刀尖上的舞蹈---4款主流Hips实机测试

竹木刀

转自卡饭论坛，作者：chesterzhao
& Q9 {# x' j7 \$ w% n4 f
参测软件：按软件英文首字母顺序排列
* P& q$ I/ v5 e5 V! ]
Comodo v3  3.0.18.309(简称comodo)
4 v/ L1 s& e( V% w  k
EQSysSecure 3.41(简称eq)
' l' t0 H- n7 Q; D0 q" K# H
ProSecurity 1.43(简称ps)                 　
6 ?  a$ x; q/ N4 j" \4 X
System Safety Monitor 2.4.2.620(以下简称ssm)
) F" V; y/ N/ u/ L6 F$ Z
* h$ y: ~' M2 G由于不可抗力因素，eq并没有实机安装测试，而是参考了各种权威测试帖，敬请谅解
, C6 O- F) R3 B% {% f1 U
% ]0 a) v3 c) G1 B
7 E4 m) {: `! q
OS：xp sp2 msdn原版

. i8 w* [1 l' S' `' r1 Y内存：1G*2
7 P% J( z& m( m# X, j
测试目标：当前4款主流hips不完全横向比较（托盘图标、软件界面、资源占用、自我保护测试、病毒防御...）
, i+ A3 ?' z4 K9 R
# |- ~0 Q, j' g  t" @样本下载地址：
! y" v7 D% A2 v4 s! L7 D6 k( ]1 T1、熊猫烧香 样本来源  
2 c* K0 ^! J; `2 Q- z
3 n4 r% c) q% E: E- S% Z: rhttp://bbs.kafan.cn/viewthread.php?tid=106100
$ l& X% L9 \' e6 Y: u7 b
2、小浩病毒 样本来源  

http://bbs.kafan.cn/viewthread.php?tid=118551

3、磁碟机   样本来源  

1 u0 J& y' [! I+ Xhttp://bbs.kafan.cn/viewthread.php?tid=211669
) ^1 U- N5 \; ^' d. O1 Z9 @' c' M) E
4、机器狗   样本来源  

, `! w+ X+ p. Whttp://bbs.kafan.cn/viewthread.php?tid=183346
/ k5 {/ Y7 V( ?: ]; Z% n" Z+ F# m
! S3 ]$ c, q" Y4 l托盘图标：
3 G/ ?) H' [1 H: Dcomodo
, }* a" E$ o& W3 {, |  N1 M5 n

eq


ps
. \  B) Y- H: X& G/ |

ssm


软件界面：　
, I  `& W  Z' [( dcomodo



eq

" r$ j/ b% ~4 S( ]. }

ps

4 l( B; C6 E( ^/ ]+ b/ s

ssm

: x/ ^' r$ P7 B/ e

$ V  M' G  L) s2 S9 n
资源占用

4 A& D& M, ~3 i! ]+ E% j, D  C：各人系统环境各有不同，仅供参考，如有雷同，纯属巧合
% M1 w/ I9 h+ n


: k" ^$ t7 C9 b  t$ c! q# Fcomodo
8 x: O! W+ W& O1 s
, n# U! z5 w1 p
' K4 G$ `( e6 Ceq


: ]: S' w5 _- p' b# s/ k/ n
0 r" L3 F! N5 C: Tps
5 ^" E7 M7 m. v% |2 H- S
( N3 g: W; @$ ^

$ w) O5 y4 c. F: V* D! Z  T- sssm
2 ^& U! s' I! s# T: k2 Z
+ K* C! Z( s. @9 o2 H: J# b5 P
2 @$ c3 @8 k$ V/ H) S# h1 O
# _6 @& d- @" X/ Y/ a7 F
+ W+ s* b' l6 M# m) Q( A4 ^3 U阶段总结：

9 n- E( `/ h- Y: _# z0 _/ S现有的一般配置运行HIPS软件已经绰绰有余，其系统资源占用相对于杀毒软件和防火墙来说绝对是轻量级的
! O  q! U( Q, D  _+ A

