参测沙盘：defensewall
                   sandboxie
                   bufferzone
                   geswall

系统环境：winxp pro sp2深度精简版
内存大小：190M

测试目标：空载及负载情况下的各沙盘内存占用
                 反泄漏防键盘记录及截屏测试（测试工具为AKLT3.0），主要是测试沙盘的防盗号木马能力。
                 防沙盘内程序终止信任程序测试（测试工具APT2.1），主要是测试沙盘能否保护沙盘外程序不被沙盘内程序终止，保护杀软等不被恶意程序终止。
                 程序生存能力（自我保护）测试，主要是测试沙盘的进程能否被结束或结束后保护还存在否。

标准定义：空载即指沙盘运行后没有在沙盘中运行任何程序时沙盘的内存占用。
                 负载指在沙盘中运行程序后的沙盘内存占用（本测试在各沙盘中运行了GB浏览器和QQ）。
                 键盘记录及截屏测试指如果沙盘内程序试图对沙盘外程序进行键盘记录或截屏，沙盘能否阻止或提示。
                 防沙盘内程序终止信任程序是指在沙盘的防御下沙盘内程序能否通过各种方式终止沙盘外程序。
                 程序生存能力测试指测试沙盘进程能否被结束，以及结束后能否继续保护系统。

测试过程：defensewall

空载资源占用





在DW中开启GB和QQ后资源占用









评论:DW的静态资源占用非常出色，占内存2M左右，虚拟内存10M左右。而更加出色的是在开启了GB和QQ后资源占用没有受到丝毫影响。QQ和GB的内存占用与在沙盘外运行也没有大的变化。

得分：10分



AKLT反键盘记录及截屏测试

Anti-Keylogger Tester (AKLT) 是用来测试安全软件防御键盘记录的测试工具。
最新版的AKLT V3.0 提供了7种不同的方式，来监视和记录键盘输入。
根据Kaspersky Lab 的文章，目前，流行的键盘记录方式有三种：
Global Hook (66%)、Cyclical polling(29%)、Driver based(5%) 。
AKLT 提供了Global Hook 和  hookless/Cyclical polling 两类测试，覆盖了常见的95%的键盘记录方式。
可以有效的检测HIPS 在键盘记录方面的防御效果。
剩余5% 可以通过HIPS 或受限用户，阻止安装、加载驱动来实现保护。

此外，AKLT还模仿木马程序提供了2种截取屏幕测试。

AKLT 新增加了 GetRawInputData 测试(新测试只能用于XP/Vista，不需要.Net)








































同样对于截屏DW也可以防御，下面两个截屏测试都被阻止了，第一个画图板上是一片白，证明截图没有成功，第二个测试虽然生成了图片，但是是一片黑，证明防御成功。
























评论：测试证明DW有几乎完美的对键盘记录和截屏的防御，这对防御盗号木马尤为有效。

得分：9分


APT高级进程终止测试

APT（advanced process terminator）是一个利用各种方法来终止进程的工具，在DW非信任下运行APT然后尝试终止非信任区外的程序，通过此测试可以了解沙盘能否保护信任区的程序不被非信任区的程序终止。



评论：测试证明DW可以完美通过APT高级进程终止测试，所有在DW非信任下的程序都不能终止非信任区外的进程。

得分：10分


程序生存能力测试



评论：DW即使将所有进程包括服务进程终止，一样能保护系统，非常出色。

得分：10分

[ 本帖最后由 baerzake 于 2008-3-3 02:09 编辑 ]

sandboxie

空载资源占用




开启浏览器（我用的GB）和QQ后，沙盘的资源占用。




评论：sandboxie的资源占用非常出色，内存和虚拟内存都只有4M不到。但是在沙盘中运行了GB和QQ以后多出两个进程，资源占用大了一倍，有点不爽，不过即使大了一倍，总的来看还是比较小的，内存占用在10M左右，虚拟内存7M左右。

