下沙论坛

 找回密码
 注册论坛(EC通行证)

QQ登录

QQ登录

下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
查看: 7641|回复: 5
打印 上一主题 下一主题

刀尖上的舞蹈---4款主流Hips实机测试

[复制链接]

该用户从未签到

跳转到指定楼层
1
发表于 2008-3-14 10:37:06 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
转自卡饭论坛,作者:chesterzhao , q3 C  S+ M' e
+ X; v' e. h3 r6 ?  K/ d
参测软件:按软件英文首字母顺序排列
: X* E+ a% R9 n6 c1 b6 y7 C$ C) O" |
Comodo v3  3.0.18.309(简称comodo)
' c" B$ M' q3 w1 t" O9 ~( x( }
/ {- ~, c$ |1 u2 c/ ?EQSysSecure 3.41(简称eq)
/ [0 k* @/ l" D7 u; Z; E; r8 F( F' s$ V! x
ProSecurity 1.43(简称ps)                   4 B1 J( k' [' {1 e7 `* L$ v
$ M: q! L  P0 @6 w9 P# m+ T
System Safety Monitor 2.4.2.620(以下简称ssm)
2 R4 O' D+ b2 ?7 y5 r: L; C8 I6 a& Z9 O7 Y6 L
由于不可抗力因素,eq并没有实机安装测试,而是参考了各种权威测试帖,敬请谅解
2 @6 N& a7 p" I* L# K' u9 |# C) V1 V2 B8 U  d7 Q
* O9 C$ n& d0 L3 ^$ J9 B! f
7 k3 R# f( u8 x8 g( N
OS:xp sp2 msdn原版
1 [+ S: q' ^. {# Y& \6 a' Q  w: m7 e( ?" C
内存:1G*2
9 O" O! O& g4 u& X7 w$ t3 H) }4 q) C% p: H
测试目标:当前4款主流hips不完全横向比较(托盘图标、软件界面、资源占用、自我保护测试、病毒防御...)
2 [0 r" E) G: n  x8 B7 t$ I
' M; C3 a; ]/ ^4 D  J1 J$ w: O样本下载地址
. e- H2 U1 r0 f1、熊猫烧香 样本来源  ' X- L' G) z/ M! r  h
' Q2 m% m! \% R3 k4 z: n: @
http://bbs.kafan.cn/viewthread.php?tid=106100
: A) F) {8 i4 f" E' s4 D3 V
- X( j" W, i" F' L2、小浩病毒 样本来源  0 \! `7 l& B! K: d. t0 h3 M- b  q0 p

3 F0 E! q$ v/ B, M; f) B# }/ Yhttp://bbs.kafan.cn/viewthread.php?tid=118551, k" m( Z8 t6 M% n+ \7 J8 g
! d( w# v1 [: h! p
3、磁碟机   样本来源  $ G( k! O* p  d9 h( _. a% x; W# ~

/ |5 s, D4 M2 B, Uhttp://bbs.kafan.cn/viewthread.php?tid=2116693 o2 I& P" `% c

) K. n* O/ l  t* ]- H% d2 S" w4、机器狗   样本来源  ( H+ M2 \( V: Q+ x( D) S% \

3 g* r) C- K% n: Dhttp://bbs.kafan.cn/viewthread.php?tid=183346& _7 M. o: j, J
9 W2 P, o  h) O, K
托盘图标
1 v, G- p' ]! h6 B' ocomodo# ?: s6 ?# n  s- r6 A, k, D

2 v1 a6 v/ ~0 V2 D' l6 }
! C) h: J- s  |) L( neq
3 Z5 C! s. H6 ~2 C0 l- U- z8 h+ W/ k6 b9 n# d2 \
0 }; [2 f) w& {# M% W% K
ps& O+ S& `4 j' ^2 R$ h
, }1 p2 i: l! C" x; U& i  N
, r  H* y. ?* q8 @
ssm) X4 X$ T- F8 f' `