& t) u( q' O8 I, n
0 g' E% F( S" ^. X" R; ~  G  L[ 本帖最后由 竹木刀 于 2008-3-14 17:04 编辑 ]

竹木刀

进程保护：使用工具Advanced Process Termination v2.1
+ y) r1 E' T% h* e  W# l, ~; |. _1 n% G
comodo

$ n1 `5 U+ s# i6 s8 w
Comodo 在图形界面cfp.exe关闭之后、启动之前，默认的规则处理逻辑是允许。
9 J# n3 a  B- ]! `
  w9 x9 ]! K( ^* ~+ [6 [选上 block all the unknown requests if the application is closed，可以在GUI关闭以后，启动之前，提供保护。

6 e, W7 K. [* O: s. U, O( @测试病毒的时候，万一cfp崩溃了。。。，所以要选上。
* l% u0 ]1 x: {/ Y8 Y- t# `& C
# r1 ~6 i* Z, a0 C9 u+ c在安装了新的自启动程序以后，需要暂时去掉，等学习规则以后，再选上。

Comodo 完全可以无进程内核保护，两个方法：

1. block all the unknown requests if the application is closed 或者
1 G' v: c% I( h0 s7 f6 h' ?" i" X
2. 使用我的All Applications Limited 作为所有程序规则 All Applications *

因为，在GUI关闭以后，All Applications 里的Ask规则会被忽略，直接允许。这种处理方式是为了照顾用户体验。
/ H' D7 j, }! G1 Z
8 i8 G+ O/ J* t: C( |这两种方法，可以同时使用。
% D7 t4 H5 W% r* ?
) x  b+ S+ ^  B, p" ]/ I; a. Aps

* v9 @! l0 m& a1 F6 u  \

7 e+ T' P0 A6 ^2 c/ F* F$ Y进程被结束后，防护依然有效（基于内核保护的缘故）

, L2 F3 W* L, H8 mssm


" T+ t: h8 C  g1 \: V' n( \* [. i有点出乎意料啊
. s2 A8 _4 x* P9 ^' k


! B( K" T. a+ [6 w- |4 c  eeq
3 S; U5 I+ o2 h4 J3 }/ V
3 O, d0 `% X  ^$ J9 J, @  t/ a7 u

, X* f+ z4 j6 l, c. j7 r2 s哪位ＸＤ做个测试后发上来，谢谢
7 V$ R- d2 v% m: b5 S
" v9 s- I; V+ E1 i: J( m

阶段总结：现在市面上的安软自我防护一般分为（1）软件进程难以轻易被结束，如BZ和SSM，一旦被结束后，防护大多就失效了。（2）软件进程易被终止，但因为基于内核或驱动级别防护，故无进程状态下仍可发挥作用，如PS和DW
, e: j! Z7 t# `4 E; ~
其中第二种方案为目前大多数HIPS所采用

竹木刀

病毒测试之：

/ }0 _1 _9 B% ]3 J+ g: D/ v熊猫烧香
6 s0 m9 b1 m6 _+ R2 Y! q# V! D$ Lcomodo
) }' y9 h; F' m( I" {
$ {0 n6 @/ C: C
5 |$ u& P- q7 y: _/ Y$ Jps

% l# c) v7 v5 M3 c; d, T
) P. c4 m( X' n* x  L& H
5 Z1 N/ O- i' `. d




ssm


3 H* p- b& ^, V+ [5 r9 r
. o2 O5 n9 ]  Q0 Z# {' Z$ y3 N- e: Y
eq




( Z+ H. r- x. M4 C1 n4 p2 n' Z; k8 Q

小结：
& n8 X5 P- j- w四款软件均轻松阻止了熊猫，没有任何尸体和进程生成

, a9 L# o' \6 R! F, d" i


5 x- E8 O6 J  \! d: f小浩病毒
' D8 a6 ~) }( I. Q  x9 a, o
; w1 Q/ v7 b1 rcomodo


8 J9 ]: n, D# _- x- b



6 z1 U! g, [; q' _$ Y
9 y% m& F# M& _# P) `
* _: ?# y1 c3 R0 g
" L! a3 ^8 t) A6 {
ps


