刀尖上的舞蹈---4款主流Hips实机测试

竹木刀

转自卡饭论坛，作者：chesterzhao

参测软件：按软件英文首字母顺序排列
# s9 Q' e+ m9 Y1 S: v: H
Comodo v3  3.0.18.309(简称comodo)

EQSysSecure 3.41(简称eq)
5 \1 L- f7 }0 c5 U* D! B+ N
& b- N% y' L% t" uProSecurity 1.43(简称ps)                 　

: n' G& N# r) }: x) {0 sSystem Safety Monitor 2.4.2.620(以下简称ssm)
! k! C) h- C6 _, y; L
2 f4 v/ i4 o1 w3 P8 I$ D由于不可抗力因素，eq并没有实机安装测试，而是参考了各种权威测试帖，敬请谅解
* s& |' ~4 N' e' j3 O! n' C

/ S, X( _: z/ Q8 i  h" T
9 o/ y  s) a7 p: X( `. GOS：xp sp2 msdn原版

内存：1G*2

测试目标：当前4款主流hips不完全横向比较（托盘图标、软件界面、资源占用、自我保护测试、病毒防御...）

. d3 T9 y; n/ N样本下载地址：
7 y' P) A6 G! k3 l. U2 x* y9 ?1、熊猫烧香 样本来源  
4 l% B; J5 z7 \) S
/ q; b! `3 a0 Z1 rhttp://bbs.kafan.cn/viewthread.php?tid=106100
* Q4 r4 s9 V8 A+ Q9 `
2、小浩病毒 样本来源  
2 v) c4 t8 S+ Z7 I5 |0 H8 Y
: p( a6 X7 l  Xhttp://bbs.kafan.cn/viewthread.php?tid=118551

: u: i0 R- s! |1 ]# T3、磁碟机   样本来源  
% x  O6 T) T: k% R! V+ m" z
http://bbs.kafan.cn/viewthread.php?tid=211669

" _0 C& i- M: Z: `. D  b* ~+ o4、机器狗   样本来源  
4 q' I! I) g; l1 W! j: u/ k
% c: e' F8 ^9 Shttp://bbs.kafan.cn/viewthread.php?tid=183346

托盘图标：
: t& S- v3 e7 m: acomodo
& b8 b6 R3 Z; Q4 ?8 O! ?! E
3 D( z( x0 ^' f6 L0 x
eq
- L3 c8 E- x6 u4 s

ps


ssm

9 b: k% l" U7 |! E. n5 B
软件界面：　
comodo

4 b+ g( W* v6 U+ N

  Z- ]$ t! W. l/ V+ L% }  Feq
3 N( O; g, p  B' C) }" Z- J
& J: P) k$ D! J/ v9 Q$ F; y

/ A% f$ b" l  w% Rps
4 v$ d" E: m2 w9 a& f: g( F6 z, E
: g) F1 E: v: i

ssm



/ C1 [5 i# U, |. Y
资源占用

：各人系统环境各有不同，仅供参考，如有雷同，纯属巧合
) R  ]5 R( y/ x/ P$ X6 e# _/ y% M
2 @* l* _4 K" r7 C

* z, b9 ^8 s) Y* i( fcomodo
! e7 R" V# I, [6 S4 t: \

eq


6 A% F! g5 G+ q: b9 y. `$ p
ps

/ Q4 G+ \% q; \
, ^/ U7 T6 v& |
ssm
# P! V" ^6 k6 [4 N" j' j' k% G
3 P2 e: Z( [- t, _
/ P% O5 s1 k" k" j, N

阶段总结：

现有的一般配置运行HIPS软件已经绰绰有余，其系统资源占用相对于杀毒软件和防火墙来说绝对是轻量级的


8 Q7 u3 N1 d5 i  u, e4 }
[ 本帖最后由 竹木刀 于 2008-3-14 17:04 编辑 ]

竹木刀

进程保护：使用工具Advanced Process Termination v2.1
; U! D" F) G2 m2 ]
3 O! q3 b3 _( m, c# Z$ zcomodo


