下沙论坛

 找回密码
 注册论坛(EC通行证)

QQ登录

QQ登录

下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
查看: 7639|回复: 5
打印 上一主题 下一主题

刀尖上的舞蹈---4款主流Hips实机测试

[复制链接]

该用户从未签到

跳转到指定楼层
1
发表于 2008-3-14 10:37:06 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
转自卡饭论坛,作者:chesterzhao
( e) y0 W3 d$ q! y$ X  r
) |3 _! }5 h& e: w  ^7 \6 l参测软件:按软件英文首字母顺序排列+ P: Z# i& \$ B4 X
! B( T  |" {. a1 M8 Y
Comodo v3  3.0.18.309(简称comodo)
' U! u9 e+ s: Z! @9 R# `& P0 u. w8 y# W! }, L& p0 t
EQSysSecure 3.41(简称eq)+ h4 H4 c' R- X- ~) R$ N/ ~
; c& y# ^5 X" u3 Z3 g/ c! x$ N
ProSecurity 1.43(简称ps)                  
# u. k5 j0 ~5 p, k+ \( J( w# D4 Z- F) f; Y# s. }6 L4 Y  H& [
System Safety Monitor 2.4.2.620(以下简称ssm)# h3 ~  O9 n" c# Z
# ?7 @& ^9 o  ~/ X1 q, u& M
由于不可抗力因素,eq并没有实机安装测试,而是参考了各种权威测试帖,敬请谅解) I5 {- }$ ], P
/ f2 @# O5 m: I! Q9 y. n) X

# P& _% x. W# A' l4 ~6 X1 V( n0 O+ r0 x2 b% \# u
OS:xp sp2 msdn原版4 Y2 t& y# C, w8 J1 K
$ z* D' ~* H4 d& Q8 M2 n
内存:1G*2
7 {& m5 J, H9 ~" C) |0 i* H- o1 A* ^/ {3 ~9 @4 c; l, {
测试目标:当前4款主流hips不完全横向比较(托盘图标、软件界面、资源占用、自我保护测试、病毒防御...)( j$ c7 l) X, }# C4 R+ W
" |8 n  y  j, B! |: r  D# Y
样本下载地址
6 U! l9 l; l( n/ k' b2 O9 v1、熊猫烧香 样本来源    _, h- N1 [0 `$ o  m- H
% x9 a% Z& `4 }% a) J+ u. B2 C5 i
http://bbs.kafan.cn/viewthread.php?tid=106100$ T+ B+ ^; V$ H4 |$ t0 |

3 k5 X1 t1 Y4 f3 l3 F  w3 G2、小浩病毒 样本来源  
& i6 ]" S8 K6 }4 t2 H/ X4 Y4 q7 y- }, M8 `
http://bbs.kafan.cn/viewthread.php?tid=118551
  g$ V3 D$ I2 g3 Y8 _3 W: J% L3 w5 r' y$ C9 l! s
3、磁碟机   样本来源  
! Q9 s4 [! E! C& @# I9 a/ z# W- ~) K, A' i0 O
http://bbs.kafan.cn/viewthread.php?tid=211669
7 t# ~6 z$ f/ n' ~) ~' k1 S7 G4 G1 ?7 [# F3 t- o  |' b
4、机器狗   样本来源  * C& s6 H1 b- e6 M0 X1 `1 |
0 F3 H/ U( A) ~! p6 m8 H/ w
http://bbs.kafan.cn/viewthread.php?tid=183346% L" D5 Y# e7 L, i) C( [9 H

, {3 H0 x- X3 u9 y' [7 y- [托盘图标
& ]0 w  k: `3 T! t" n& x. Z3 gcomodo
" m( h9 E6 Q9 C, @8 |
+ G8 g) L% i! j0 c! i1 H
8 r3 m3 L) W& ^, O9 Heq: J( u0 V" ^+ A/ T6 C4 E, k

) Z$ S9 g7 v/ M# w7 O  ~$ s6 W/ |3 @4 R  V* Z- V2 O' `# z
ps0 R; J% W. f' l' j
2 q$ }$ O; \1 H4 q

2 }# `) V9 ~) n) B+ H- gssm
6 x( ]3 ]( E+ C/ d( v3 k' q/ D4 J9 [+ _  g
4 t3 s5 G& z( X, Q3 J- H0 h. m) V
软件界面: 4 I' M5 \% K$ ?; H( y
comodo* ~+ A+ M( u5 v, y; j

