycomodo


- k! A: B) q1 P8 D
, t  X' ]- a( ^- z: c' _$ r. g
2 s: F3 ?( t. l9 g

% h! f/ y* S8 q$ d  C
4 f8 ~& q( C2 e: X3 Z% S


7 ]: ?! A, K7 h3 D( u. }eq
: T0 h9 }0 L! R! C/ a# f4 N5 h
, I! j3 A& e* g6 F" X) V
9 b: w, r& ~6 R* w7 ]


! T& i) ^8 b0 K5 E* j  `
/ P5 @6 O& ^  D



. y; X( I- ?) C& yps


9 c# W; m' t$ W: J2 {0 M  D
' y9 p. I6 p8 [



; B+ K$ K' T# C) O8 N6 S- \

小结:comodo、eq和ps完胜，而ssm我就不再测试了，大家应该都猜得到结果



: a+ N/ T) ?( F# ?# |' b磁碟机

comodo

; l9 R- D* D: Q$ {- O/ s


' g% A/ W6 a: T$ M: U
5 S7 B% C& T- [1 Q! z' i/ H


" P& i% P) M3 Z' j4 t
- L+ |* f, f- r* P. y

- _: K3 u5 S8 K3 E) B. X3 q9 veq

. ^( g6 H2 f, a

5 |/ a* R, n( j# b/ L3 d& \, r


. v! b. @7 r) ~8 O  r, u+ c


6 O$ c3 m( s' ^

! i$ ]' Y! P! s1 o6 g; W' l' A说明：这是火鸟大大为了测mamutu而一路允许下去的，只要当中block一下就......



ps
7 y3 t* a, A- T6 g: n* @# h8 F" Y


0 ]+ z. |; z% w, a0 l! S# ?一击致命！！！
. g) ]6 p8 `3 `* L0 |  D9 G
# }, U4 w" ]2 u  v( T! `! B老样子ssm还是老样子
$ a9 ]. j: _: ^8 O* ~( l


* t( o. D2 `  X$ g+ s5 p2 z! r0 ?阶段总结:

经过与四大毒王的血肉相搏，除了老牌的ssm由于缺少资金及技术支持，没有FD败下阵来，其它三款均与时俱进轻松过关

chesterzhao

麻烦请注明是转贴及出处，谢谢合作！！！

中航海

好复杂呀，要好好学