Board logo

标题: 对微点的测评 [打印本页]
作者: qq200878     时间: 2008-2-4 15:07    标题: 对微点的测评

笔者曾使用测试过十余款HIPS软件,通过与身边同样对HIPS感兴趣的朋友交流,最终选择了9款具有代表性的,使用率相对较高的产品进行测试,其中国外6款,国内3款,具体见下表:
Safe’n’Sec Personal(SNS)
System Safety Monitor(SSM)
CA Host-Based Intrusion Prevention System(CA HIPS
ProSecurity
Ghost Security Suit(GSS)
Winpooch
中网S3主机安全系统
微点主动防御软件
EQSecure

    所有测试软件均下载自官方网站。
测试范围
    由于本次测试定位在深度测试,本人希望能将所有10款HIPS软件的方方面面尽可能详细地展示出来,因此同时从HIPS四大核心功能(应用程序控制AD、文件保护FD、注册表保护RD、网络访问控制ND)、自身安全强度、易用性以及实际使用环境等角度制定了测试计划,其测试对象如下:
安装及运行类
安装速度及容易度、磁盘容量需求及内存需求
运行效率
产品是否易于使用
系统稳定性

应用程序控制类 AD
    应用程序控制功能,也就是我们通常描述HIPS软件时所提到的AD(Application Defend)功能,是HIPS软件最重要也是最基本的功能。在Windows系统上,应用程序的行为是造成Windows系统威胁的根本原因。我们的计算机感染病毒、被植入木马等问题的核心都是应用程序被执行且产生了恶意行为。在病毒、木马、流氓软件已经没有明显界限的今天,黑客们越来越重视对应用程序行为的研究,它们使用诸如进程隐藏、Rootkit、注入、进程伪装等手段“保护”恶意软件的行为不会被用户发现,进而偷偷地进行破坏,弹出窗口或带出敏感数据,这些问题是目前Windows系统上所面临的主要问题。
    应用程序控制功能需要对应用程序可能对操作系统带来危害的主要行为进行控制,使用户在使用HIPS后可以及时发现这些行为并及时阻止。高级些的HIPS还需要对应用程序的执行进行控制,对可执行文件的完整性进行校验。
已知程序运行控制
未知程序运行控制
已更改程序运行控制
自启动程序控制
创建子进程控制
打开进程控制
DLL注入控制
打开网络连接控制
OLE对象控制

文件控制类 FD
    文件控制功能就是通常所说的FD(File Defend)功能。应用程序以文件方式存储在硬盘上,恶意程序可以通过以下两种方式获得执行权限:第一种是写入到“开始”等拥有特殊功能的文件夹,或在磁盘根目录生成autorun.ini文件执行,第二种是重写某些特殊文件,如iexplorer.exe执行。恶意程序也可以将自身写入Windows或system32等特殊目录以逃避检查。
    写文件往往是恶意程序感染才作系统的第一步,因此HIPS需要对操作系统的文件读写进行控制。这种控制包括两个方面:
    首先是对未知应用程序试图进行文件读写操作的行为进行控制。通过这类控制可以控制恶意程序直接在操作系统中释放恶意文件,很多黑客程序在开始工作时都会释放出一个恶意文件,如“熊猫烧香”会释放spoclsv.exe,“灰鸽子”会释放hacker.com.ini。
    其次是对关键路径进行保护。未知程序向Windows、Windows\system32、Documents and Settings等目录写文件都是非常危险的动作。当使用IE上网时,恶意网站会通过一段脚本造成IE缓冲区溢出,随后向指定路径写文件,这时在HIPS看来写文件的进程是IE,而IE是具有写文件权限的进程。因此在这种情况下需要对关键路径提供保护,禁止任何进程写关键路径。
    优秀的HIPS软件应同时具备以上两种控制手段,仅完成一种是不完备的,一个没有任何文件控制(FD)功能的HIPS产品是存在很大漏洞的。
注册表控制类 RD
    注册表控制类通常被成为HIPS的RD(Registry Defend)功能。注册表是应用程序运行的重要入口,在Windows系统中预留了类似于Run、RunOnce等特殊注册表项,用以在操作系统启动时自动运行相应的应用程序,此外注册表还决定了应用程序的引导方式,如作为驱动引导、作为服务引导还是作为一般应用程序引导,引导顺序也可以指定。
    黑客程序往往会利用某些特殊的注册表项,使得自身可以不需人为干预而自动运行,高级的黑客程序还可以将自身注册为操作系统驱动或服务,以逃避防病毒软件查杀。
    类似于文件保护功能,HIPS需要对操作系统的注册表读写进行控制,这种控制包括两个方面:
    首先是未知应用程序读写注册表的行为,HIPS软件应该可以及时进行控制,木马通常会在运行后将自身写入自动运行键以开启后门。
    其次是对关键注册表项进行保护,防止恶意软件通过正常应用程序以授权权限写关键注册表项。
    优秀的HIPS软件最好能同时具备以上两种控制手段,仅完成一种是不完备的,一个没有任何注册表控制(RD)功能的HIPS产品是存在很大漏洞的。
网络控制类 ND
    作为HIPS产品的功能描述,网络控制ND(Network Defend)在国内并没有被过多提及,而实际上ND功能是HIPS软件最重要的功能之一。
    HIPS软件需要对网络行为进行控制,不仅需要完成主机、端口过滤,也需要对试图访问网络的应用程序进行控制,国外的HIPS软件多数都有网络控制功能。我们可以通过以下几个方面评价HIPS软件的网络控制功能:
进方向连接控制
出方向连接控制
状态检测