/ K: B4 _% t2 X' k5 z0 h1 \8 W- B4 j" H1 R5 V) X4 i

) y2 v$ j: {( keq6 o' o8 q* U( A$ g# W

; ~. @! W5 J- [! [4 }! n" Q7 z
+ c  _3 `' F2 g: K) j7 g* _- U6 B2 t/ i7 ^7 J/ ]
ps/ _$ B( O8 [) I/ ^% w: Q- x
1 ~: G# J# z) Y3 w3 v, j- c
. T, z+ B3 z/ Y5 _) A6 G

; j  l* k5 l' f/ Bssm  Y0 R- C3 F! ?1 |6 V* ]- C! F" a7 B
2 K# g: r  n3 ~! o" J/ Z' k9 w2 O
- U8 T9 [& R+ [' f4 ~

. C; I5 p2 [9 b9 v
( ~$ q* q$ t1 b" j3 w# h- N3 R" i资源占用4 Y7 D( N5 v" q' ~+ S( |' ?
( |, u3 A6 _0 J4 Q. w4 C/ V
:各人系统环境各有不同,仅供参考,如有雷同,纯属巧合
/ k! H* x6 Y9 d  M
  ]+ d8 R6 r  @/ S
4 b, x. d; ]9 d8 L6 h) l
$ b# c3 l$ Z; zcomodo' e# l8 x, M' C8 s$ L8 ]
# J7 v1 n4 e8 O# V& r

; x: }5 e% f, ^! F/ w. O3 Feq
: p3 I; H* d2 c% |
0 n- d7 h+ g2 b- i; J4 a# @
3 ~* W- U8 D7 @9 K) [- \. F5 G: C+ O5 ?6 ?6 F* z; r- N0 @5 R
ps% [* u' s' [% c& y
8 B0 C+ a; M& ?# O7 k# `- i

! o2 U6 [# B. Z7 Z9 G9 M3 g; n* g4 A
ssm
3 Z6 E% `# F" P, t/ z$ K4 y# N. \) }- Z+ |9 @# ]& _
" W' D  H( ^" }$ o1 Z# J. ]

& p0 N& B: D7 _) h) P  \. J4 M
- ?4 G: t, Q. {+ z4 f阶段总结
5 v2 e5 R+ Y. ]4 G/ [! C* Z  b
/ Y; W0 b9 }# K* W) n现有的一般配置运行HIPS软件已经绰绰有余,其系统资源占用相对于杀毒软件和防火墙来说绝对是轻量级的  g1 f- _- [7 Y. ]  ]! H

8 }0 c7 Y  V0 m4 J9 w. g  c; N- Z* g1 N. [( ]# _+ ^$ z, Y

0 |  Z" F' @; N1 q; q9 @/ b[ 本帖最后由 竹木刀 于 2008-3-14 17:04 编辑 ]
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏 分享分享 顶 踩

该用户从未签到

2
 楼主| 发表于 2008-3-14 10:37:24 | 只看该作者
进程保护:使用工具Advanced Process Termination v2.1
) n+ N3 D7 \! o' @) A8 p' J4 T0 j. \5 O8 Z1 K" K7 l8 K
comodo+ o8 |1 O- m7 b9 B' j6 I/ Z; k
" w3 F% `# @+ Z. Q, i

- w" I1 u: |: AComodo 在图形界面cfp.exe关闭之后、启动之前,默认的规则处理逻辑是允许。+ R& B' |0 K2 w& Q3 w# A$ N

. g& |, x+ ^/ @8 n& \* B1 D选上 block all the unknown requests if the application is closed,可以在GUI关闭以后,启动之前,提供保护。8 s- ?7 S& H9 {
( g& {: H# R: a8 a. h! C6 ^. A$ W" E
测试病毒的时候,万一cfp崩溃了。。。,所以要选上。0 E3 J3 A0 F1 w) |) @) Q
% K' `  \/ c( U" k' T6 w
在安装了新的自启动程序以后,需要暂时去掉,等学习规则以后,再选上。' Y' s/ a- k8 {, y# u$ V. p/ L+ @

