刀尖上的舞蹈---4款主流Hips实机测试

竹木刀

转自卡饭论坛，作者：chesterzhao

参测软件：按软件英文首字母顺序排列
' R: W3 {8 e% h( t
" {" Z5 W7 I2 @" D, lComodo v3  3.0.18.309(简称comodo)
) J! k* Q$ h6 ~2 N& I
, ~) M& E! Y9 M+ \8 FEQSysSecure 3.41(简称eq)

$ w8 _& X$ c) b8 _! U3 b) N, K2 U& GProSecurity 1.43(简称ps)                 　

6 A' g5 U: c1 _7 W" GSystem Safety Monitor 2.4.2.620(以下简称ssm)

由于不可抗力因素，eq并没有实机安装测试，而是参考了各种权威测试帖，敬请谅解
: Z: m( B6 y1 @# z* G# n( V

, r* u; L0 n+ n
0 r$ t( O+ u) A/ cOS：xp sp2 msdn原版
3 T+ M$ S6 L4 ?& ~
内存：1G*2

测试目标：当前4款主流hips不完全横向比较（托盘图标、软件界面、资源占用、自我保护测试、病毒防御...）

样本下载地址：
1、熊猫烧香 样本来源  

http://bbs.kafan.cn/viewthread.php?tid=106100
7 K, D" S! G  d4 ?
2、小浩病毒 样本来源  

: \0 x3 x. _$ X% P5 _# g" ahttp://bbs.kafan.cn/viewthread.php?tid=118551

3 C7 ~/ [3 k9 P* h" N6 Y3 \3、磁碟机   样本来源  

http://bbs.kafan.cn/viewthread.php?tid=211669

/ Y, M* I$ h( v6 Q- T4、机器狗   样本来源  

http://bbs.kafan.cn/viewthread.php?tid=183346

; Y1 W% `# H* U3 @7 Y  c! Q# O托盘图标：
" D1 O9 N/ u- S, S3 Z; @comodo


eq
) Z, D% Y; s6 W  `2 N

, f% X8 Y( e9 g3 ips

7 y: J4 U5 f4 J% A$ ~2 e( D* {
ssm
$ V' `' Q" j$ F6 o7 [, y

软件界面：　
comodo
8 W7 S; y# E- x  C- I7 \
+ ^4 s% `) L5 r" }- u2 P6 x
6 [" _4 F+ e" B5 e1 Q9 Z' [* k$ o+ m
eq
5 ?& p4 U* R9 }+ L' ?

% |4 o8 w1 C( \4 T& U, U
ps



ssm
# s- o# L' ]  G1 K$ H


( S0 R: z9 k4 ?6 w
资源占用

：各人系统环境各有不同，仅供参考，如有雷同，纯属巧合
: {, E7 c$ e6 H' a! E# b


comodo
" Y8 X  w8 b$ |; z
) d" o9 ]) V* J& O  i
eq



ps
4 e* u; C. a! b* E

/ G2 T1 x4 M* G1 ]% Z
9 J( T! Q) C  m2 F; u( _) w- Qssm


! t. k# m2 W6 D0 q

阶段总结：
6 f  u2 f) c7 }  O9 T
0 [, |' z+ L1 t! A现有的一般配置运行HIPS软件已经绰绰有余，其系统资源占用相对于杀毒软件和防火墙来说绝对是轻量级的

4 W7 }, Z9 V- }- K' w

[ 本帖最后由 竹木刀 于 2008-3-14 17:04 编辑 ]