7 B5 x& c0 V( h9 S/ ^" S' M
4 o0 j  P8 K3 ^0 c2 C" k* S软件界面: 
( @3 Z$ T2 m6 m) J/ Z* E" mcomodo
4 `) [( S. H7 B' g0 ]/ t6 g, q0 [3 m/ P# v" B% x# t8 ]
. `# |/ h2 a$ k# p0 I5 y8 v) m1 S4 |
) J6 v) \1 L3 R& p
eq
8 g7 i! {5 E, ~/ e; A& s/ A$ H2 r8 d5 h) l" E& s8 g2 g3 q. w
4 T; K+ Q, N; _/ {! x5 k5 b

  E0 A- g* Q+ c% ~) Aps( a* t; Z7 y6 o# ]: ]

$ R0 `( @0 C: a% [/ ]) c- U! ^0 W1 |1 H
# t$ j2 ~% f& j( L/ E0 b
ssm# b4 q9 m: t# i7 r  X  [
5 T% ~  v& b& D5 H& c1 ^; n: S

) T, Q; J, m: [8 S; {1 f/ r/ f; h  d3 C5 d8 ~2 Q
- n& {9 W5 H) R
资源占用' f4 |2 @- }/ p6 v

, f7 x' B5 K+ F3 M' L0 j:各人系统环境各有不同,仅供参考,如有雷同,纯属巧合
& s7 \: E' i% l0 b" P3 j) e5 d3 C# o  v( J
3 x8 j9 u# k# ^

/ V8 r5 i' L4 H& qcomodo2 h% i2 y" g. q
& f: L9 e8 x3 f3 G- I

% T$ G9 H$ X/ V8 ?+ g9 j/ u9 {) v4 Eeq; L/ r" A' p- g  x% C3 B
( B5 l) A( O" s! X

$ V+ }  J- i+ o, V0 B; [; I- N; n7 @$ U4 M
ps
* @% g* ?9 B2 u3 L$ u
& f, @1 P* b+ Z8 h- k! l0 A6 @
5 F) G8 }8 L4 P$ j( W
7 l5 I) s2 A7 y0 l7 U' ~" Cssm! B5 y; U+ F; S* R, Z

" @! `9 J) X- n8 I
! [4 j. Y! `# {: O. f
; y. e0 i$ M& l( C5 z/ j$ _8 S8 q  y- P4 g7 K4 l; G- n0 c
阶段总结
" T" e& @  L  I9 y. }- ]0 z
# M' E- @0 |9 s1 h现有的一般配置运行HIPS软件已经绰绰有余,其系统资源占用相对于杀毒软件和防火墙来说绝对是轻量级的% k% A. z4 Z! t( D

7 Y. Q4 _; h5 u4 z* e/ f9 `' N9 T6 H7 X% w7 a
' R! P. c5 a! S) ?
[ 本帖最后由 竹木刀 于 2008-3-14 17:04 编辑 ]
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏 分享分享 顶 踩

该用户从未签到

2
 楼主| 发表于 2008-3-14 10:37:24 | 只看该作者
进程保护:使用工具Advanced Process Termination v2.18 Y, e5 O1 N" u/ q: D

+ @% k9 `/ f( s  x5 m( Ccomodo
% n' H/ g: V- Q; x7 d# |7 [2 ^
' [7 y. h8 z( v7 M  p
: f: o! j, t% X8 y% Y  Q+ R4 lComodo 在图形界面cfp.exe关闭之后、启动之前,默认的规则处理逻辑是允许。, Z  ~/ ^& {) z0 W5 H- w* Q
; c& `+ M! T+ y0 f7 l$ P
选上 block all the unknown requests if the application is closed,可以在GUI关闭以后,启动之前,提供保护。
, ]& N, Z8 C/ {) Q8 q7 r1 O
' X: M3 o2 }& J9 {9 S! _3 g测试病毒的时候,万一cfp崩溃了。。。,所以要选上。( e+ q# K& q2 Z3 ]6 m8 z8 X( Q
5 }( B8 d+ n) P+ p! |6 U
在安装了新的自启动程序以后,需要暂时去掉,等学习规则以后,再选上。
2 l& S5 {. K* R* e- |( W) X1 e9 d* @# k. ~5 p% S% T4 `) j
Comodo 完全可以无进程内核保护,两个方法:. u( d, {! T$ S: R