& c4 ~& f/ X7 sComodo 完全可以无进程内核保护,两个方法:0 D9 w2 `5 {" X! j8 d4 g

9 M5 Y+ f7 L# ^8 {1. block all the unknown requests if the application is closed 或者
: V& D9 M+ `' }6 {4 l% U% C6 d9 v: P  f, ]( |% `
2. 使用我的All Applications Limited 作为所有程序规则 All Applications *
+ g5 K2 x; ]3 }; Z; c0 A" R) d4 o' d  e/ }; S5 o
因为,在GUI关闭以后,All Applications 里的Ask规则会被忽略,直接允许。这种处理方式是为了照顾用户体验。
/ H0 c/ U. M( ]) t) M6 P% M
% ]- s6 v2 A% C4 n. Z2 r$ w& Q+ K这两种方法,可以同时使用。
( y# K/ ]! }, r/ F) R& o: Y6 h
9 ~: A7 k8 \( Q" Z7 aps
; V# t- M. _% p  M) r1 g- |& K  b0 n2 {. d3 x0 u  ^

. \/ ]2 _7 Q: [3 x9 v
4 Q+ h& r! M' ~) [进程被结束后,防护依然有效(基于内核保护的缘故
* X9 y6 D  l" ^3 s
  a* h7 l  G2 i1 ossm
! @1 r. H; q+ q& \7 ~$ @  I5 H2 {( b! m( U, l7 f% t

" L  n( U) W2 J; x2 @有点出乎意料啊
; U! r& P4 }( g# [6 b! t9 T5 W
2 r' |% r0 U/ E+ s$ j/ @: T; Y/ I+ B* Z1 b& L

" a4 v& q& P3 k! E- Yeq
: Z* i6 Q: x* @0 Z: D
% F7 x4 n; Z6 y! j+ A( R9 I5 P( b4 x( l- w5 H) n
/ B- z8 |6 D8 }0 T2 k2 Q( |
哪位XD做个测试后发上来,谢谢% Y9 w0 t4 s! E6 w. C
( Z" C0 w% f, d  w* Y0 |7 y$ {/ z& ~

! K6 [$ H6 E3 u. C' N
8 [7 j) r5 r2 x3 y9 b阶段总结:现在市面上的安软自我防护一般分为(1)软件进程难以轻易被结束,如BZ和SSM,一旦被结束后,防护大多就失效了。(2)软件进程易被终止,但因为基于内核或驱动级别防护,故无进程状态下仍可发挥作用,如PS和DW' p# i4 J; o! D0 c

& z, ^* A6 P, v, K# v: {' H6 W2 K其中第二种方案为目前大多数HIPS所采用
回复 支持 反对

使用道具 举报

该用户从未签到

3
 楼主| 发表于 2008-3-14 10:37:55 | 只看该作者
病毒测试之8 o& |1 u2 s/ A" Q3 R$ t) {

) `/ U, Q4 M8 H( Z! ]. U" R熊猫烧香
0 Q, U' ^/ J: k! y
comodo
  j( z; ]7 F! P6 Q: ]. I5 u
" e) n& K3 ~6 J; q# h. i1 p  H0 G% v
8 u7 f( b& I# P/ ]& N0 Yps+ t1 Y7 s, }9 \1 z
% j# ^* R6 E. M( p) R+ I* C
7 s% j3 [; }+ o( f& z( d
% l' X$ E, H4 I8 j

: ]6 e- i/ G" D0 L- ^
* x" t- J2 G+ l1 R7 d
: {, w- j; v* P3 c* {. F: S* z3 a. T% _

* E& S( L! U. p: d' Mssm
/ D  ~% t8 F  H' ^
/ D6 o, K+ |/ c+ q$ R5 \: O- q
; s8 a! _! p2 n) {: ~. g. A0 G8 I, q' n3 \1 N7 H/ s

$ r& V! D& p8 |$ B+ p' Meq
2 [9 E* a5 m7 E+ E
$ X6 V* N9 k1 W: Y2 m% K$ R: x# U
$ f0 K2 e! k6 q, U6 W2 s0 N! N5 e8 @  S

. M  @7 B& N4 j
+ |! s3 g$ B. M8 T0 n0 P& ?0 l* _
8 l3 V9 a1 X/ }$ _$ {
小结6 d( K. q6 [' J
四款软件均轻松阻止了熊猫,没有任何尸体和进程生成1 f+ r6 L$ S  T" A. B; n
( V( t/ D' v3 ?/ G& w
" z4 S- I, `. ~* }( N; J