竹木刀

进程保护：使用工具Advanced Process Termination v2.1

comodo
" u$ }% _5 I. l- s1 I" L# L
( b% E8 _8 b$ y& m: Y
! b0 h, R. C& y5 U  E4 ]. lComodo 在图形界面cfp.exe关闭之后、启动之前，默认的规则处理逻辑是允许。
1 y7 B9 X4 \1 H  `
. \( [( E' V3 A' G' B% o  v选上 block all the unknown requests if the application is closed，可以在GUI关闭以后，启动之前，提供保护。
7 C; o5 p$ t& y7 P, @3 j
测试病毒的时候，万一cfp崩溃了。。。，所以要选上。
8 e1 ~* P0 U, j' q5 n  w
) H6 o) y9 z0 m+ H# Q* s在安装了新的自启动程序以后，需要暂时去掉，等学习规则以后，再选上。

Comodo 完全可以无进程内核保护，两个方法：
" |$ f4 H9 Z$ G& ?
1. block all the unknown requests if the application is closed 或者
) B0 v+ |: S+ m, g  a5 i
/ h, K8 x$ _6 D  f( y2. 使用我的All Applications Limited 作为所有程序规则 All Applications *
/ ^/ J3 y9 |$ l% Z) l# P8 W8 c, ]
  f7 o* h- Y, f3 I% F3 |因为，在GUI关闭以后，All Applications 里的Ask规则会被忽略，直接允许。这种处理方式是为了照顾用户体验。
% Q6 N0 F) L5 t. w5 C/ r
; |; F* q7 R& B- j; W! r这两种方法，可以同时使用。

ps
% G5 `, N5 k/ D, p; b8 t5 _$ @


进程被结束后，防护依然有效（基于内核保护的缘故）

0 a+ d4 z$ a3 }6 }7 qssm


. x& V. c/ W) i7 g4 T: C4 h1 O有点出乎意料啊


5 \- l% B7 i0 a6 O4 `- G, o+ y
9 p1 n5 W, Q, I! c7 o7 Teq
9 N% S0 c, ?7 n: h2 N
" G2 D3 t% `3 k* w& v; A6 l; C0 ?. N
5 d! O5 z$ s7 P- O/ @% i
/ k" R+ C3 j2 |" Y$ U+ H- I哪位ＸＤ做个测试后发上来，谢谢



7 C3 t9 C# b# i7 w阶段总结：现在市面上的安软自我防护一般分为（1）软件进程难以轻易被结束，如BZ和SSM，一旦被结束后，防护大多就失效了。（2）软件进程易被终止，但因为基于内核或驱动级别防护，故无进程状态下仍可发挥作用，如PS和DW
, I) Y+ O" T8 k% {
其中第二种方案为目前大多数HIPS所采用

竹木刀

病毒测试之：
  @8 @1 j) F) j& l# w: I
熊猫烧香
comodo


ps

9 R" U7 d. v# Y
+ U* {- O3 r, T6 P9 }2 C; [
% {5 G2 g0 ], Q/ s
" _4 u* n! s4 a! Q4 j! \


+ l% X* f$ `% K4 r
# k$ I: r$ N8 W; W9 Wssm
9 g) y! L& P, @



eq
3 {1 B* N4 q* e0 u) V# f4 Z
8 y$ r* @) ^% x) C* K
2 x3 H% b) v4 N% F: h
! \! H% d4 `* T/ Y% y1 }# _

$ v0 o9 M6 d6 G2 _! R, l  ^8 }
小结：
四款软件均轻松阻止了熊猫，没有任何尸体和进程生成


+ j- P& a& E! L3 c

小浩病毒

* Q4 m, M* U2 Rcomodo

* Y+ d# m9 ^* q
9 G9 e! }" E  O7 e! A
1 p3 R. T4 }8 a' b1 x, a
1 X3 t4 T5 J+ `! e" t4 p8 f
7 ?0 m3 o0 c1 K: e! i/ b
4 P. K9 e& t- D8 p7 M
2 b4 ~) P, n$ a6 R7 ~

) v2 |7 t; O% @) ^  F* u" V1 W
3 C+ @: k4 L2 w* n, w4 ~ps

/ Z( q6 ?( m' m: G3 }

; u/ s6 m9 L/ p: V
' K) F8 w" R' i% d7 d- R: G, ^# I9 u





+ h" v! ~4 s" A, C
! K2 O, O, ^1 a$ D  I. {
8 K% E" |- i9 z- d+ W' F: H( e





ssm

0 z6 L; U- A: t& {" o
% k' Z2 o: t/ Q9 d" a8 weq

3 u9 q/ p" j7 {# K! H, E
/ g: k# F0 p! s4 V, S- V

0 o2 \2 V; l1 D9 P5 i4 m# \9 C
0 q3 q0 E& `) j" F) f7 J/ ]
7 C! |# r5 m4 V$ }3 X( ]" {& C

1 ~! P0 u- \8 W& C" Q% d


小结：不用多说什么了，comodo、eq和ps均经受住考验，只在运行后生成一个无用的xiaohao.exe进程。
- n9 Q& J8 }/ p5 H+ N
5 Z8 l2 N1 [" j' H

反观ssm只是在xiaohao调用ie时弹出询问窗口，其余动作一概没有防住。壮烈牺牲

7 k8 g# J# \$ J! K/ T2 m. D0 k; B

竹木刀

机器狗:
comodo
  |& {8 O/ ^  H0 d# \
' [/ Y# B$ ?& v$ E! X; C
' f% s! K4 F' ^0 P. r8 z- V' p


! A$ p$ d8 v. i

. ~2 o8 x/ j8 u! p& @
6 `: l! R9 m6 w4 T2 W

eq
0 h0 f0 F/ X$ {" `
# h9 I! C9 x4 h' z1 s+ G. g- z
6 j2 ^- p6 \2 ~. }

5 T( @5 P. \+ t

5 H% k3 _1 V; L, C+ m% i5 j
( ]7 ?1 @: m! c


" i! c6 ]& k  p1 _$ G) x8 |ps


* t  G. k* t6 R) ~' ]: k7 g

& i# ~! i' a) I
9 M5 e$ I9 I) U% N7 H

% @, z0 D( \* I
6 T$ W5 v. e0 Z$ v7 A
小结:comodo、eq和ps完胜，而ssm我就不再测试了，大家应该都猜得到结果
1 S9 }9 [  H# w1 K4 I3 B  J& O
& g8 j- _% V5 b# a* m# q# v  ?  ?
  o1 s/ M1 c3 g9 G
, ]. `- H0 H7 B% |2 O: C4 X磁碟机

: [8 Z4 D& F! }% Ncomodo

5 w" A  d& D; P& D* }

  A; P- y# f8 U+ X3 K/ Y8 y
1 C% o$ }1 f3 I0 X+ |

' Q5 ~; G! E4 b8 g) A3 H5 P
, L; V, ^: x0 Y- j" R
0 g- N8 `, E5 ]2 `, ]9 h3 G

8 U; ]! M# ]! B9 X( r
eq
' y0 j$ O( \4 Z& |8 G
. x& _: J9 G% J
2 a0 H5 d4 C! e' d
6 j2 u4 D. W& X

0 I, M1 A, O8 j% _
. z, p, L. T" m- q3 _& K

( d& @& g9 d7 |& w. S! f

9 n0 m' E! q# l& T( o; D
9 o) e5 C4 r: l) W说明：这是火鸟大大为了测mamutu而一路允许下去的，只要当中block一下就......



ps
9 v" }9 L3 Z; A
$ v; Y8 n* a3 O! Q

) i& T% z. b8 R2 r# O& a一击致命！！！

老样子ssm还是老样子
' G( c7 @, v3 B8 ?


阶段总结:
6 G) B. T: V/ w! |  K( h0 j
6 V$ B% c7 E* i: ]# @经过与四大毒王的血肉相搏，除了老牌的ssm由于缺少资金及技术支持，没有FD败下阵来，其它三款均与时俱进轻松过关

chesterzhao

麻烦请注明是转贴及出处，谢谢合作！！！

中航海

好复杂呀，要好好学