刀尖上的舞蹈---4款主流Hips实机测试

竹木刀

转自卡饭论坛，作者：chesterzhao
0 d5 Q& J& e( {, |
& L, J/ c  [) i4 \  b: G/ k参测软件：按软件英文首字母顺序排列
+ d# ]* l. S! w- r
( a- _0 K2 d, v1 N; w9 dComodo v3  3.0.18.309(简称comodo)
, p4 q; A& w( X% [
EQSysSecure 3.41(简称eq)

ProSecurity 1.43(简称ps)                 　
5 {9 ?5 q" D  t$ O% ~
System Safety Monitor 2.4.2.620(以下简称ssm)

" R: ?( G, G# z& a4 j) G! I" m由于不可抗力因素，eq并没有实机安装测试，而是参考了各种权威测试帖，敬请谅解
& p6 U+ C- H% x9 b8 J
% F4 q; R5 S; E6 m' L' m( ~1 E3 w

+ C; Q$ D1 X" o4 uOS：xp sp2 msdn原版
/ a& q' A; M+ h0 P7 y; c% E
0 l2 y) G3 Y. A  a4 S4 W4 z  t) v- n内存：1G*2

0 W' o% g! c  T( L测试目标：当前4款主流hips不完全横向比较（托盘图标、软件界面、资源占用、自我保护测试、病毒防御...）
: h/ |- o+ N' Q% D: k
2 f& z" W. E* h. p& n. N! r! j样本下载地址：
1、熊猫烧香 样本来源  
2 q) `) r( \* _
5 B$ x+ b  D( Jhttp://bbs.kafan.cn/viewthread.php?tid=106100

2、小浩病毒 样本来源  

http://bbs.kafan.cn/viewthread.php?tid=118551

) M6 O3 R# o5 S* f3 u1 z3、磁碟机   样本来源  

) A2 I# f0 k" q6 shttp://bbs.kafan.cn/viewthread.php?tid=211669
) k) e- W- |+ Z. T3 t4 I
& S- W& D  y% v7 A  T- u4、机器狗   样本来源  

http://bbs.kafan.cn/viewthread.php?tid=183346

托盘图标：
: S+ p: p2 n* ?' h2 C' ?9 R; icomodo
+ g( P: I% T- c( b4 d

9 ~( \) K3 C0 C( M9 o$ E8 Ceq


1 w3 }7 p, C" m8 Lps

) i' d9 D5 n+ s$ W! K
ssm

3 l- _$ a) f9 |( L
软件界面：　
comodo
& k4 e/ C/ ], W. a9 N) g
2 c$ V  L" o% R" Z5 w; X. M& E% E# w
8 }+ \9 j! T$ t' x  D( l
' x& [4 U4 k. _8 b6 Qeq
4 {1 C2 V8 b4 a/ W, |5 f
$ E$ a( r& `+ N. q( b) D( r

ps


! a- ]* A7 K: [3 K8 t& p6 U7 b
ssm

3 F5 f, r& {' J3 }+ s
& i$ e2 v" N# {3 M4 I* x) e) E
& @) w; R0 Z$ R: g- f
资源占用
2 }' u* |$ i3 e9 G: P7 t
) z& N/ @% y$ t' H; s：各人系统环境各有不同，仅供参考，如有雷同，纯属巧合
) h. S. f, |( M* F

' A" S  C5 s) r3 C; F
comodo


eq

+ v2 D5 B: `& j/ P# h5 i6 h
9 k$ r# ^* a# R8 }% Q
  ?4 B% c+ P1 [8 ]$ }4 r. t+ o$ `ps

7 Q1 x6 o2 n- }9 t) g5 T8 _$ q' J( g

ssm

( F8 o2 J8 h) I4 k+ W8 k$ @
( m! G& Q3 ]! B1 g% L' Z8 p! z

阶段总结：

现有的一般配置运行HIPS软件已经绰绰有余，其系统资源占用相对于杀毒软件和防火墙来说绝对是轻量级的

3 k" }; a3 M: q

& T7 t: y- l- Q3 H[ 本帖最后由 竹木刀 于 2008-3-14 17:04 编辑 ]