0 B# {* S: J! G8 N4 B* f. ]: b6 R1 m  }- M# E8 r
小浩病毒

" G' d9 B8 @) l/ d5 L
5 p$ V6 ]! J4 V/ dcomodo
) L) D8 g) x2 A) y) e
3 i9 U+ }( Q! x: b, Z8 w, u/ v) i% Y+ q' y& ~
' h( Q8 p, y3 C: q  x1 Y

$ w# l' |0 ]8 {: q
! Z  E+ `5 \8 W1 K) O% ^# r. Y: o+ J6 h1 M2 `
) m7 P7 ]0 T1 C9 p

! ]% Y* G& d- b0 T0 f2 m. r1 Q9 Q. A+ k7 b" P! K
7 M- e, u, {0 F" U  v
ps5 D3 g  d7 N5 P8 w( F
) j# D; c0 s  c6 i* H

8 _/ f1 X2 R) p: _* z5 x1 C' j) j" _
0 a, Z- F0 ?! M4 P* A

( v. n/ e7 [' b* O& Y; [3 x, n) ?0 y7 `- b7 n' Z; w
1 t% c! m* X  _: U; E. a
1 G5 ~0 O+ z* I; X* v

; N* M& S" W2 v6 ?% A+ h
$ S/ F1 B8 D& [( d1 [* W
( |% S: M5 t: i9 ?6 N0 ?7 v. ^3 G, U6 [: M0 {
& B6 L- T' z+ }% @" S+ f. _
/ R( M: z& T, U3 z1 h2 `

6 u# k5 ~5 T" i2 G; R4 o
9 o0 B3 _/ V8 x6 Z& F$ w6 c7 m, p" }- a4 v+ v# x

1 f  G& n  y, K6 ]- m. m8 y: _( }ssm
' J) ~+ q3 l4 `7 F, I* @- k0 c( D( p& y0 k' |0 D; v

6 Q9 X4 p1 v1 @0 G2 Geq0 Z$ c, Z+ b7 j7 \, B2 `2 _0 ?% p
+ s/ d) x. w; B4 l1 g5 `

# D9 M) G  r! u
: e  I2 d- E# [, f) [
; ?! Z* `/ B/ e) Q
, ?  N5 M8 t0 N# f8 H8 ^" B* M+ _* P7 n! t4 S, }
, @* {) M/ a# u( K& D
4 h- B* j, H7 B" }& k3 X/ T& U) s
; v& O8 J! w: q- L4 P5 T6 j! [& z* n
+ f6 g/ U+ \4 e+ \5 z

* o3 k8 {0 f; X+ N小结:不用多说什么了,comodo、eq和ps均经受住考验,只在运行后生成一个无用的xiaohao.exe进程。# d$ B& C$ @' |( l2 `- o
+ h" r3 r! L, N- g5 b; ~+ M

: q0 r  A# e$ M8 ]  [  E2 N) {1 q0 F3 Z
反观ssm只是在xiaohao调用ie时弹出询问窗口,其余动作一概没有防住。壮烈牺牲4 w) k' q0 X( f1 F! k! X

6 b( o/ S- Z9 L8 n/ R( D
回复 支持 反对

使用道具 举报

该用户从未签到

4
 楼主| 发表于 2008-3-14 10:38:22 | 只看该作者
机器狗:( ?5 ?, G4 P! [6 A
comodo  w( {  P& ?3 G! [0 B2 B( `3 y
/ u4 ^9 g: w9 I

' u% H# a3 Y3 \% X3 E
5 g1 X6 t# h+ Y6 f6 X) U# q9 G8 J$ M) ?8 f

9 f+ U: a1 [, B$ e* w
7 i- [+ V8 t/ @1 ]& v
" Q+ D9 ]2 [9 `+ a  p+ t# _# L2 U9 V

, u# m; |( r- S# R/ H: X: c
5 j8 e5 g" l! R9 Aeq3 Y; Z7 A) j3 h  {& t; }) B& t
6 E2 w& e& \5 c; y8 S3 B) u* v# q! A
4 B( E* n. n$ o2 ]& s( E7 Z
8 D8 t' c, n! a3 Z( N

