刀尖上的舞蹈---4款主流Hips实机测试

竹木刀

转自卡饭论坛，作者：chesterzhao
0 v7 r" h8 e$ D8 d# z- x, @
参测软件：按软件英文首字母顺序排列
& H) f/ A8 L+ c# [1 [: z! K
Comodo v3  3.0.18.309(简称comodo)

EQSysSecure 3.41(简称eq)

' w" j, ]) A; l1 k" BProSecurity 1.43(简称ps)                 　
  M  a' [" ]: h: h/ ]6 E
System Safety Monitor 2.4.2.620(以下简称ssm)
% x8 M- \9 k3 Z" e: E* d) J
由于不可抗力因素，eq并没有实机安装测试，而是参考了各种权威测试帖，敬请谅解

1 M% O4 @% K+ e
) {0 }/ q# |+ c, p* Q
OS：xp sp2 msdn原版
: o. _0 `3 D  T8 J, h
  H; L$ Y; J% Y! l0 M& @内存：1G*2

测试目标：当前4款主流hips不完全横向比较（托盘图标、软件界面、资源占用、自我保护测试、病毒防御...）

样本下载地址：
: K' K- J0 M) e* C8 I. ^9 i1、熊猫烧香 样本来源  

http://bbs.kafan.cn/viewthread.php?tid=106100
! T; ]  i5 l+ c3 v/ s4 E) |: Y
5 H& a  M$ i0 t' |7 Q" H! ]2、小浩病毒 样本来源  

http://bbs.kafan.cn/viewthread.php?tid=118551

7 b- n% A- `1 v+ e2 Z* v3、磁碟机   样本来源  

1 u  D4 A$ X$ K/ E5 x: x# c: xhttp://bbs.kafan.cn/viewthread.php?tid=211669
& |( K! Q6 v: @+ z1 I/ o
4、机器狗   样本来源  
5 Q5 V0 V/ _3 E, y1 N& S: u
; E8 I" N3 K- H& R2 n' v  J( }9 ]http://bbs.kafan.cn/viewthread.php?tid=183346
' P7 A0 d$ A# v0 C
托盘图标：
) g' @' ^7 x1 T; gcomodo

( P! w* m% h* h- o2 g6 z5 E
eq


7 q$ v& H! \7 q% w6 lps


1 j3 Y# p' H6 _: X5 f% Ussm


) d3 G4 v6 S% P9 ?5 h( O软件界面：　
7 g! ?( }/ p4 Tcomodo


5 o- }/ O0 D  z. o6 k- y
# |9 c& S# p" c0 Peq

0 D$ e1 c* O0 X/ k0 d2 b& I0 S
# m7 y9 }# j$ {% R  D
# Q5 M1 h/ F# [ps



ssm

, w  _: J1 f  W' }


资源占用
/ T" U* Q/ V( U; `; U
：各人系统环境各有不同，仅供参考，如有雷同，纯属巧合


7 p0 \2 U, z4 w6 C
comodo
( E; `9 L: d# |7 ]# o+ K

& C8 q1 A; h6 l+ B! L% f) ?eq
4 Z! L' U- v. V5 R8 I! c; c+ @
" D, |/ Z* q( n& \7 L$ A" {& k8 k- \

ps
1 V5 [, y: B' u9 c
# C; G; j8 r) t+ l' v

& M# L  E- T4 B; h2 F$ l5 ~ssm

* y7 F7 p' s7 A( u1 d


阶段总结：
$ D' j. n/ x5 g1 |
现有的一般配置运行HIPS软件已经绰绰有余，其系统资源占用相对于杀毒软件和防火墙来说绝对是轻量级的

* }" c; U/ q7 |" f6 j

[ 本帖最后由 竹木刀 于 2008-3-14 17:04 编辑 ]