自身安全性类
    无论个HIPS软件功能设计多么强大,如果它不能很好的保护自己,确保用户所配置的安全策略全部生效,那么终归也仅仅是个摆设。如果一个恶意代码能够关闭、禁用或破坏HIPS,那么结果就是主机没有受到任何保护。设计精良的HIPS软件必须能对自身的资源进行保护,包括配置文件、关键进程等。
规则保护
防止进程终止

附加工具类
    优秀的HIPS软件还会提供类似于进程管理、系统诊断类工具,使用户可以通过这些工具发现和定位系统中存在的问题,附加工具的多少,效果如何,都在一定程度上决定了HIPS软件的可用性。
实际环境挑战
    为了更加真实地模拟HIPS的实际使用环境,笔者除了进行上述功能测试外,还进行了渗透性测试、病毒及流氓软件样本测试、恶意网站测试三类实际环境测试,这些实际测试综合考察了一个HIPS产品各个方面的功能,从更加客观的角度描述了HIPS产品在实际防御黑客攻击时所能起到的作用。
    专用工具渗透性测试
    渗透测试是一种无害测试,测试程序通常由安全专家或独立的安全评测机构编写,这些测试程序试图故意跳过主机安全工具的检查。这种测试的理念是:“如果这些工具采用的技术能够通过您计算机上的安全防护,那么黑客也一样可以利用这些技术”。
    渗透工具本身并不具有任何破坏力,他们只是为了让您能清楚地知道自己所安装的主机安全工具能够提供哪些功能,这些工具的安全防护是否彻底,安全模型是否有效。在本次测试中,本人精选了8个渗透性测试工具,它们基本涵盖了目前流行的攻击手段,如下表:
Leaktest

    LeakTest会尝试伪装自己并通过本地计算机的80端口(HTTP)访问grc.com网站,通过这个工具可以测试HIPS是否可以对产生出方向流量的应用程序及其访问网络的行为进行控制。
Tooleaky

    Tooleaky工具试图通过进程间访问调用IE并访问grc.com网站。这个工具可以测试HIPS是否具有进程间访问控制功能。通过一个隐藏窗口调用IE访问一个已经在程序内预先设置好的地址,HIPS会认为这是一个合法访问。
Firehole

    在通常使用情况下,IE总是被默认设置为具有至少80端口的访问权限,因此恶意代码总是会希望借助IE浏览器获取访问网络的权限,为此他们会采用改名、进程间调用等方式,但是这些方式往往容易被发现。最近流行的方式为挂接系统钩子,firehole就是采用这种技术。
    Firehole在执行时会从自身释放出一个firedll的dll文件,这个dll文件具有钩子功能,可以操作IE带出数据,filehole通过这个钩子访问指定地址的80端口。
Copycat

    Copycat是一个进程注入型工具,它可以在不产生新线程的条件下直接将自身注入IE浏览器,进而借助浏览器泄漏数据。 Copycat在执行时会使用一个已经运行的IE程序,注入成功并泄漏后会在C盘根目录下生成一个名为exploited.txt的文本文件。
Pcflankleaktest

    Plflankleaktest通过了对象链接与嵌入(OLE)技术完成对IE的控制,操作IE行为并泄漏数据。OLE是一种Windows系统特有的技术,它允许将一个程序嵌入到另一个程序中,使得嵌入程序拥有与被嵌入程序相同的权限。通过测试可以得出,嵌入后进程将只有被嵌入进程一个,这使得其难于被发现和检查。
Wallbreaker

    Wallbreaker同样是一个进程间调用的工具,不过它比Tooleaky更复杂。Wallbreaker提供了一个测试工具包,它用了一系列混合的方式来做进程间调用,包括通过隐藏窗口方式和命令行方式,同时它还可以控制自己的父进程explorer调用IE。
Jumper