5 A9 S+ s2 k8 A; G) @
" b" I' P: E3 t1 X2 H; e- c
0 _6 I, R3 F: L6 L7 `. l9 |7 Y1 c
9 k8 w5 h" w1 u, ~) F" S& M+ B, a! S- F3 ~6 V

. ~' a% O  D; U7 P% x0 d$ v6 _# C  l7 J" a& H( L7 C' T
ps* e2 V$ u6 J: s$ [% n6 R
* c# g$ `( K3 ?* t# a
0 [5 S( h' j" f1 u5 s5 x% `

; z. Q: x& _2 a' ^4 O
! f& g) {' Y7 e. o) D, X6 ^
5 v0 \" y# g3 x% G8 R5 p3 `& L: t% o$ ]

3 N3 h  C- e( D! p
$ @4 ]2 I* z, G' k1 _! M, J4 d, J' @, w- F- ?, x
小结:comodo、eq和ps完胜,而ssm我就不再测试了,大家应该都猜得到结果
+ h" @; C" W2 y, V) |( L; U* M4 Y2 e$ I7 _: a
, k( G5 c( p+ L) v6 b; g
! H6 b  ?; }3 G% H( e
磁碟机
! Q8 p5 d: v# T9 v2 q# c7 S+ U$ i. ^% K! O
comodo
' U8 o3 G6 c/ M5 @7 C  T! J# {, g% |) R; y
# |) M& X3 s, M8 C, S

4 I' e) }3 A7 }" `6 B8 ]4 i+ z. p4 c
# A4 a$ H- w, S4 V- A2 Q" h
+ \+ M6 m5 S9 J- Y' I8 P/ T+ R4 }: m) F/ L+ W  ^
: s! o: N& x. ^( L7 L
& S- f5 f- Q6 x$ n( v0 t" X6 ]1 _

5 M5 l5 O4 L5 c) d( _/ E% O+ e
* j3 A* C8 [  i5 P
eq
2 Q$ V3 Z! K+ C- z+ C" z' n* I% y* y. C* |3 ]* i9 o) x

0 ^7 K( \/ t. F- O5 y6 P3 u8 l* G1 C7 r5 {1 W& j6 M( a: q. H! F, x8 A+ {
1 b; C% ]9 C# k( v2 L

5 x7 T: K* L/ _: H3 j5 S& I1 o
) i: ^. Z$ ^" Y- E2 S1 }' r" }1 A9 u1 ^! e

+ e% x; `5 Q/ n( \. k" I" h
8 L  u" X7 t& v3 f3 f; G
- h1 l8 B) s* F; _, [5 A* y$ O- s8 ~: n0 o6 A$ e+ R2 D: d
说明:这是火鸟大大为了测mamutu而一路允许下去的,只要当中block一下就......
- C# O' f2 c4 q2 X2 z
( p0 s8 o2 c7 s; Z- \& I! {) K7 _( ~; V1 c
6 ^1 \+ t' b; R4 J, G" _4 T/ Q! @7 V
ps
. D+ l$ J% X/ m
5 p, ~- W6 ~  k
- e9 m! H5 ^2 V% e% B) q, \1 g7 O! b
% \( o3 e& j0 \! E9 c一击致命!!!
2 c5 D4 ~* c8 \: z# W) I; z  V! [! R7 \' J( g/ L
老样子ssm还是老样子9 U! M* F' d4 r$ _2 V
) O( X& j" s4 G
4 ?. u2 V; a; b' q- O
2 b! D, c9 a5 Y0 F$ O2 a# H: g* J
阶段总结:9 ?7 Z6 E- y' p8 O3 c4 D
& E  u1 O: P) s- X) U6 k/ A
经过与四大毒王的血肉相搏,除了老牌的ssm由于缺少资金及技术支持,没有FD败下阵来,其它三款均与时俱进轻松过关
回复 支持 反对

使用道具 举报

该用户从未签到

5
发表于 2008-3-14 15:50:55 | 只看该作者
麻烦请注明是转贴及出处,谢谢合作!!!
回复 支持 反对

使用道具 举报

头像被屏蔽

该用户从未签到

6
发表于 2008-3-14 16:05:27 | 只看该作者
好复杂呀,要好好学
回复 支持 反对

使用道具 举报

本版积分规则

关闭

下沙大学生网推荐上一条 /1 下一条

快速回复 返回顶部 返回列表