Comodo 在图形界面cfp.exe关闭之后、启动之前，默认的规则处理逻辑是允许。
/ |) q+ M: m5 B  d/ v, X
选上 block all the unknown requests if the application is closed，可以在GUI关闭以后，启动之前，提供保护。

$ s' f- z8 Y# v7 n- z6 b! r测试病毒的时候，万一cfp崩溃了。。。，所以要选上。

在安装了新的自启动程序以后，需要暂时去掉，等学习规则以后，再选上。

Comodo 完全可以无进程内核保护，两个方法：

1. block all the unknown requests if the application is closed 或者
6 g" y1 W' s4 z4 v0 q  l6 g! a
  K* G9 S: v; O. u: ~. m, p6 v2. 使用我的All Applications Limited 作为所有程序规则 All Applications *
) }. {  \& H( E- @9 v# r
* J, L* `' d9 j* g: m2 p. y因为，在GUI关闭以后，All Applications 里的Ask规则会被忽略，直接允许。这种处理方式是为了照顾用户体验。
2 t  P4 b$ q0 Z0 }+ J" m
0 H9 j+ D& q  |' |/ o3 |' S这两种方法，可以同时使用。
3 Z/ t: \, V# r$ D9 k6 Q
5 l6 L% E! e) o9 ]2 ~ps
4 P& G! Q0 b' i- V& s6 ]
8 o/ E7 w9 O5 I: B' x) Y

% S4 i4 U' a- T2 |! I4 s% d) j2 Z' S/ s进程被结束后，防护依然有效（基于内核保护的缘故）

ssm
* n+ I9 c9 x3 l+ {- k

$ R( c' J6 h. _1 B: v# t有点出乎意料啊
/ ~0 ~5 a8 a7 \- O; B

7 a- V  _+ v% V- I3 j+ `8 D% i
eq

) e0 A% x3 }1 \% A' e
4 _" e" y3 ^, k+ \3 w5 A
哪位ＸＤ做个测试后发上来，谢谢
  s" f+ a2 s! z

1 d. f- b5 l0 @0 }# C1 O% z
阶段总结：现在市面上的安软自我防护一般分为（1）软件进程难以轻易被结束，如BZ和SSM，一旦被结束后，防护大多就失效了。（2）软件进程易被终止，但因为基于内核或驱动级别防护，故无进程状态下仍可发挥作用，如PS和DW
3 c) p$ j/ z3 w$ m, t6 b$ j5 z, m
其中第二种方案为目前大多数HIPS所采用

竹木刀

病毒测试之：

* o& f6 E9 j) U8 S熊猫烧香
# l4 y5 W% O8 ]/ H; pcomodo


8 x9 a/ L8 D: |8 K% O4 _! Rps
" K; Z" |! z6 l4 w) G
+ B# Z9 ^, I2 a7 ?& Y1 L& a8 o$ {
: h- m7 m4 e# {# n/ Z3 x# M5 U
. T9 F% v) S5 S$ u2 V9 F, L
. A8 c# w6 g7 E, ]1 T: u% \) }" m


4 v9 b- S$ A4 g$ O4 J, F  P8 L: \
3 b: L2 {) y2 N6 N1 cssm


, A9 i$ w2 \) p9 i! S+ U

  R' ?* m9 e9 _& L# _1 d2 Q  F4 peq

+ k/ x- w9 e; O; ^
( n) D- F! K5 B6 R4 h

7 Q' t  T1 e. [+ q" X

小结：
; t2 k+ S- e% |$ b四款软件均轻松阻止了熊猫，没有任何尸体和进程生成
' J8 ?$ k0 f2 G1 G( p2 R+ U4 s



小浩病毒

( v" t$ `& J6 a, z0 _comodo
& ~6 d" J" Q+ T" q- {
  Z8 M7 P3 W- s
6 \8 S3 ]" m. [4 R* l

. O! a, L8 |( Z7 u/ b5 f, I
7 ^! ~# V2 }% U1 E% a* {! X/ A


4 q1 A& c3 ]  s2 b
/ x8 `5 p0 y9 Y( d. P0 f& H$ _, ]+ Q
ps
# h) z5 r7 P$ ]. x




4 o% P% [3 v% l8 V& r7 R


2 G' X5 a* Y- O, r* b



2 k: R; `6 Q9 d1 b# a" J2 v
* ?* F( Q1 P& i* s1 h7 G

: k: h. c/ Y6 r' Y

- n1 A  h4 p2 @; ]; A1 q
7 P( @. k2 x% Q4 Jssm
' `* v6 R& d! }" [8 f: i
' P& `8 I: I9 z+ z) f( V6 J' ?
eq
0 |. t# m: \- o3 i: t


% K/ r' ?9 x, b' o9 N
7 @: c2 U# o! j
1 d, w( G' w; v3 p0 D
2 d) H4 ^' w9 o; l' j: A" K


( q0 U. r- H! A* c7 G8 J! p
! h# N2 W$ G! y* t8 r
小结：不用多说什么了，comodo、eq和ps均经受住考验，只在运行后生成一个无用的xiaohao.exe进程。
' l" f' w6 v+ e6 H. c6 M

% D! r& G, @" B$ F
反观ssm只是在xiaohao调用ie时弹出询问窗口，其余动作一概没有防住。壮烈牺牲
$ r* n" e3 Z5 Y6 b# D

竹木刀

机器狗:
  I& L; H" H9 o6 i  ncomodo



$ n) S1 \, ?1 X/ U; G
2 {4 T  ^- Z# f& j$ W
6 ^, S/ `# j3 b& e* g" r0 [) R
4 O& R  H0 l* Q5 W1 f- [

  {, I7 C5 O6 z! O- Z8 U- A
, ~4 Q2 B9 H' Y/ v4 I
$ c  x% p1 |% C2 o5 |" |& Jeq
: p( }( B8 t1 ?# o3 f. ?+ U2 `
$ C( Z+ m0 E) Y3 _# j
  G* f+ z0 h* f" v: T* M


; j* Y4 X: G; ^
+ @9 ~# F* K4 V" Z- |. P1 K
; n" b! L( n7 ~

! j/ ~- P' M$ r7 n0 h& g; f5 `
ps
+ _" X/ G& y2 O. I# i



. U2 l/ h8 [' [3 ^


7 b* h! I8 \" J7 N
" i! V0 \* ~. x! p7 s4 B7 T
小结:comodo、eq和ps完胜，而ssm我就不再测试了，大家应该都猜得到结果

$ O" l) l: W4 f" Y# V( z' V
9 s; Q4 A! J: T  z5 \2 Q- }
磁碟机
0 d+ @( Z" }7 c8 x# W+ x% D( ^
$ x9 B2 N+ P7 N& F$ E" u2 [comodo
3 }- L/ S' R/ n% k. b7 V  @

6 u! f3 j- N: o! X& y2 `& i
9 c, ?6 `, U7 ?# E$ U
, L) Q" _- T; V. x4 `( \; W' g5 [
2 D+ j' p! V6 s% c8 U0 C  L
( Z, Z( h# H$ L5 T3 j: W
. b7 r: v' w6 a3 `: I" H
  G* G( \) e7 m  c

: b- Y/ N. [4 T3 z. B! w
$ `$ W  U+ N: G9 l( P0 deq

7 u; m5 G% e# c- \' Q3 a
; `8 i7 V( b; R  F

! I  a1 y9 Q2 `" ?1 {
& o1 [% P$ V% ?7 G




4 I2 s$ F: Q' E0 ^" X
说明：这是火鸟大大为了测mamutu而一路允许下去的，只要当中block一下就......


2 }& E& D4 }& {$ q# V4 H7 B; o
ps
( @: L0 M; i0 X6 z; ?

3 g6 E4 Z* o4 @9 z: H# m. G8 O% ]0 d  u
一击致命！！！

老样子ssm还是老样子



: i# q  l9 [# j, n阶段总结:

" |. I- x. G/ {经过与四大毒王的血肉相搏，除了老牌的ssm由于缺少资金及技术支持，没有FD败下阵来，其它三款均与时俱进轻松过关

chesterzhao

麻烦请注明是转贴及出处，谢谢合作！！！

中航海

好复杂呀，要好好学