& d% o( F$ C9 p  v! X; I* T1. block all the unknown requests if the application is closed 或者
0 S! u. d- b: Q" Z# D
$ ?, F* N9 f. g2. 使用我的All Applications Limited 作为所有程序规则 All Applications *
! U: A4 M# f! T0 [% w4 o! }0 s
' d! D( A4 g! H4 A! a/ }+ i因为,在GUI关闭以后,All Applications 里的Ask规则会被忽略,直接允许。这种处理方式是为了照顾用户体验。1 v# p1 w" r- _/ c8 U

, S& W# k6 A$ y% T0 D; O2 |这两种方法,可以同时使用。
/ l( Z$ R% k9 Q; h; w
. }* O0 ^' q: I7 t( J5 Fps
+ \" n* z6 F- u5 c0 i% j% l% `  n0 q

/ Z4 w8 Z& v5 _+ f  ^. e$ Z: T0 A1 V  ]6 g7 k8 ?% {/ v
进程被结束后,防护依然有效(基于内核保护的缘故& P- V+ ^2 \  z3 E& _! _% x

6 T' b/ C0 f5 ussm
4 |2 e9 [$ E3 _' a- A: ]' T0 H
8 U- G6 e7 B0 s$ N. u
5 |4 g  \. m/ t' X8 y5 y& X有点出乎意料啊1 x" @. l  s& B# a# `$ W
, R  U, l/ q6 v+ R7 v
$ [: o$ M3 W7 k5 w$ z

- I5 o" e4 w& P- \, Req
  e9 M8 ?. o0 n4 N/ X: k7 R/ t9 L/ D# A
( X% \9 b+ D/ A

7 j5 J  X& G: x哪位XD做个测试后发上来,谢谢
: a" \; m2 d% D+ w" @; S
7 S, |$ [, l. {' R% L, e! [9 l, n. f& B
3 b2 a8 R) v8 e) ]
: y( D6 A9 S) @+ P阶段总结:现在市面上的安软自我防护一般分为(1)软件进程难以轻易被结束,如BZ和SSM,一旦被结束后,防护大多就失效了。(2)软件进程易被终止,但因为基于内核或驱动级别防护,故无进程状态下仍可发挥作用,如PS和DW) m9 j' E6 x/ I6 b; `: Y3 l* V, e/ A

$ T& W4 B7 I& ?: |. X% A6 C其中第二种方案为目前大多数HIPS所采用
回复 支持 反对

使用道具 举报

该用户从未签到

3
 楼主| 发表于 2008-3-14 10:37:55 | 只看该作者
病毒测试之
/ t% z1 x: E! w, t9 }# S& S: N' n, k) A9 Y9 G7 r% ]
熊猫烧香

, m/ |$ t% Q" t, E. ?comodo
7 M) O# A) L" M. Y( {; l% _' u1 x& |+ x' B
4 t+ q, a8 O, m+ P8 a0 ^6 _
ps3 s7 m" w! a: B2 W5 n1 g
" y1 v! A* h. C: u

% L; {% N, o, ]9 j$ {# k- m7 j9 b. y0 Z

( @  u3 z2 V7 L- N2 V& `1 A  e4 ?) P! N

2 r; Z$ j1 ^4 c; |) `1 m* g! w) h% c* g2 s, U
5 U2 ]# I' H4 H  _2 {+ [
ssm
" r4 I! @0 b4 w$ ]5 z
: `0 W/ G0 d. l% i! \! k% q' K) g) H8 W) H! i
& `5 u8 y. c9 Y( h- Q3 H& a& N

/ Q: z! J+ K2 e7 J- seq

+ ~" T; e+ }) _3 y* Z8 q0 q7 X( d/ Q1 J% m2 Y: w

% W; x  Q( Q8 o  F8 R4 z. O8 a. \5 q  p

2 R1 c4 n  b1 N* I2 i6 n5 r/ T# t' f

  \/ u; ~/ U( f0 }( B小结
: J) Z. Q0 f+ [2 Y: e& c% M/ o' T9 o0 u+ `四款软件均轻松阻止了熊猫,没有任何尸体和进程生成5 l2 W: a+ }8 D/ j$ w: ~