竹木刀

进程保护：使用工具Advanced Process Termination v2.1

; ~' B( |- _* g5 N# U7 {comodo
  |7 {* h& D# p0 ~

; U# k9 |$ w# r, hComodo 在图形界面cfp.exe关闭之后、启动之前，默认的规则处理逻辑是允许。
# w+ B* L$ S/ {2 I; c3 p* p5 H
选上 block all the unknown requests if the application is closed，可以在GUI关闭以后，启动之前，提供保护。

测试病毒的时候，万一cfp崩溃了。。。，所以要选上。

  K9 y( h2 G$ K, P7 i) w1 _. p" c- e在安装了新的自启动程序以后，需要暂时去掉，等学习规则以后，再选上。

Comodo 完全可以无进程内核保护，两个方法：

6 R; N3 p$ _! ~/ ?: L: K! k1 W1. block all the unknown requests if the application is closed 或者

2. 使用我的All Applications Limited 作为所有程序规则 All Applications *

因为，在GUI关闭以后，All Applications 里的Ask规则会被忽略，直接允许。这种处理方式是为了照顾用户体验。

这两种方法，可以同时使用。

- |" E! `1 T% ^ps
& c6 C* D; k8 W( p5 c
3 N3 [7 I0 x* m6 c  C6 Z- Q: @, I

) R6 c5 m  {0 U6 [. Z' G进程被结束后，防护依然有效（基于内核保护的缘故）
; y2 [6 F( o# _" c
ssm

1 Q' l2 ^* H# d2 s+ m3 z! x
1 c" n! b" j4 n! Y: w6 i; R7 @有点出乎意料啊



eq
7 d7 j% k; B: ^$ ]
( U, k# W& }$ C' F$ z' M/ }5 H
+ [  C. t4 N5 A- B5 H- ]9 }
8 G  ?8 }$ c! p& w" F哪位ＸＤ做个测试后发上来，谢谢



* a8 }" M5 V& i% W8 N: T/ S/ \/ K阶段总结：现在市面上的安软自我防护一般分为（1）软件进程难以轻易被结束，如BZ和SSM，一旦被结束后，防护大多就失效了。（2）软件进程易被终止，但因为基于内核或驱动级别防护，故无进程状态下仍可发挥作用，如PS和DW

2 n8 y7 p/ v6 i8 S, P" x' V* v+ x其中第二种方案为目前大多数HIPS所采用

竹木刀

病毒测试之：

+ z& \0 l. ?% t6 h. F4 n熊猫烧香
2 u) g+ T- `3 J" U/ N* c/ E) W  Zcomodo
! h0 ~- o5 b% S. u, }+ y, Z

ps

" S3 f5 O* T( h6 f. H* y$ l


) h! b0 o, l/ e& e/ w0 Z

  w' f2 ]- l+ s; C
7 ^# r6 ^! V$ |( a
ssm
6 e9 P- Q  E& O* H


0 S+ {' e7 ]4 Q! _! i8 a  X: l
eq

# ~, r- F3 {: @1 b- }; {5 W9 [
3 ?# b" s& I  J% i
6 q. Y) r/ [6 z


小结：
( N7 y0 a7 W8 u' C6 Y7 ?四款软件均轻松阻止了熊猫，没有任何尸体和进程生成
$ d' W! I- u0 I( W. z

# e( w4 j6 P2 R7 q6 O- I
2 F2 _5 d; d$ v5 ]
小浩病毒
5 d' o( ?* @8 n) C1 {$ N
comodo


3 O3 t; z  D; m9 `' L& R9 {
0 K9 T" O! F; e& J6 W



. k9 N4 \$ R# p1 W& b) s! C3 f

8 }1 \2 N& S0 c% d; }2 A. x
. |- y1 K. Q* }! C9 Qps

6 T3 E; A. L0 c$ W( R& \
3 L' W/ D! e+ h' }& R5 m




. e- J, [/ u" y) T7 k3 J- r
8 U% @; }1 }4 K0 q/ W: ]" D



$ X  P( z7 g  T' ?6 \



, k) ~  A; y" t+ }( w1 E
' j% _2 X/ w- v( E% \* v. R1 m: ~
ssm

: V7 E" c$ d* c
6 t: u: ~8 y- e* u; M7 u; [; weq
' `' [8 x) B. X
8 S4 p/ R0 Y6 Z* Y( }
+ y2 m) k  V% q% m7 q/ ^6 P2 j
) {; e. ~5 u9 y- O" ?0 @* P/ N