得分：8分


AKLT反键盘记录及截屏测试



评论：sandboxie的防键盘记录及截屏效果很差，只有第六个键盘测试和第一个截屏测试通过。因此可以说sandboxie几乎没有防御盗号木马之类病毒的能力。

得分：2分

APT高级进程终止测试



评论：sandboxie能够通过APT的所有测试，表现出色。

得分：10分


程序生存能力测试

SBIE的所有进程可以通过任务管理器结束，就不帖图了，下面看看结束了进程后沙盘内程序还受不受限制。

我在结束SBIE进程前在沙盘中运行了APT，现在来看看APT能不能终止信任进程。




评论：通过测试发现即使SBIE进程全部被结束也可以限制沙盘内程序破坏系统，和DW属于同一等级，非常优秀。

得分：10分

[ 本帖最后由 baerzake 于 2008-3-3 02:10 编辑 ]

bufferzone

空载资源占用




在沙盘中开启GB和QQ后的资源占用




评论：在沙盘中属于重量级，占资源比较大，这个需要改进，静态下两个进程共占内存11M左右，虚拟内存25M左右。在开启GB和QQ后四个进程，内存没有大的增加，但虚拟内存增加到了34M。在实际使用中对浏览网页没有大的影响，还是比较流畅的。QQ和GB的内存占用与在沙盘外运行也没有大的变化。

得分：6分


AKLT反键盘记录及截屏测试



评论：BZ的防键盘记录还是比较出色的，只有第四项和第七项测试失败，截屏测试全部通过。

得分：8分

APT高级进程终止测试



评论：BZ完美通过。

得分：10分


程序生存能力测试

BZ与其他沙盘允许沙盘外程序结束沙盘进程不同，它不允许沙盘外程序结束BZ的服务进程clntsvc.exe，我用APT试图终止但是失败了



不得已只有用wsyscheck结束了它

现在来看看BZ还能不能起保护作用

在图上可以看到，原来在BZ中的程序现在已经不能在沙盘中运行了，也就是说BZ已经不再起任何保护作用了。



评论：BZ的自我保护做的还可以，如果不是驱动级工具如兵刃一类是不能结束它的关键进程的，但是一旦服务进程被终止保护也将失效，和DW即使所有进程都被结束也能保护相比要稍逊一筹。

得分：7分

[ 本帖最后由 baerzake 于 2008-3-3 02:11 编辑 ]

geswall

空载时资源占用





开启GB和QQ后资源占用




评论：GS的资源占用在沙盘中属于中等水平，空载时为内存5M，虚拟内存为4M左右。运行GB和QQ后上升为7M和6M左右。

得分：7.5


AKLT反键盘记录及截屏测试



评论：GS表现非常出色，只有最后一项截屏测试没有通过。

得分：9.5

APT高级进程终止测试



评论：GS完美通过测试。

得分：10

程序生存能力测试

先在GW中打开APT，然后结束GW的所有进程，看APT是否还受到GW的限制。





评论：测试可以发现即使结束了GS的所有进程，APT还是不能终止沙盘外进程。

得分：10

[ 本帖最后由 baerzake 于 2008-3-3 02:12 编辑 ]

测试结果：defensewall   39分
                  sandboxie     30分
                  bufferzone    31分
                  geswall         37分

个人使用建议：DW不管从资源占用还是防御强度上看都是值得推荐的一款沙盘。
                        
                         SBIE易用性和资源占用都非常出色，但是防泄露比较差，建议使用时配合一个防泄露比较好的HIPS  或防火墙。
                        
                         BZ在资源占用和生存强度上相对比较差，但是它有别的沙盘没有的快照功能（见HIPS区置顶教程）和华丽的界面 ，喜欢漂亮和内存比较宽裕的用户可以考虑使用。

                         GW各方面都比较出色，基本没有软肋。和DW同属于最优秀的沙盘。推荐使用。

[ 本帖最后由 baerzake 于 2008-3-3 02:12 编辑 ]

AD时间：如对沙盘有任何问题请到HIPS区查询，HIPS区欢迎所有卡饭光临

之前一直想火鸟大人复制几个主题过来的！
谢谢火鸟！

来赚两个外快
过两天再写个测评

火鸟的每一个测评我都认真看过了
他的测评总能把难懂的技术问题用简单的语言所表达出来，对于我这种小白帮助很大
希望火鸟大大再接再厉，做出更多更好的测评

谢谢啊，确实学习了