刀尖上的舞蹈---4款主流Hips实机测试
转自卡饭论坛,作者:chesterzhao参测软件:按软件英文首字母顺序排列
Comodo v33.0.18.309(简称comodo)
EQSysSecure 3.41(简称eq)
ProSecurity 1.43(简称ps)
System Safety Monitor 2.4.2.620(以下简称ssm)
由于不可抗力因素,eq并没有实机安装测试,而是参考了各种权威测试帖,敬请谅解
http://bbs.kafan.cn/images/smilies/default/xi33.gif
OS:xp sp2 msdn原版
内存:1G*2
测试目标:当前4款主流hips不完全横向比较(托盘图标、软件界面、资源占用、自我保护测试、病毒防御...)
样本下载地址:
1、熊猫烧香 样本来源
http://bbs.kafan.cn/viewthread.php?tid=106100
2、小浩病毒 样本来源
http://bbs.kafan.cn/viewthread.php?tid=118551
3、磁碟机 样本来源
http://bbs.kafan.cn/viewthread.php?tid=211669
4、机器狗 样本来源
http://bbs.kafan.cn/viewthread.php?tid=183346
托盘图标:
comodo
http://bbs.kafan.cn/attachments/forumid_85/20080312_7fc1ef229a79d16022a05KB8sC2ZTxNN.jpg
eq
http://bbs.kafan.cn/attachments/forumid_85/20080312_307a120678ff29db7a37vXOqihuAm5IV.jpg
ps
http://bbs.kafan.cn/attachments/forumid_85/20080312_080ae4dfbc85ffcb6902ZEpYBmhwyxzk.jpg
ssm
http://bbs.kafan.cn/attachments/forumid_85/20080312_cc72736822b95923cdb6v7XSnDzW1KEU.jpg
软件界面:
comodo
http://bbs.kafan.cn/attachments/forumid_85/20080312_1fbee05db89bd2c5ac4ebkGm5ARPhpeJ.jpg
eq
http://bbs.kafan.cn/attachments/forumid_85/20080312_3f9f89050e08cbddf07bkL1YnCykeWdp.jpg
ps
http://bbs.kafan.cn/attachments/forumid_85/20080312_b1c9073f543efafca433Dv76WsYdU8Kz.jpg
ssm
http://bbs.kafan.cn/attachments/forumid_85/20080312_ed2b49b721060d5a5864RyWOe2qgSGXX.jpg
资源占用
:各人系统环境各有不同,仅供参考,如有雷同,纯属巧合
http://bbs.kafan.cn/images/smilies/default/xi35.gif
comodo
http://bbs.kafan.cn/attachments/forumid_85/20080312_054269323697b62dc7c0UAWCB7ZYGZew.jpg
eq
http://bbs.kafan.cn/attachments/forumid_85/20080312_f758ff4c5ded773e67deIRLHbAj7e53t.jpg
ps
http://bbs.kafan.cn/attachments/forumid_85/20080312_5e7748f3f28c72fa4eefDhZLhORAlpGo.jpg
ssm
http://bbs.kafan.cn/attachments/forumid_85/20080312_43ff2e18ca14428bdd52KIzNzpK2pegr.jpg
阶段总结:
现有的一般配置运行HIPS软件已经绰绰有余,其系统资源占用相对于杀毒软件和防火墙来说绝对是轻量级的
http://bbs.kafan.cn/images/smilies/default/xi41.GIF
[ 本帖最后由 竹木刀 于 2008-3-14 17:04 编辑 ] 进程保护:使用工具Advanced Process Termination v2.1
comodo
http://bbs.kafan.cn/attachments/forumid_85/20080312_3632924fe578f94cdc616pmCuwcV7ZSY.jpg
Comodo 在图形界面cfp.exe关闭之后、启动之前,默认的规则处理逻辑是允许。
选上 block all the unknown requests if the application is closed,可以在GUI关闭以后,启动之前,提供保护。
测试病毒的时候,万一cfp崩溃了。。。,所以要选上。
在安装了新的自启动程序以后,需要暂时去掉,等学习规则以后,再选上。
Comodo 完全可以无进程内核保护,两个方法:
1. block all the unknown requests if the application is closed 或者
2. 使用我的All Applications Limited 作为所有程序规则 All Applications *
因为,在GUI关闭以后,All Applications 里的Ask规则会被忽略,直接允许。这种处理方式是为了照顾用户体验。
这两种方法,可以同时使用。
ps
http://bbs.kafan.cn/attachments/forumid_85/20080312_225074a04aba0c2b01115jOye7BRDDQQ.jpg
进程被结束后,防护依然有效(基于内核保护的缘故http://bbs.kafan.cn/images/smilies/default/xi5.GIF)
ssm
http://bbs.kafan.cn/attachments/forumid_85/20080312_dcaf8dc6d27d32fcaebbha6WeaX4gAZO.jpg
有点出乎意料啊
http://bbs.kafan.cn/images/smilies/default/28.gif
eq
哪位XD做个测试后发上来,谢谢
http://bbs.kafan.cn/images/smilies/default/xi47.GIF
阶段总结:现在市面上的安软自我防护一般分为(1)软件进程难以轻易被结束,如BZ和SSM,一旦被结束后,防护大多就失效了。(2)软件进程易被终止,但因为基于内核或驱动级别防护,故无进程状态下仍可发挥作用,如PS和DW
其中第二种方案为目前大多数HIPS所采用 病毒测试之:
熊猫烧香
comodo
http://bbs.kafan.cn/attachments/forumid_85/20080312_8d363a9ce7e6835875fcII4aStzusdWl.jpg
ps
http://bbs.kafan.cn/attachments/forumid_85/20080312_4afb6bf2e4a00f3680520nmNPeZWUrC6.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_f6e2521b1d02dd2082833pKUvATPrXb7.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_a166dcf427c5e4b6b3baMVzSY8a1pAyk.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_30709ffbe686d14a56f3YoIR0sN3jWre.jpg
ssm
http://bbs.kafan.cn/attachments/forumid_85/20080312_11854c81c82e81078e22byt3wBrR4kMZ.jpg
eq
http://bbs.kafan.cn/attachments/forumid_85/20080312_59b27fb76387171d8acfcxwWVOxPz8ZR.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_7b7184c59752bb255abbU4o4k6WUJgbv.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_1f35046e5d8f98edb803GS8KVtU7tMrN.jpg
小结:
四款软件均轻松阻止了熊猫,没有任何尸体和进程生成
http://bbs.kafan.cn/images/smilies/default/xi32.GIF
小浩病毒
comodo
http://bbs.kafan.cn/attachments/forumid_85/20080312_44a6e45f709b25268aa3XB6fZFJO9fNF.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_c857f9aea8d9622cea26rSVwfG6hmsh3.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_0fa3a49ece54370c3e42RSP3qPi7WwRy.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_9b84b6552dfc7ef54413524xDwsNzCd8.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_148d9c757df8102eaee2enlqY4CAUdE7.jpg
ps
http://bbs.kafan.cn/attachments/forumid_85/20080312_0f33498b5be42e874862TBNO8VR1O6zZ.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_a8bacb0e2a8d818bea5eZiI1iRqXsmpX.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_7d5b715070d2f20c89830cPmFw8karUb.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_dd32b71daf420afb8c1fFtTGkvDRuUPU.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_eb08e48c6340a8a2b9f1oOMbiFdPubVg.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_23cc7fce9eb776947f65UGQ7T6TuRrZw.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_f448427df34432a4670fmnkuF78whNoC.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_6f9458bdb1b0755000deXJKTGyfMEy9i.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_979ac072e6c26510278biSyELhANnsvB.jpg
ssm
http://bbs.kafan.cn/attachments/forumid_85/20080312_e0f98d7fb78965ea9747bwxTymqhnTso.jpg
eq
http://bbs.kafan.cn/attachments/forumid_85/20080312_8d607bd69c4d43f970dakrN3uITe12Z0.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_777ec5026c9faa231a10yiSmofwAiLSJ.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_0e8fffcd2031a51c16b5ryPrKnN35fCF.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_58d96c053f950a11f49eMYzGHRLQRmdS.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_1372cd3b448493022720SZxZyFXjnZZC.jpg
小结:不用多说什么了,comodo、eq和ps均经受住考验,只在运行后生成一个无用的xiaohao.exe进程。
http://bbs.kafan.cn/images/smilies/default/xi32.GIF
反观ssm只是在xiaohao调用ie时弹出询问窗口,其余动作一概没有防住。壮烈牺牲
http://bbs.kafan.cn/images/smilies/default/xi31.GIF 机器狗:
comodo
http://bbs.kafan.cn/attachments/forumid_85/20080312_d9eabf46cccf7d8e0021ANTColX3KO7x.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_40752bbf68be47281477uG9dmDVqYSKB.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_17b296c03ea00be6a5fcBcOgy2XgdF4F.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_15652b3dc6e5a6dddd2cZ8MLt5lnMfMH.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_a2e3aec0f71f9371bd86hxtjEAGLX091.jpg
eq
http://bbs.kafan.cn/attachments/forumid_85/20080312_16333a864ad52293a2f11HfoSmPOjJ89.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_9a8ce716c66741bf8f48iaAjED1UWoNV.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_93ad1d81e7a5b013d391AS0tUsZm0B4P.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_10db496aad93fb8387c79vPvNBGmNTtJ.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_25a4d3fc11422a60530djOcaxP3L5wHo.jpg
ps
http://bbs.kafan.cn/attachments/forumid_85/20080312_2664be7955e7bc13f0b0Vk7K1BWyLAwC.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_5bebe967ca5714e67bf1rbiQ1buparBp.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_5202b9a78939c28c0787C5bUWvsTaE1W.jpg
小结:comodo、eq和ps完胜,而ssm我就不再测试了,大家应该都猜得到结果
http://bbs.kafan.cn/images/smilies/default/xi37.gif
磁碟机
comodo
http://bbs.kafan.cn/attachments/forumid_85/20080312_e489c228c328e3e7a755qxOA9RjkcpPm.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_805cc0398759eb873a589l9W8hAGgC3g.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_0d62804f02e897f665484Iqw4AKOFqwc.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_a9c7e753b783aacf6d524ribKbMRYRae.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_99a4eac3b493ca49fe45MBvCQHJ7jzgp.jpg
eq
http://bbs.kafan.cn/attachments/forumid_85/20080312_cabb350a099abd49c9a55wQbJjckGav4.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_0a81f8584d339764b746vfp25vkP0kHq.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_d3794b0b91902ec1d56aVKyMGf4qRaXZ.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_c1468f1883edd57d0762gMkuDdJkJRLV.jpg
http://bbs.kafan.cn/attachments/forumid_85/20080312_0cca7b981b25b34fe690EehQGIw4uXHY.jpg
说明:这是火鸟大大为了测mamutu而一路允许下去的,只要当中block一下就......
http://bbs.kafan.cn/images/smilies/default/xi36.gif
ps
http://bbs.kafan.cn/attachments/forumid_85/20080312_e3922135f787b5f53f65fvc4b6bLYc0O.jpg
一击致命!!!
老样子ssm还是老样子
http://bbs.kafan.cn/images/smilies/default/xi39.GIF
阶段总结:
经过与四大毒王的血肉相搏,除了老牌的ssm由于缺少资金及技术支持,没有FD败下阵来,其它三款均与时俱进轻松过关 麻烦请注明是转贴及出处,谢谢合作!!! 好复杂呀,要好好学
页:
[1]