竹木刀

进程保护：使用工具Advanced Process Termination v2.1
" i) z( N  f9 O! d& K7 t
. ~* b4 y9 z0 H, Ncomodo
% l- {  I( P, d! {- F5 J' b, f8 ~
( e1 A& R4 ^5 [5 k: f
' {5 t0 I, {' {* z3 C" dComodo 在图形界面cfp.exe关闭之后、启动之前，默认的规则处理逻辑是允许。

选上 block all the unknown requests if the application is closed，可以在GUI关闭以后，启动之前，提供保护。

2 J9 R- T& o9 o# @测试病毒的时候，万一cfp崩溃了。。。，所以要选上。

9 W2 `, u  S, C/ c在安装了新的自启动程序以后，需要暂时去掉，等学习规则以后，再选上。

Comodo 完全可以无进程内核保护，两个方法：

1. block all the unknown requests if the application is closed 或者

2. 使用我的All Applications Limited 作为所有程序规则 All Applications *

因为，在GUI关闭以后，All Applications 里的Ask规则会被忽略，直接允许。这种处理方式是为了照顾用户体验。
4 [' f7 n/ R" e
# r! Y/ k+ k) c0 Q0 I  I这两种方法，可以同时使用。
- _  p6 o( F" T: \$ h
ps


! O4 L5 i2 H5 B, N3 U0 r0 D0 W
进程被结束后，防护依然有效（基于内核保护的缘故）

& z! k3 ?/ D  U3 u* N% X* {1 c0 Yssm
* t9 D2 E0 p  F

有点出乎意料啊
% S0 ?8 o+ p# e: M8 M


eq

, Y' H: f4 {. d1 E7 d; }1 n) P  s
/ J4 S, M+ R6 X# w$ ^
哪位ＸＤ做个测试后发上来，谢谢
2 m! Q7 Z7 f& ]$ A% J/ n' ?
  u$ f; t  R: \% `; d
8 j- {6 L  Q  g; o% @
/ B; ]  C/ z4 M# p1 r9 r6 j阶段总结：现在市面上的安软自我防护一般分为（1）软件进程难以轻易被结束，如BZ和SSM，一旦被结束后，防护大多就失效了。（2）软件进程易被终止，但因为基于内核或驱动级别防护，故无进程状态下仍可发挥作用，如PS和DW
6 t9 }  I' H* r0 ^) a# E9 c
其中第二种方案为目前大多数HIPS所采用

竹木刀

病毒测试之：
4 ^( B# J' E( m9 X# L- r; |
熊猫烧香
# w' c* F1 N3 E# ^& r4 P! fcomodo
, |1 o0 S# b4 s6 }, s  H$ V" b# n
2 O$ i% l6 z$ i. X
ps
* C8 p4 K; X# o& y
! W' x1 k6 w" \& k( x; G& b



4 u# Y. f! D% d' K

7 v$ J7 ]! f7 U
- ~% q/ }2 V# m$ Pssm

% R3 c$ I3 a" I2 q9 j, Q+ o

" T+ n& q9 u9 E4 g4 S9 F- x
eq
$ F5 E# B- Q& b& e0 W/ N  N
4 \$ l+ P0 f+ i8 M# J- T4 Z' L


8 D3 b. b( ]/ d: H7 c

小结：
四款软件均轻松阻止了熊猫，没有任何尸体和进程生成

9 b, S* m6 H6 G! x% p& w

3 _+ d' t' @/ D3 o
8 ]0 x+ e  G# X小浩病毒
; `0 v% X: }. ]! F) W
comodo
1 }3 D9 f$ k! c2 j: S

+ o, ?# w( S0 }7 R% u. j: h& q, I
: g! B, z2 a0 _
6 y) k9 ~) I2 b) ^

' M/ |# A6 p- N# F! y
5 ^8 b6 u8 a6 h4 v% s# _
4 F7 t2 T; K9 ]0 i
& F$ H4 p3 a! F% Q
! L' n0 D) q. Y; W0 dps

