刀尖上的舞蹈---4款主流Hips实机测试
([color=Blue]参测软件[/color]:按软件英文首字母顺序排列Comodo v3 3.0.18.309(简称comodo)
EQSysSecure 3.41(简称eq)
ProSecurity 1.43(简称ps)
System Safety Monitor 2.4.2.620(以下简称ssm)
[color=Red]由于不可抗力因素,eq并没有实机安装测试,而是参考了各种权威测试帖,敬请谅解[/color][:xi33:]
[color=Blue]OS[/color]: xp sp2 msdn原版
[color=Blue]内存[/color]:1G*2
[color=Blue]测试目标[/color]:当前4款主流hips不完全横向比较(托盘图标、软件界面、资源占用、自我保护测试、病毒防御...)
[color=Blue]样本下载地址[/color]:1、熊猫烧香 样本来源 [url=http://bbs.kafan.cn/viewthread.php?tid=106100]http://bbs.kafan.cn/viewthread.php?tid=106100[/url]
[font=宋体]2、小浩病毒 样本来源[font=Times New Roman] [url=http://bbs.kafan.cn/viewthread.php?tid=118551]http://bbs.kafan.cn/viewthread.php?tid=118551[/url][/font]
[font=宋体]3、磁碟机 样本来源[font=Times New Roman][size=3] [url=http://bbs.kafan.cn/viewthread.php?tid=211669]http://bbs.kafan.cn/viewthread.php?tid=211669[/url][/size][/font]
[font=宋体]4、机器狗 样本来源[font=Times New Roman][size=3] [url=http://bbs.kafan.cn/viewthread.php?tid=183346]http://bbs.kafan.cn/viewthread.php?tid=183346[/url][/size][/font]
[/font][/font][/font]
[color=Red][color=Blue]托盘图标[/color][/color]:
comodo[attach]218145[/attach]
eq[attach]218147[/attach]
ps[attach]218146[/attach]
ssm[attach]218144[/attach]
[color=Red][color=Blue]软件界面[/color][/color]:
[size=4][color=Red]comodo[/color][/size]
[attach]218148[/attach]
[size=4][color=Red]eq[/color][/size]
[attach]218149[/attach]
[size=4][color=Red]ps[/color][/size]
[attach]218151[/attach]
[size=4][color=Red]ssm[/color][/size]
[attach]218152[/attach]
[color=Blue]资源占用[/color]:各人系统环境各有不同,仅供参考,如有雷同,纯属巧合[:xi35:]
[size=4][color=Red]comodo[/color][/size]
[attach]218164[/attach]
[size=4][color=Red]eq[/color][/size]
[attach]218165[/attach]
[size=4][color=Red]ps[/color][/size]
[attach]218166[/attach]
[size=4][color=Red]ssm[/color][/size]
[attach]218167[/attach]
[size=4][color=Indigo]阶段总结[/color][/size]:[size=4][color=Indigo]现有的一般配置运行HIPS软件已经绰绰有余,其系统资源占用相对于杀毒软件和防火墙来说绝对是轻量级的[/color][/size][:xi41:]
[[i] 本帖最后由 chesterzhao 于 2008-3-13 17:02 编辑 [/i]] [color=Blue]进程保护[/color]:使用工具Advanced Process Termination v2.1
[size=4][color=Red]comodo[/color][/size]
[attach]218173[/attach]
Comodo 在图形界面cfp.exe关闭之后、启动之前,默认的规则处理逻辑是允许。
选上 block all the unknown requests if the application is closed,可以在GUI关闭以后,启动之前,提供保护。
测试病毒的时候,万一cfp崩溃了。。。,所以要选上。
在安装了新的自启动程序以后,需要暂时去掉,等学习规则以后,再选上。
Comodo 完全可以无进程内核保护,两个方法:
1. block all the unknown requests if the application is closed 或者
2. 使用我的All Applications Limited 作为所有程序规则 All Applications *
因为,在GUI关闭以后,All Applications 里的Ask规则会被忽略,直接允许。这种处理方式是为了照顾用户体验。
这两种方法,可以同时使用。
[size=4][color=Red]ps[/color][/size]
[attach]218174[/attach]
进程被结束后,防护依然有效(基于内核保护的缘故[:xi5:])
[size=4][color=Red]ssm[/color][/size]
[attach]218175[/attach]
有点出乎意料啊[:28:]
[size=4][color=Red]eq[/color][/size][color=Black]
[attach]219713[/attach]
哪位XD做个测试后发上来,谢谢[:xi47:]
[color=Red]感谢42楼[/color][/color][color=Red]gankeyu提供,谢谢[/color][:xi47:][:xi47:]
[color=Black]
[size=4][color=Indigo]阶段总结:现在市面上的安软自我防护一般分为(1)软件进程难以轻易被结束,如BZ和SSM,一旦被结束后,防护大多就失效了。(2)软件进程易被终止,但因为基于内核或驱动级别防护,故无进程状态下仍可发挥作用,如PS和DW
其中第二种方案为目前大多数HIPS所采用
[/color][/size][/color]
[[i] 本帖最后由 chesterzhao 于 2008-3-14 22:44 编辑 [/i]] [color=Blue]病毒测试之[/color][color=Black]:
[color=Indigo]
熊猫烧香[/color]
[size=4][color=Red]comodo
[attach]218183[/attach]
ps
[color=Black][attach]218180[/attach]
[attach]218181[/attach]
[attach]218182[/attach]
[attach]218185[/attach]
[color=Red]ssm
[attach]218184[/attach]
[/color]
[color=Red]
eq
[/color][/color][/color][/size][/color][attach]218276[/attach]
[attach]218277[/attach]
[attach]218278[/attach]
[size=4][color=Purple][color=DarkOrchid]小结[/color][/color][/size]:[size=4][color=DarkOrchid]四款软件均轻松阻止了熊猫,没有任何尸体和进程生成[/color][/size][:xi32:]
[color=Blue]
小浩病毒[/color]
[size=4][color=Red]comodo[/color][/size]
[attach]218252[/attach]
[attach]218253[/attach]
[attach]218254[/attach]
[attach]218255[/attach]
[attach]218256[/attach]
[size=4][color=Red]ps[/color][/size]
[attach]218197[/attach]
[attach]218198[/attach]
[attach]218199[/attach]
[attach]218200[/attach]
[attach]218201[/attach]
[attach]218202[/attach]
[attach]218203[/attach]
[attach]218204[/attach]
[attach]218205[/attach]
[size=4][color=Red]ssm[/color][/size]
[attach]218275[/attach]
[size=4][color=Red]eq[/color][/size]
[attach]218279[/attach]
[attach]218280[/attach]
[attach]218281[/attach]
[attach]218282[/attach]
[attach]218283[/attach]
[size=4][color=DarkOrchid]小结[/color][color=DarkOrchid]:不用多说什么了,comodo、eq和ps均经受住考验,只在运行后生成一个无用的xiaohao.exe进程。[/color][:xi32:]
[color=DarkOrchid]反观ssm只是在xiaohao调用ie时弹出询问窗口,其余动作一概没有防住。壮烈牺牲[/color][/size][:xi31:]
[[i] 本帖最后由 chesterzhao 于 2008-3-12 22:39 编辑 [/i]] [color=Blue]机器狗[/color]:
[size=4][color=Red]comodo[/color][/size]
[attach]218302[/attach]
[attach]218303[/attach]
[attach]218304[/attach]
[attach]218305[/attach]
[attach]218306[/attach]
[size=4][color=Red]eq[/color][/size]
[attach]218307[/attach]
[attach]218308[/attach]
[attach]218309[/attach]
[attach]218310[/attach]
[attach]218311[/attach]
[size=4][color=Red]ps[/color][/size]
[attach]218299[/attach]
[attach]218300[/attach]
[attach]218301[/attach]
[size=4][color=Indigo][color=DarkOrchid]小结[/color][/color][/size][color=DarkOrchid]:[/color][size=4][color=DarkOrchid]comodo、eq和ps完胜,而ssm我就不再测试了,大家应该都猜得到结果[/color][/size][:xi37:]
[size=3][color=Blue]磁碟机[/color][/size]
[size=4][color=Red]comodo[/color][/size]
[attach]218319[/attach]
[attach]218320[/attach]
[attach]218321[/attach]
[attach]218322[/attach]
[attach]218323[/attach]
[size=4][color=Red]eq[/color][/size]
[attach]218335[/attach]
[attach]218336[/attach]
[attach]218337[/attach]
[attach]218338[/attach]
[attach]218339[/attach]
说明:这是火鸟大大为了测mamutu而一路允许下去的,只要当中block一下就......[:xi36:]
[size=4][color=Red]ps[/color][/size]
[attach]218340[/attach]
一击致命!!!