/ |  z7 j4 |5 r2 n1 t
7 o" ]+ L. a1 Z, p6 \9 o7 Q& y( ~9 y

  o, k2 k% f# W3 o7 |$ K0 {9 U
8 S3 D" e& Z# h0 E- y9 s7 L小结：不用多说什么了，comodo、eq和ps均经受住考验，只在运行后生成一个无用的xiaohao.exe进程。

9 y' |& U  u/ w2 @6 H/ @

& @' Y4 S; X: c9 n0 s0 I, g  f反观ssm只是在xiaohao调用ie时弹出询问窗口，其余动作一概没有防住。壮烈牺牲
. {" o  N/ o$ A  C# |9 x9 {* Q

竹木刀

机器狗:
0 F9 I8 {- A. d0 k* j1 scomodo
( f! s. R, a4 O8 x$ S" z/ ]' t
* x  f8 C! L% D! {3 I% ?/ T; ^6 t

2 t. Q$ g, m3 h2 z2 h; e% F
! _1 W8 A* M6 n$ p% A. x
% |" G6 l& G, A6 Q, t1 i8 \

0 y( W* k1 j) r9 T4 l, p0 h9 O: m

2 x4 V+ u* p4 p" k, x1 |" H3 W; Y4 d
eq

3 M4 T. @# o! M: i/ @
  T& N  b2 V; v. T# N. @

" ], u/ U& a& Y4 {0 t( z  g
4 L3 f- d6 Q: P3 K- D



" s3 {0 d4 n* E$ \9 ~
ps
' l6 {& f' C; S6 [# @+ S4 I

8 n$ G/ j) Q9 C4 j) U% b

* B( `" x0 c  M( O0 U2 a* H

4 r/ V, q1 T& H! P9 L' h

6 c4 L7 ~" d5 y
小结:comodo、eq和ps完胜，而ssm我就不再测试了，大家应该都猜得到结果
4 U6 A+ N" t& i; \4 K
! D0 C, t6 i$ t% }  p) X
0 @/ X$ Y! A' A3 k: ]" }
磁碟机
3 g$ g5 l( }% F, L- X8 r" O
comodo
, v: {- o+ r  Q, r0 z8 X
* R8 Q$ y/ A! ]; g
" z  ?; f/ t0 a) ]2 b7 Y



9 l6 g; e: ~: f4 s: }

; `6 B$ V; \% J# v
8 A, ?2 w) y- P/ N& i

5 T# P# v$ q% {; W) i' t0 v6 D1 geq


2 l  {( y4 s% u2 X* i

3 ~. K& z  @# c0 d0 Y% J
8 @2 y2 B, m7 @8 B- D5 @

! V6 J- A0 f5 `6 J9 q  K


0 d9 y$ D; p* Q5 g
6 L1 \1 F3 M. x! G: C  I& J* F; m说明：这是火鸟大大为了测mamutu而一路允许下去的，只要当中block一下就......



ps
- _7 Z; P& ?& t4 ^
  h. n' [/ d0 S2 T
. T6 H3 D& Z" n7 }
- ~6 ~  ~0 q3 R' A& [' ]一击致命！！！

, j; l9 f4 h5 |. t& p老样子ssm还是老样子

9 b4 l6 a" N& H/ Y
% A* b# r  l0 g
阶段总结:
3 [! V; [1 r* h2 c. H
. V& ^) j2 }. O! p经过与四大毒王的血肉相搏，除了老牌的ssm由于缺少资金及技术支持，没有FD败下阵来，其它三款均与时俱进轻松过关

chesterzhao

麻烦请注明是转贴及出处，谢谢合作！！！

中航海

好复杂呀，要好好学