4 d& z  F/ F/ P4 @# P3 ]& k' |


5 G9 L# r9 Q; V: `' M

6 R; E) C7 a2 G3 T4 l% Y. B

  m8 N, C6 S9 Q( y
% E1 j7 Q" R2 g6 C/ t4 G! \


! j4 E9 z$ i  D) i, p- I0 y
  z, f" i& ^* e


0 C- O1 P8 k% z# ^, \8 R4 |

8 p- W2 ^! x" }7 B2 H/ essm

+ u& n$ P  {$ {2 O6 |
0 c2 n) x% g$ N* H# g5 v: G: G2 _eq
+ t! M" c0 O- z! u, R
2 V$ i+ l2 x6 U2 S
, F9 ^6 H: V% `& G; r, b( t
2 f4 N/ k3 p/ w3 e
7 w" Q4 z( H8 B" d
9 O4 ~  ]0 w1 I  u4 Z, Z


" {, g2 p- p- n0 H


3 L; l4 p6 s0 c5 E: ~小结：不用多说什么了，comodo、eq和ps均经受住考验，只在运行后生成一个无用的xiaohao.exe进程。

+ k' @, [" y9 E% t5 E6 q

% T% |" |" W3 I9 V反观ssm只是在xiaohao调用ie时弹出询问窗口，其余动作一概没有防住。壮烈牺牲

! B* x4 ], ?4 q, v5 C& k

竹木刀

机器狗:
. M* k8 p" W' Z2 A6 m% T/ L, @( Ecomodo


9 N0 ^. k& F5 q9 h+ ]/ l
* B8 _  r4 w( g. v6 w


; s5 c+ U, T7 k1 M
! J7 z# y& i; T3 S8 P, b
  \. g4 o3 f) T" N8 a2 u* R% ]
" P+ q; m8 X2 Y6 I% ~: a
3 U+ ?: |' S5 ~# ]5 ]8 geq

8 M- w3 d; ^% h" n


; [0 x$ P) e5 H/ x/ W% F


* v. g" F- |0 d8 a


4 d6 |6 B# n$ A' ops
$ F# c2 j+ L, z& s& |, G$ G

, }4 H/ Z/ T: j; g, W3 X! E

; A7 r' J3 u. q+ B" X/ K! I0 Q
. ]* x$ U4 K8 R% _+ D

# o# m  K: ^/ l$ X6 g! W

- H0 B0 V, A# H( y7 m: g小结:comodo、eq和ps完胜，而ssm我就不再测试了，大家应该都猜得到结果


  m6 t  N6 v. _* T$ C
磁碟机
9 _0 T- i2 l! i0 x9 s
0 r0 i$ f, a% [comodo

, A; I) j. ]) q" G
1 ~4 ]+ o9 X  P
- P# O" W7 {4 v. L# E! l


5 D5 V( P. a) Z; H# |
7 W9 u/ \- z) S; |

# W2 U8 Q; w* {% v

0 l; A6 H+ F, H9 p( Aeq
( `1 Y9 K# M' F3 n
  [2 C! Y; M2 N9 v* U

4 L7 \# a0 E$ z$ ]/ T& B/ e( N

% S* L0 x: u5 x9 @# T


5 q3 I+ ~1 e! i* G( H: l0 m9 V6 S1 q
- w; Z2 Q% `6 c9 |/ f

说明：这是火鸟大大为了测mamutu而一路允许下去的，只要当中block一下就......


& f: U9 I- G9 @2 u! i8 T
ps
" w+ N2 j* E! h; n' c/ c
3 z$ O: l0 Y+ q+ V

5 S9 J9 l% b( \" t9 f1 u一击致命！！！
3 |; ~. J9 T# Y
老样子ssm还是老样子
4 R7 _( |, j9 ?7 `% E

& h. c7 g( `* _0 X& K2 W
阶段总结:

经过与四大毒王的血肉相搏，除了老牌的ssm由于缺少资金及技术支持，没有FD败下阵来，其它三款均与时俱进轻松过关

chesterzhao

麻烦请注明是转贴及出处，谢谢合作！！！

中航海

好复杂呀，要好好学