    Jumper会释放一个jumperleaktest_dll的dll文件,然后修改注册表,使得IE在下次启动时调用上述dll,当dll加载后会按照dll中写入的URL地址泄漏信息。这种方式经常被流氓软件使用,造成修改首页和弹出窗口等问题。
Pcaudit

    pcaudit在执行时会从自身释放出一个名为cole32s的dll文件,这个dll文件具有钩子功能,可以操作IE带出数据,cole32s通过这个钩子访问指定地址的80端口。
    病毒及流氓软件样本测试
    在本次测试中,笔者还使用了真正的病毒和流氓软件样本、恶意网站进行测试,这种测试将更具实战意义。
    病毒样本:熊猫烧香
    流氓软件样本:CNNIC上网助手测试产品总评价表
[项目名称 产品名称
SNS SSM CA HIPS ProSecurity GSS Winpooch 中网S3  微点
安装及运行类
安装速度、容易度 √ √ √ √ ○ √ √ √ √
磁盘及内存需求 √ √ √ √ √ √ √ × √
系统资源占用 √ √ ○ ○ √ √ √ ○ √
是否易于使用 √ × √ ○ √ × √ √ ○
系统稳定性 √ √ √ ○ ○ √ √ ○ √
使用手册,在线帮助 √ ○ ○ √ ○ × √ √ ○
应用程序控制类 AD
已知程序运行控制 √ √ √ √ √ × √ × √
未知程序运行控制 × √ √ √ √ × √ × √
已更改程序运行控制 √ √ √ √ √ × √ × √
自启动程序控制 ○ ○ ○ ○ ○ ○ ○ × ○
创建子进程控制 √ √ √ × √ × √ × √
打开进程控制 × × √ × × × √ × ×
DLL注入控制 √ √ √ √ √ × √ √ √
打开网络连接控制 √ √ √ √ √ × √ √ ×
OLE对象控制 × ○ √ × ○ × √ × ×
文件控制类 FD
文件保护控制 ○ × ○ √ × ○ ○ × ○
注册表控制类 RD
注册表保护控制 ○ ○ √ √ √ ○ ○ × √
网络控制类 ND
进方向连接控制 √ × √ × √ × √ ○ ×
出方向连接控制 √ × √ × √ × √ ○ ×
状态检测 √ × √ × √ × √ ○ ×
自身安全类
规则保护 √ √ × √ × × √ √ √
防止进程终止 √ √ × × ○ ○ × × √
附加工具类
附加工具是否足够 一般 不错 不错 少 少 一般 不错 不错 少
渗透性测试
Leaktest √ √ √ √ √ × √ √ ×
Tooleaky √ √ √ √ √ × √ × √
Firehole ○ √ √ √ √ × √ × √
Copycat ○ √ √ √ √ × √ ○ √
PCFlank × × √ × × × √ × ×
WallBreaker × √ √ × √ × √ × √
Jumper √ √ √ √ √ √ √ × √
pcaudit √ √ √ √ √ √ √ × √
病毒、流氓软件、恶意网站测试
熊猫烧香 ○ √ √ √ √ × √ ○ √
CNNIC上网助手 √ √ √ √ √ √ √ × √
总评
评价级别 ★★★★ ★★★ ★★★★☆ ★★ ★★★ ★ ★★★★ ★ ★★★



[ Last edited by qq200878 on 2008-2-5 at 10:08 ]
作者: 共享     时间: 2008-2-4 15:28
哑口无言
作者: jobcreep     时间: 2008-2-4 15:44
由于对行效果不好,所以没有看懂,建议楼主做成图表形式
作者: fanyv     时间: 2008-2-4 21:08


  Quote:
Originally posted by jobcreep at 2008-2-4 15:44:
由于对行效果不好,所以没有看懂,建议楼主做成图表形式

赞同
作者: qq200878     时间: 2008-2-5 10:09

测试报告
作者: jobcreep     时间: 2008-2-5 12:34
微点不是hips啊
作者: tustin     时间: 2008-2-5 18:01


  Quote:
Originally posted by jobcreep at 2008-2-5 12:34:
微点不是hips啊

就是,根本没有可比性
作者: qq5201314     时间: 2008-2-5 22:47
无语了,评测者技术虽强,却对微点一点都不了解。熊猫烧香和cnnic微点竟然打叉。且微点和HIPS所面向的用户完全不同;使用HIPS所带来的大量报警是一般人无法忍受也无法使用的;且微系统会不稳定吗?从来没蓝过屏和系统无帮重启。还有如果微点开放些自定义规则结果会完全不同。



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn