刀尖上的舞蹈---4款主流Hips实机测试

竹木刀

转自卡饭论坛，作者：chesterzhao

参测软件：按软件英文首字母顺序排列
& i9 g0 @9 S: x( @
) t2 k' X+ X1 a, I1 a. w, aComodo v3  3.0.18.309(简称comodo)

) }7 A" Q2 e: G1 S+ c4 nEQSysSecure 3.41(简称eq)

* K) o" x' ^* q3 s7 X' A9 ]8 y# K3 ~ProSecurity 1.43(简称ps)                 　

System Safety Monitor 2.4.2.620(以下简称ssm)
3 Q, c/ ~. ]9 c  [
' K% a' }: k' ~4 v* v5 D由于不可抗力因素，eq并没有实机安装测试，而是参考了各种权威测试帖，敬请谅解
: Q& ^8 ^7 `0 ]: n2 C

) v' Y2 {8 R/ U* b+ A; I0 s4 M: v
OS：xp sp2 msdn原版
- R+ X( d* q! _: l. I5 h8 W/ w/ D
4 j! m3 A5 g! R; B1 W0 {内存：1G*2

测试目标：当前4款主流hips不完全横向比较（托盘图标、软件界面、资源占用、自我保护测试、病毒防御...）
6 ~3 ^' j9 E; g; f% m+ `/ E
/ X! z1 N, Y5 W( ]) `样本下载地址：
, T7 e/ W& d2 Q8 x% h) ^1、熊猫烧香 样本来源  

http://bbs.kafan.cn/viewthread.php?tid=106100

. f' Y! P+ R' w5 l7 Z2、小浩病毒 样本来源  

http://bbs.kafan.cn/viewthread.php?tid=118551

3、磁碟机   样本来源  

* ~: O" w" }% e" X0 A  X! }! whttp://bbs.kafan.cn/viewthread.php?tid=211669

4、机器狗   样本来源  

8 M: V- ~- [' i  _: R  Khttp://bbs.kafan.cn/viewthread.php?tid=183346
1 S: Y/ Y9 _# I
托盘图标：
comodo
; }, f: f% A# |- K% P+ J- q' |* l" L
% o- }  E4 J7 k2 U- Z- l
* K. X, |2 o2 Z0 h, }6 \# yeq
1 f6 C' {  S% E/ C  y+ I5 s( a; C
  U; G; M7 e) N! X' x
ps

$ D8 {0 @8 L! k$ H, r6 L
5 u) n) E4 G; g$ K6 kssm
  Q  }1 n8 ~* W- w. _, l
) A0 @$ W; w% s% T
软件界面：　
9 M7 l0 T+ Y& G5 Q7 l( G# U- o5 ocomodo
: V0 E! }% j  r
7 A0 Q' e4 t9 {0 B
- \4 Q0 T2 I- _# d
' g; d) D: L3 Y7 I3 b$ t$ ^- jeq
& i4 ?# d# v+ {) s4 B% S

, i* e8 j0 B4 H# V, q, m
, |1 Y8 s5 ]* d$ K; sps
" C# C  C' h$ Y) s) T
, x1 E' B8 d" ~. p# ^% b6 d
3 O2 E: h) ?7 {8 k/ q
& m6 a6 Y5 d" H& w: |* Xssm


* `) U0 B; S' u7 ?, A& e" p7 E# g

- f6 `( f% I% W" }' g6 t资源占用

：各人系统环境各有不同，仅供参考，如有雷同，纯属巧合
. h' H4 }, ?0 c% R0 d! t


comodo
* V; R: X: z8 s  @

0 ]. \$ ~1 J* Veq

* u( {+ X4 w7 b! |3 i* V5 P" @0 b9 j* G
) j, X' m% p3 W( k5 t( c
ps

, O/ o- D: o2 Z! P, g
2 V! G# b9 v& o3 d( p0 g' ^
ssm

& c, ~) g' Z  C, v( C$ E/ Z
3 X: u/ y8 l+ |6 P! u2 ?
. k( y; v) X# r) R( ?' j
阶段总结：

现有的一般配置运行HIPS软件已经绰绰有余，其系统资源占用相对于杀毒软件和防火墙来说绝对是轻量级的

9 W6 O/ {$ W7 B; Z, v# E: R
8 t) ~# ]- m0 g% e' B0 D
+ B  q2 U' j6 V# J[ 本帖最后由 竹木刀 于 2008-3-14 17:04 编辑 ]

竹木刀

进程保护：使用工具Advanced Process Termination v2.1

comodo

& u4 C$ J/ G9 h2 l2 S- K4 c- |
Comodo 在图形界面cfp.exe关闭之后、启动之前，默认的规则处理逻辑是允许。
$ F+ ^; D  U. Z& S, n1 R, H' B
2 N8 [8 E9 R0 e$ z! I( V7 H& ?/ V选上 block all the unknown requests if the application is closed，可以在GUI关闭以后，启动之前，提供保护。
4 f  ~' h- Q& b3 m# W
测试病毒的时候，万一cfp崩溃了。。。，所以要选上。
4 n2 ]& j+ V3 e
在安装了新的自启动程序以后，需要暂时去掉，等学习规则以后，再选上。

Comodo 完全可以无进程内核保护，两个方法：

1. block all the unknown requests if the application is closed 或者
" g( l2 w; ~% y; E$ A
2. 使用我的All Applications Limited 作为所有程序规则 All Applications *

因为，在GUI关闭以后，All Applications 里的Ask规则会被忽略，直接允许。这种处理方式是为了照顾用户体验。

这两种方法，可以同时使用。

ps

; r% t3 C' c" E) J1 W$ q, M

. H/ @' ?4 C; K6 I+ p; n进程被结束后，防护依然有效（基于内核保护的缘故）
4 q9 F, u: B+ a4 @& d. F5 n; A
) f& B! [* Z8 l' L. [2 i1 \ssm

9 k3 O! l/ M# z( y3 k$ Q5 D
有点出乎意料啊
( C6 b2 ]- O5 \0 t/ f  r4 E2 {  V  Q6 R
5 M5 C  L8 c6 f% h

eq
5 |6 y, p" X, m; g1 x' ^& M


哪位ＸＤ做个测试后发上来，谢谢
" K& n  s" D* L+ R1 ?$ ]
+ M4 ~! D: c1 E

阶段总结：现在市面上的安软自我防护一般分为（1）软件进程难以轻易被结束，如BZ和SSM，一旦被结束后，防护大多就失效了。（2）软件进程易被终止，但因为基于内核或驱动级别防护，故无进程状态下仍可发挥作用，如PS和DW

: U. U& H  S0 S3 D: B其中第二种方案为目前大多数HIPS所采用

竹木刀

病毒测试之：
; t+ L1 i  ?7 z
( H0 R* M# E8 @* _; S6 E熊猫烧香
! q( u8 T' A2 M) c& hcomodo


* E9 P9 u2 F6 t4 L3 m/ L  f0 H. @ps
3 c, ]( s8 d' I8 Y. e6 s; c# }





7 n' ^2 f1 h+ }+ `+ u% X
0 ^9 `  z' I" Q
ssm

/ p9 C1 F5 W- x0 b5 }4 E
2 U5 \0 G1 b4 T4 d! b1 k
& `$ C. o5 O# \. G
$ N) J3 n0 A/ F5 F8 j  o4 O( _eq
8 r- O3 }: p& J( F/ I- W* ^


& a" ~7 `2 T5 k- Q# E
' B/ r2 b, D9 J3 O
, |2 f# S4 J7 O* R* V; D7 E. o
小结：
# _; A8 F$ v- P# Z四款软件均轻松阻止了熊猫，没有任何尸体和进程生成


& a) \- e0 U! M  c- ]2 @" U
* x$ l7 U" v7 x8 Y! n$ ]$ A
% G! [8 W% |% r4 F- H1 ~  Z  M小浩病毒

7 U9 W& a* e! e- ocomodo


+ M7 c9 J3 D* [& ^. b# _
; X/ P- m* R$ @
( q! Q* j$ G* X0 k  v$ f. ~7 t6 G
( R. o/ n) x4 L/ p; G. I0 B


5 y3 U. a& S/ E; P1 I8 {- M, Z

# I& R9 ], ]  p3 |5 c- i# v4 g0 Cps


9 B6 \5 x" k4 @- E

% W4 e) z) h' t: z& b0 {9 A+ T

" J  [9 H  ?  e! l
. H# r% H" Z: p1 x


( ]( q8 Y8 Y6 ?/ B- U& |3 o+ i


6 K! k. W& A& b9 p6 o

; [3 D+ a5 ?( [1 k! C

1 n: M; }+ Z' A' u/ W2 Q
' R9 w4 d- F$ o% U! A7 ossm

* L8 S, }" `) H
eq
# F9 b- H& C! T7 n+ s( \
4 p( X/ T& l3 b




6 X/ I& I' G  l* a0 y
9 i; w2 D' h" S

; ?; i' n" ~# M3 E' s' ^
- p* e+ _* }; S3 G' d
9 p7 G2 ?' ?7 L5 H- Y( A2 j/ F! f* V小结：不用多说什么了，comodo、eq和ps均经受住考验，只在运行后生成一个无用的xiaohao.exe进程。


  G3 I! ~* X1 N# p' o) Q% f
反观ssm只是在xiaohao调用ie时弹出询问窗口，其余动作一概没有防住。壮烈牺牲

竹木刀

机器狗:
2 ]. V! f3 u5 u. U8 M  I' a2 gcomodo
4 x' U6 G- d5 X$ x- z$ N* _, F4 Y5 d' V

* L) q% C" T2 N2 @" P4 m


4 G& Q/ z: G9 ?* I

6 {! p/ q/ i+ {/ Z8 l; I
  M& ?( |! F" u+ K( d1 F% i
6 V9 m# d' {7 |! G- g: g+ P2 H  i
eq
) a) y$ W* G8 D+ Q% K" w








6 [7 {! ?7 F; ?4 N2 M" B; g+ v
$ y: W  C! d; Z6 wps
) a$ C) G4 S) q6 I' F  m
( b( s( g. u( M. T8 K! Y

9 G. q0 W; h9 s  _2 h6 g! d' q
8 K1 F: V9 G% w, f

% o- J$ N2 J$ k; B1 F5 x; |- j
5 ]* |8 `# k% W4 b/ C! l" |8 M* S1 @
; ]# [2 s; p  I; v
小结:comodo、eq和ps完胜，而ssm我就不再测试了，大家应该都猜得到结果
' j! f/ r  J5 m7 |5 W


磁碟机
: ~: p2 h; K: X  U
comodo
5 ?# U# x1 E9 p$ u




- ^/ a! k8 S: U# @$ c& j1 I- P9 e4 s
0 f7 h+ \. }, H, N3 T9 U4 _$ _2 l. u
, N. P1 A! \3 Y7 ?
  k9 Y& `7 p1 N5 a


1 Z0 Z! b2 t2 j7 n' O$ R# M/ ?3 Aeq
, |# T' W" i7 l3 A5 e7 O, z& K' {


( w/ I6 A* e" k% U! J

) r1 P# x0 w2 @8 A+ o5 ?. z


3 d  m+ F( ]3 `: G0 o2 \
$ g- w9 a+ R: U, Y. H- O9 [: c
0 d; L+ B! ]) |& C% ^: S; u
8 ?) I' m8 N8 T2 G& m: m! M说明：这是火鸟大大为了测mamutu而一路允许下去的，只要当中block一下就......
9 E6 F3 ]* t; ^
2 f8 p  r* v& T9 l) s% |. S/ D

ps

! Q# }0 D0 `( W

一击致命！！！
5 m: y$ B1 V: N1 |% G
  d' V8 y, s9 s: ?1 w老样子ssm还是老样子



, u; ~9 ~+ @, i1 @1 N阶段总结:

' M. \' L9 W3 O& _经过与四大毒王的血肉相搏，除了老牌的ssm由于缺少资金及技术支持，没有FD败下阵来，其它三款均与时俱进轻松过关

chesterzhao

麻烦请注明是转贴及出处，谢谢合作！！！

中航海

好复杂呀，要好好学