4 z! v- e! _6 a! l: w8 M. `
& ]1 r- {+ A' X, Y, B  z( W+ j& x8 z; t& n9 Q

, n/ w) y; x; I! n, ?& a小浩病毒
2 I9 b' C/ x7 z

) `, i( y: W7 e1 p5 {comodo
! X; M, [- B# B) |) ?$ E7 U8 E8 A! a( M- L- v

1 Y2 P  I& a9 m4 U  W6 Z: @# A2 Q% S  ?8 U- y8 n- G+ F$ k) i
$ y; F' s" v; `1 d' X  Q0 m
' `/ I+ v" F# o  d+ Q% o) {

2 k3 S; W/ G& w) n! U4 \: \2 `* }; _. o( G7 u2 j) ^( ]
" e( h1 Q) p& r! j
  ]0 K! ]% B% j; G  n) s* J9 R

5 ^- a: L6 {$ [2 M2 ~ps
" D6 i/ W8 |( h" r$ ~3 G5 y  o5 l* V  G

6 {8 W& g% ?' ^( i# p' e1 y
% t3 S2 N/ K/ Q& ?& Q- O5 W
+ E2 r+ r4 j+ t4 q! n* l) N0 E/ Y
$ [# b0 U& t# ^! T3 l4 ~. f
; i4 p" p5 G- g& {& @# }  G5 K6 w% Q6 `: T& R

8 P- @/ F% ?6 F( O) p; k! m$ \5 A4 v* ~0 Q  n

5 t# c6 ]4 c) E: [
+ w+ [8 G1 y" I; M! E
& H" B/ I) Z$ T# K- Y
+ I+ ^4 O: d) J
9 x9 |/ i+ @+ X0 i# g
( ^6 |; `1 N' z2 B! t. }' x1 \$ |4 F, \' |' Y7 N, o1 Q
' q4 R% A! p$ x! S$ k

& ~# f; J: e( j  M; Vssm
- y3 m. y2 p4 \$ W) D
( y! }$ ^6 |/ B2 l" l9 t% t  b' L# |2 K# R4 E8 s, Y0 [
eq* e% Z! P+ v$ b6 E5 j9 [7 c
5 N  a# l$ B7 c* h1 H8 E! M
# F' U5 t( B6 q) `- B; b2 g6 a& b4 {
$ y) |3 ^2 y% B) {' u: m

9 g% u$ M9 [, ?, q
! M% j& Z& E* u% U5 g: U$ J' n4 C1 B- _' V1 B
5 d7 E% u1 v% N) S- F: k; s
; ^+ ]6 U! a( l% c3 b

( [& A. q1 F, }6 ~8 F* Y
: x9 m4 Q  }: m. Z- I  E" I8 w( A
) g, X6 ~+ H8 [1 X2 }' X% W小结:不用多说什么了,comodo、eq和ps均经受住考验,只在运行后生成一个无用的xiaohao.exe进程。0 J- S7 o5 U, l, `/ `
  b! j1 T" B" d( G+ o

2 m2 o4 y! R3 E# a) R/ k8 C9 r) ]6 {6 c% T7 V: [
反观ssm只是在xiaohao调用ie时弹出询问窗口,其余动作一概没有防住。壮烈牺牲
, s7 ?2 p3 a, C" L- k6 }, D8 X0 |3 S) |+ M9 j, ?8 l  g* j$ Z
回复 支持 反对

使用道具 举报

该用户从未签到

4
 楼主| 发表于 2008-3-14 10:38:22 | 只看该作者
机器狗:1 i% r! d/ q5 y0 d
comodo
8 D( j  q- ^9 w1 z
  H1 @$ B& P- C" m3 w- v7 r0 E" o. [: K9 D% [

& L- G$ k! k/ O- l3 C% z$ ^8 R+ J
! r0 W- p0 x; A0 X( d& Q$ a0 S' l6 A9 B' X4 c+ \& @
6 }! _* s2 m* T  D5 k0 g+ q
" {+ M$ Y' J' k, u/ `4 A

0 S& Y5 Q# |8 [- v# h- j9 p- D4 C
. W" k8 h" Z7 a) w# k. w1 m/ T7 G( U
1 s. J+ h8 d) T' r/ Neq& x6 `9 S* z) k0 ~) q1 J% |

