刀尖上的舞蹈---4款主流Hips实机测试

竹木刀

转自卡饭论坛，作者：chesterzhao
7 U- ?6 N/ p8 }& m- [* ^' }
参测软件：按软件英文首字母顺序排列
6 _/ M) h2 m& }3 R2 H4 y  n
( y8 }  o: h* R# k" z$ P& d% Z+ GComodo v3  3.0.18.309(简称comodo)
7 ]2 Q; t. x7 s3 C' d3 g8 T! R9 {0 R
EQSysSecure 3.41(简称eq)

ProSecurity 1.43(简称ps)                 　

4 k- a! r: a0 JSystem Safety Monitor 2.4.2.620(以下简称ssm)
& `: S) \  v7 T# U5 ^
由于不可抗力因素，eq并没有实机安装测试，而是参考了各种权威测试帖，敬请谅解

! N5 @0 D' D) K8 i( v' A
. B4 ]9 g. p& O- G
OS：xp sp2 msdn原版
3 j; f9 H& s2 s6 o3 G
3 Q  m2 }( o& z( p内存：1G*2

测试目标：当前4款主流hips不完全横向比较（托盘图标、软件界面、资源占用、自我保护测试、病毒防御...）

5 K1 x( w) Z6 r+ a% Q样本下载地址：
1、熊猫烧香 样本来源  
$ G) M1 U4 Q+ a2 [$ M- b" \
http://bbs.kafan.cn/viewthread.php?tid=106100

" B. U& }9 ]6 v( o# {" ]2、小浩病毒 样本来源  

0 H( s" M) ^! X8 _http://bbs.kafan.cn/viewthread.php?tid=118551
2 G0 Z" C* j' I; X7 ~
6 U' k& S! }1 k4 R5 @6 r6 S$ Q3、磁碟机   样本来源  

http://bbs.kafan.cn/viewthread.php?tid=211669
% }& ?9 M$ w+ a
4、机器狗   样本来源  
- k  ^: C/ P: \9 T5 m4 Q0 \
" |7 N9 ~+ v1 b8 M$ ghttp://bbs.kafan.cn/viewthread.php?tid=183346
9 J3 c9 R; f8 ^! }# P/ l: t
托盘图标：
7 J, Z0 w' u* j5 _& acomodo
# Y( l" }, f2 x3 y% O
2 U# N4 `+ q# _* i* T
: f# b0 G, g' ?, V7 a1 qeq


% t3 m# S3 z7 Ops
0 i/ E- n6 X# S
* s% x4 a. i' Z. F6 B, R
% g. M; o7 i* [4 }& assm
6 ^$ ~: @9 L+ b$ m8 q) w

软件界面：　
comodo
* K' x8 R% K4 H& ]# D
9 j5 V$ ?6 K7 P# S

eq

5 z9 x2 |8 X' i

ps
; K( T; _  L: h3 w& B0 U/ y: ^


ssm
* g+ d" L8 }1 o; c' b

' T: G$ i2 X# X7 C; h4 J

资源占用

：各人系统环境各有不同，仅供参考，如有雷同，纯属巧合

/ \- U8 l2 a' }: W. O

" o, |4 Y% y0 e! y" Acomodo
1 v0 z8 I$ E! d0 `6 r" t
9 t* n5 g2 M' [
& `6 |" P7 g& i3 c, T6 \) r' Beq


) t% ?' h- z/ b: h
3 B  m+ R' d5 dps
) I" x6 {: _9 Y6 B/ b


$ |/ U* P& e8 d; m- C# ^ssm
8 w6 x  H8 e( O* r

, `3 d+ w0 L, @, q. F/ [5 C

阶段总结：

现有的一般配置运行HIPS软件已经绰绰有余，其系统资源占用相对于杀毒软件和防火墙来说绝对是轻量级的
" |4 Q1 t2 K: R5 n# i0 g! z

2 v1 M4 f) v! }$ b. y/ r
! a1 F: Z. _' `# g# \) G[ 本帖最后由 竹木刀 于 2008-3-14 17:04 编辑 ]

竹木刀

进程保护：使用工具Advanced Process Termination v2.1

comodo
% \, U2 `& J: a- i0 z6 b

! H; R) z! m9 S1 n2 X+ MComodo 在图形界面cfp.exe关闭之后、启动之前，默认的规则处理逻辑是允许。
3 [5 d( }8 l% _) a
选上 block all the unknown requests if the application is closed，可以在GUI关闭以后，启动之前，提供保护。
: Y" x$ C7 @. U# N
测试病毒的时候，万一cfp崩溃了。。。，所以要选上。

# {$ ]6 v: p. F9 W在安装了新的自启动程序以后，需要暂时去掉，等学习规则以后，再选上。

Comodo 完全可以无进程内核保护，两个方法：

1 p( F: a7 [3 O& `* _+ L2 A! \. s1. block all the unknown requests if the application is closed 或者

2. 使用我的All Applications Limited 作为所有程序规则 All Applications *

" r: n  Z# X& t& N& W& D因为，在GUI关闭以后，All Applications 里的Ask规则会被忽略，直接允许。这种处理方式是为了照顾用户体验。
9 R9 C* ~# C+ d1 k: v
6 ?. e. [; k0 q' `3 `: D+ ~这两种方法，可以同时使用。

: H: ^- Z$ j, R. Aps


/ g& x5 g3 e6 s  ?; M
进程被结束后，防护依然有效（基于内核保护的缘故）
8 X& z6 n. h, X& D6 g
* K* r! L' A8 [4 {) Q) gssm