( Q* i5 I# L/ r  q3 b$ ]1 l4 N
, e* i8 U& y+ x$ _: t& j# S
  C1 Z9 U) D3 o. Y5 M
1 Y, ?" L+ g7 Q1 k/ l$ D2 X' j
2 k' C1 l3 r  z+ z
7 G  I- x# `! _  c" m
. K- w; c; t, r! i
% T3 k' i$ q3 t






5 D) i4 `" Y' k5 _

ssm
- B& L0 U) L: g. B' [# A
3 M2 b* z( t: |& Q/ l+ {
1 w6 v2 Q) T: u5 J; |eq
- b7 c+ \( ], L6 [
1 n; D3 F+ w$ b" {8 v" ?7 y

$ e+ _# V5 O- B1 N3 b
2 q4 ^& s4 D. E5 c" w& J9 P/ ?1 d
6 R/ H. h9 V* V1 [
; K' Z: J/ Y& Y% n0 [
, ^  h* ^" S0 L( g, x+ M



小结：不用多说什么了，comodo、eq和ps均经受住考验，只在运行后生成一个无用的xiaohao.exe进程。
+ x) d# F. `0 \: d


* d, U# ?/ B1 N* q( V6 }反观ssm只是在xiaohao调用ie时弹出询问窗口，其余动作一概没有防住。壮烈牺牲

竹木刀

机器狗:
comodo
( z* `: r( P. ~
0 U0 r4 K4 z  Q% M0 D0 X( S

3 B# ]  t) A: `# T
: k* Q) |& N1 M# P2 E
6 k4 C, I( j) x7 l& L2 P% i+ s
1 @% x# y2 i: F- A

) S* W& |5 d6 i, u: B. T

eq





4 M% ~3 f8 I& d2 P& |+ M3 ^




ps
2 D$ E  g: T4 Y% I' V+ \  @3 U, X


  x' }% e( ^, U8 V9 A; u


$ d3 [) r1 Z, p1 |
" U7 P2 V2 ]2 I3 d1 m8 t+ f
  W) [, x6 L% ?$ f- q% _
8 r4 P, ^" M& z3 x9 z小结:comodo、eq和ps完胜，而ssm我就不再测试了，大家应该都猜得到结果

% b" a- @/ M, n2 Q7 }$ Y

6 a0 z( \6 i; R6 @磁碟机

7 T' u/ e9 ?# U4 dcomodo

* [1 T) f1 W! T8 K2 q

$ R( q+ a* y" Q* u+ M
$ c) c: _/ k8 I2 o# w
) m6 b( X3 e- _+ L
  F  K' z% W7 H! N6 o: U, D5 w


( ]8 I& {0 s1 c2 @( Z5 j1 c

eq
2 x! R% D- `+ v2 h# d# T; W
6 I& o3 z( |0 O+ o

. P* G/ c. z8 U0 T7 P
* T' i* h& X) c
- Z. Y% [7 {& u4 b8 J- r




' K+ _; U5 u$ y) s5 I0 l$ a/ U
0 U6 O, T& w- [7 [$ \; h说明：这是火鸟大大为了测mamutu而一路允许下去的，只要当中block一下就......

# ?6 `% }( F2 c) Y& B: A/ P

ps
0 ?0 |% G% T" M! a" R( t. t0 z& M


  X( y2 F( f! }/ w, A) P# C: k一击致命！！！

3 m$ Z: F( ?: r0 n' U3 s6 T. c- U  L老样子ssm还是老样子

7 R8 o% c! N& {: ~2 t
; j+ q  `0 y' F. F; m6 n
* h: I8 O, i! r; X2 S阶段总结:

经过与四大毒王的血肉相搏，除了老牌的ssm由于缺少资金及技术支持，没有FD败下阵来，其它三款均与时俱进轻松过关

chesterzhao

麻烦请注明是转贴及出处，谢谢合作！！！

中航海

好复杂呀，要好好学