% V5 p, H  t! v2 Z1 y) J/ ~
+ B8 [- a) R; u! T- X0 {  ~6 f% S* y
, [2 `. W2 M6 R1 s4 s+ [% v/ D; W
$ I2 \& S( s# I1 w9 |( V/ z. q
' L6 a5 u* B% D. D8 s1 A
5 |3 B7 `% {* v' D3 H' `
$ N& n; u: ^4 p3 ~
2 W: }0 h1 V8 m  L7 r6 H2 G* W- U) I" P! j
9 V; z$ u9 M! h( w! @, I; o% S! g1 n
ps" d% o1 L, U! q( |8 A
. s7 \" x6 i$ H6 m( m

, `6 I; F, Q: B0 I- X! F% v. O) }+ x( @! ^& r+ W

  |+ y" p  ?, w9 [) T% L7 {) s/ A8 k( U" }) }! ]! K. ]& q

1 n8 R& }5 B9 q" \
) z; }6 X3 O: ^1 n1 g+ K) m
( j# x; I" L3 b' F% ?/ q3 \: \/ |/ j5 t, p, W7 Y
小结:comodo、eq和ps完胜,而ssm我就不再测试了,大家应该都猜得到结果/ L2 ?' R1 F: y' `- _# |
$ z- A7 f, e3 @, t# r9 l' h
$ Q- w! V* Y" b( g9 J

8 ?8 l4 p6 Z2 \7 B8 {  T磁碟机
  w* j% R! f1 M% |! t
6 L$ }2 q0 I7 M9 Ecomodo
7 I/ D- j# w3 N9 \& g5 V
# H/ q7 Y4 o( k! |: ?: A
7 r# [" w  L- U$ _" j  M" W; ^& M# A) m' z1 z9 G
! `* {$ {" Z+ [4 F' N. }, m( y
4 _$ I* O9 r3 D) S

1 x* ?4 e  L' g* Q3 Z4 B1 K) T0 ?( X
1 c$ T1 ?* W: G, _
/ Q4 F; |: q& A1 i% h. E
' j! f* [6 M+ e  U" s1 v7 P+ K
1 W: K8 t! g9 i
9 ]  L( e3 o) `3 Veq
' v9 u7 }. a6 m
, j- H) C* _' t2 z4 B/ i1 V% n% b) @4 ]! r! J5 F: \
3 G$ W" n# Z6 a- I

  c& E: D: ]9 \! B; O+ c0 e- ^" a( z# a8 n' u1 U2 V5 L/ G4 P
" X4 D0 i2 q6 `  K; {& O
0 m4 {- R7 O% D. K; n0 I* S
1 h" g% z0 D/ |6 C
* L3 I- R" _0 [8 y* ]3 H
7 M6 S2 T1 k+ N& j: F
5 p# B7 j5 `- [4 }" F
说明:这是火鸟大大为了测mamutu而一路允许下去的,只要当中block一下就......
4 D, G2 N& m! w9 J' K$ X, k+ L/ P5 i7 H, `3 H+ }

; f& j# b8 y! {  B8 {$ c9 W) ]" ?5 T* ?0 j/ N. G% ]
ps
* ]# v  M% ~! A" o' P; ^. y" s5 v+ N5 c6 k' d( `8 W  A

: T- _+ a8 ^8 {( |/ k$ E% }: \. r1 b  M2 R* S
一击致命!!!5 j3 U- z! q. c: U
* g) m' b7 l) z% i/ ~1 w( N9 Y
老样子ssm还是老样子  z/ g. P* Z: ^) U6 g

: s3 h8 X$ d+ o1 K4 V2 [
1 [0 H! j2 j/ @: E( v
/ m' r+ B. e* R8 \阶段总结:
, h4 ?9 b. K9 ]- I8 o( i. R/ I
9 a" @" P. k- O: ]& B' a1 L经过与四大毒王的血肉相搏,除了老牌的ssm由于缺少资金及技术支持,没有FD败下阵来,其它三款均与时俱进轻松过关
回复 支持 反对

使用道具 举报

该用户从未签到

5
发表于 2008-3-14 15:50:55 | 只看该作者
麻烦请注明是转贴及出处,谢谢合作!!!
回复 支持 反对

使用道具 举报

头像被屏蔽

该用户从未签到

6
发表于 2008-3-14 16:05:27 | 只看该作者
好复杂呀,要好好学
回复 支持 反对

使用道具 举报

本版积分规则

关闭

下沙大学生网推荐上一条 /1 下一条

快速回复 返回顶部 返回列表