9 K! e2 E: {  r
有点出乎意料啊
" I& e& z$ \! [: j% B5 f6 j, k$ O


& r. R# g- d/ Y6 neq



哪位ＸＤ做个测试后发上来，谢谢
. E* u0 |) c9 S8 C
0 y5 \2 z* Y8 h$ h0 G
# v1 k+ b, D/ ?. g7 h
6 l! P4 F' U3 [1 ?阶段总结：现在市面上的安软自我防护一般分为（1）软件进程难以轻易被结束，如BZ和SSM，一旦被结束后，防护大多就失效了。（2）软件进程易被终止，但因为基于内核或驱动级别防护，故无进程状态下仍可发挥作用，如PS和DW
9 V% ^0 I7 p) x  X* o9 {
其中第二种方案为目前大多数HIPS所采用

竹木刀

病毒测试之：
8 m3 ~7 t. A8 z5 Z% @. x% u8 s" t
熊猫烧香
comodo
% n9 c3 j; B  a* y

* U8 o) K& {0 a) c( Gps






& I& j2 A2 `7 j" @
; f7 c, |  a% y: n, p* V) g
ssm
$ K5 i8 j. m' `5 W( _. a' Q: j( d2 s



eq



/ |. {9 G! ]7 w  h8 P& R; l9 H
+ n# |: @3 F, B) v* z. K
5 w6 Z$ B& u5 S0 c4 ?
/ X' ^5 u/ I, Y" A6 X. @& q小结：
四款软件均轻松阻止了熊猫，没有任何尸体和进程生成
9 n7 y5 |- H4 S% ?  u
/ M3 d8 d1 S( Q3 p

& @3 y, j6 e3 T! p: [' W9 t
2 c* P, i" h. F: g6 z) T小浩病毒
3 y' P3 w) Z, x) r* {
# p3 p1 B" |- w, C; Icomodo

+ Q9 P/ U* g. J( o" `
2 J" u( `3 q* ~" v" l

4 t  A* w2 z0 v, q
) N; U! W0 u. I8 Q8 o% @
$ M1 V1 R9 Z/ C& F/ Z' I


" z9 E! _/ g/ j: v8 D7 l
: o2 C# u5 p* Vps




( B0 E* A! j1 M' s9 G
9 X, t, ]. j* E
5 t  A7 L1 B0 N
9 n" i% h" y* }# }- P# h( d, ^
$ f* d' H' \2 M; {' n8 _
3 ~& d' m! s: o0 K6 @# }
+ y) `. L4 x, O" I. P2 z
/ U+ G. K/ E. ?



# F2 }$ F' u' j& y# f6 T* Y+ W
; C, |1 Z' h3 c8 ]+ J3 s

ssm
! _' D3 _( m) w% n
. `+ `* W* c# g# z. `
eq

: I) N2 E% n) R. g

0 r4 o8 Z. X/ i* F" h' ]- S, s
$ ]9 u* ?  l0 N# ?  u* |0 z


' t, V, N' c& Z. {


1 L: h% K5 w4 }2 {$ O4 A8 Z* e
小结：不用多说什么了，comodo、eq和ps均经受住考验，只在运行后生成一个无用的xiaohao.exe进程。
" U* w- U3 A5 O* T& @$ r. O5 q
  D. g) O2 c4 [# j
! v; H; z5 ]* E" F2 q. e. r9 u+ S
4 c& d3 @. g- t4 [% u5 ?3 U反观ssm只是在xiaohao调用ie时弹出询问窗口，其余动作一概没有防住。壮烈牺牲

* P, I. O; Y& V- _# u

竹木刀

机器狗:
comodo
0 p; W9 F0 B  T2 w% c
5 \0 `# P1 f7 b3 W/ Q
1 s% n8 t" a* c0 [: _


0 {& d: \. G! a# g, f! O) g
* ^% v$ @! b2 Y- }4 l



, f, m" j3 N/ seq

* o- o- l$ c' E/ U" |0 f
+ B( v9 C- D  h- {( e

1 [7 p& j+ [5 ~, J9 l5 b9 w
5 o9 F' c6 T: f; F

4 g9 K, ^4 V' C8 H. K: v
/ }( b' h. k, S$ f
# `3 ^' U' j0 A3 w; q. i1 @
ps




. l4 q' O$ K6 Y. }( ]


/ S7 g% u' L  P$ W

小结:comodo、eq和ps完胜，而ssm我就不再测试了，大家应该都猜得到结果



磁碟机

comodo
2 r9 T2 B6 s/ k4 `8 r

6 A9 {3 u% ^9 c



2 C. _, x6 `% w9 Q

7 h/ K' T) Z+ a  c. c/ W
* O/ C8 z- w2 G* C0 h" F
3 ?' G  Z, v( v5 y
! N* X" A: I! U. zeq
1 C9 c' N  |5 C$ N) w
+ {4 h! W9 _9 q# }% q
7 M( Y6 v, t+ q, I$ K5 U  d





; e  s" N0 U9 z0 o9 u7 l% [5 k
1 C+ Q. n3 X) @! s1 F* g/ f3 J" j
- x( d; L7 D0 n: d. z: W
说明：这是火鸟大大为了测mamutu而一路允许下去的，只要当中block一下就......


/ X5 p! J1 o: j
6 l* y2 \7 M, `. e, G+ u; `& Vps


' U2 b( h  [, y- c
' e% J& ]. G) e% Q% K4 U& j一击致命！！！
  u1 b3 {2 `; ^2 P2 ^
老样子ssm还是老样子



阶段总结:

经过与四大毒王的血肉相搏，除了老牌的ssm由于缺少资金及技术支持，没有FD败下阵来，其它三款均与时俱进轻松过关

chesterzhao

麻烦请注明是转贴及出处，谢谢合作！！！

中航海

好复杂呀，要好好学