老样子ssm还是老样子[:xi39:]
[size=4][color=Indigo]阶段总结[/color][/size]:[size=4][color=Indigo]经过与四大毒王的血肉相搏,除了老牌的ssm由于缺少资金及技术支持,没有FD败下阵来,其它三款均与时俱进轻松过关[/color][/size][:xi32:]
[[i] 本帖最后由 chesterzhao 于 2008-3-12 22:41 编辑 [/i]] [size=4][color=Red][font=微软雅黑][b]大总结:
单单从系统保护角度上来说,Comodo、EQ和PS均能够满足个人用户的使用需求。[:28:]
如果机器配置确实落后于主流,可以选择PS,参考Imnopuo的这篇帖子[url=http://bbs.kafan.cn/viewthread.php?tid=184669&]http://bbs.kafan.cn/viewthread.php?tid=184669&[/url];extra=page%3D3,把开机进程和服务都砍掉以最大限度节约资源[:01:]
如果追求防护的全面性,那么Comodo将会是你不二的选择,其防火墙和Defense+均达到和很高的层次,更难能可贵的是Comodo还是全免费的[:03:]
虽然如今使用SSM的人不在少数,[/b][/font][/color][/size][size=4][color=Red][font=微软雅黑][b]与其说在某些方面其仍不失为一款较优秀的HIPS[/b][/font][/color][/size][size=4][color=Red][font=微软雅黑][b],不如说大多都是因长期使用而对SSM产生感情或习惯了其规则组分类。然而SSM终究缺少FD这一如今重要的防护手段,而逐渐被其它主流[/b][/font][/color][/size][size=4][color=Red][font=微软雅黑][b]HIPS拉开差距。希望SSM在2008年能够奋起直追,焕发第二春!~~~~[/b][/font][/color][/size]
[size=4][color=Red][font=微软雅黑][b]
而从易用性上讲,这四款软件还远远没有达到易于上手的地步,虽然都有学习模式,但在不能保证原来的机器绝对干净的情况下,学习模式所能发挥的作用也十分有限;高手们所做的规则也因个人系统环境的不同而使得效力大打折扣。这就使得HIPS仍旧是那些安全高手和准高手的最爱[:xi48:]
本文仅仅起到一个抛砖引玉的作用,评测还停留在比较肤浅的阶段,不足之处烦请大家指出。至于更为深入的测试,还是要大家亲自实践使用较长时间才能体会并了解一款HIPS的方方面面。
[color=Blue]最后感谢为此次评测做出较大贡献的choco_dove,以及提供EQ图片使用权的[/color][/b][/font][/color][/size][size=4][color=Red][font=微软雅黑][b][color=Blue]baerzake大大
此文为kafan原创首发,如需转载请务必注明出处,谢谢合作[:xi47:]
[/color][/b][/font][/color][/size]
[[i] 本帖最后由 chesterzhao 于 2008-3-12 22:33 编辑 [/i]] 沙你个发
巨多的图[:02:] [:02:] [:02:]
你强的[:28:] 板凳
屏幕不停的跳
回复 7楼 冷冷 的帖子
就是就是,呱呱,疯狂青蛙[:xi45:]以后我考虑做个木马专杀的横测,估计图会少很多,测HIPS弹出窗口多没办法啊[:xi48:] 板凳,SSM这么弱,连四大毒王都搞不定?出乎我的意料[:08:] 楼主不要忘了承诺啊,用我的片片是有代价的[:14:] 这个测试SSM是彻底败下来,没有FD!!
希望SSM能继续完善其他方面,FD可以油沙盘补充!
回复 11楼 冷冷 的帖子
缺少fd是硬伤啊p.s谢谢你翻页了,终于不跳了[:xi47:]
回复 12楼 choco_dove 的帖子
哈哈终于不跳了,网速慢都会卡S啊!
希望SSM给我们惊喜吧!
GSS也更新了,虽然没有FD 图也不多啊…… 不明白7、8楼问题,傲游1很正常
SSM怎么回事?用这个的高手应很多
看看热闹,多谢,想想什么时候去磕毛豆
回复 14楼 没注册 的帖子
MM来了[:03:]对你来说是小巫见大巫[:07:] 先顶,在看 SSM做得很细腻,真的很舍不得 多谢楼主测试,期待ssm的fd早日出现啊~ 对测试保留意见
就不说了
继续看封神榜
[[i] 本帖最后由 没注册 于 2008-3-12 23:07 编辑 [/i]]