用Comodo Leak Tests測試HIPS(主機入侵防禦)能力

主機入侵防禦系統HIPS(Host Intrusion Prevent System)這個詞最近在資訊安全界是除了雲端之外另外一個非常火紅的技術。各家廠商都在強調自己的HIPS(入侵防禦系統)的能力很強大。

  • 什麼是HIPS(KaFan飞天提供):HIPS是一種能監控你的電腦中文件的運行和文件運用了其他的文件以及文件對註冊表的修改,並向你報告請求允許的的軟體。如果你選擇阻止,那麼該文件將無法執行或者更改。比如你雙擊了一個帶有病毒的檔案,HIPS軟體跳出來報告而你選擇了阻止,那麼病毒就不會被運行。引用一句話:」病毒天天變種天天出新,使得殺軟可能跟不上病毒的腳步,而HIPS能解決這些問題。」。 HIPS是以後系統安全發展的一種趨勢,只要你有足夠的專業水平,你可以只用HIPS而不需殺毒軟件。但是HIPS並不能稱為防火牆,最多只能叫做系統防火牆,它不能阻止網絡上其他電腦對你電腦的攻擊行為。

目前各家廠商導入雲端技術就是為了透過即時線上分析的方式快速的檢測可疑檔案,不過雲端技術也會引申出很多問題,包刮上傳速度、響應速度、伺服器負荷、斷開網路之後偵測率降低,而HIPS則可以彌補雲端只要斷開連線之後效率就會變差的問題(雖然目前有雲緩存的技術),HIPS會對未知病毒、可疑檔案的行為做分析,算是可以跑在病毒前面的一項技術,對岸也有廠商"东方为点"開發出幾乎完全不依賴病毒特徵的安全軟體,這就是HIPS無法被雲端徹底取代的重要原因之一(對岸現在似乎也有什麼雲端主防的技術..)。

說了這麼多,大家一定想知道自己目前正在使用或者有想要使用的安全防護軟體的HIPS能力,COMODO(國際知名免費安全防護軟體開發廠商)製作了一款模擬攻擊的軟體用來測試大家目前正在使用的安全防護軟體的能力。

————————————————————————————————-

首先請先下載Comodo Leak Tests(CLT)

  • 軟體名稱:Comodo Leak Tests
  • 軟體版本: 1.1.0.3
  • 軟體語言:英文
  • 軟體載點:《點我下載》

下載完畢之後,解壓縮得到一個CLT資料夾,接著請執行裡面的"clt.exe"。接著會看到一個程式介面跳出,接著請按下右下角的Test

http://public.blu.livefilestore.com/y1pnVoX-_1COQ8w_R8eo-NTfK1DPYeHr5dtwRSG2sIZ6tKdOdYo4Z9qcPvdwzNqXVO9PXMITZPU7SXy-Z4_j5FVYQ/01.png?psid=1

按下之後會開始分析,安全防護軟體可能會把CLT視為病毒、有惡意行為的軟體,請不用擔心按下確定即可(有些HIPS可以選擇阻擋行為 這樣分數會比較高 可是有些防護軟體按下阻擋的話 程式會直接通往隔離區大門..所以建議按下確定),

接著會有大約30秒左右的測試時間,等到完全跑完之後會跳出一個瀏覽器視窗出來顯示測試結果,左下角"Score 100/340″則會顯示分數(會依安全防護軟體不同分數也會有不同)。

http://public.blu.livefilestore.com/y1pRs9VceVwz8MvUJVvxQGM9MWbKJOOl5prADmGAbezqhS-Zec9ishp3gGriZ8QdXfOTiqMchFqEoglNKG6qvRfGQ/02.png?psid=1

COMODO Leak Tests測試項目(勿忘防毒提供):

Rootkit:Missing Driver Load、Load And Call Image、Driver Supersede、Change Driver Path

入侵:Runner、RawDisk、PhysicalMemory、FileDrop、DebugControl

注射:SetWinEventHook、SetWindowsHookEx、SetThreadContext、Services、ProcessInject、KnownDlls、DupHandles、CreateRemoteThread、APC dll injection、AdvancedProcessTermination

資訊傳送:ICMP Test、DNS Test

模擬:OLE automation、ExplorerAsParent、DDE、Coat、BITS

劫持(映像劫持):WinlogonNotify、Userinit、UIHost、SupersedeServiceDll、StartupPrograms、ChangeDebuggerPath、AppinitDlls、ActiveDesktop

————————————————————————————————-

結語:

這個軟體對電腦不會有傷害,不用擔心他會對電腦造成傷害..,至於最後的成績是否有參考價值請自己評估、判斷,建議如果用的習慣分數低也沒關係,畢竟安全防護軟體用的順手才是重點..(像銘的ESET Smart Security 3.0分數才30/340)。

最後還是那一句,測試參考參考就好,認真你就輸了

  • @@

    沒傷害是騙人的= =
    我用Kaspersky Internet Security 2011
    跑完測試後
    先是我的maxthon(瀏覽器)不能用
    我想說換成火狐在測試一次
    然後火狐也掛了
    現在頭大中…火狐重灌後還是不能用
    順帶一提
    分數是140/340
    大家沒事還是別玩比較好
    我也太傻…竟然會相信沒傷害
    應該用沙盤執行的…
    ——————————————————————–
    回覆『@@』:
    剛剛去躺了一下..
    ~~兩小時之後~~
    看到你的留言..呆掉…
    正準備先收文章再說..
    我們繼續看下一篇留言..

  • @@後續

    後來把整個火狐資料夾砍掉
    還有maxthon的資料夾整個砍掉
    然後重新安裝~就恢復了
    電腦還有沒有其他問題~這就不知道了
    ———————————————————————-
    回覆『@@後續』:
    問題描述顯現出症狀..
    看來真的得收了..
    不過..等等 後面似乎還有一堆密密麻麻的沒看..
    按奈住收文的衝動 繼續看完

  • @@再後續

    後來用卡巴的沙盒執行
    分數為230/340
    而瀏覽器不能執行的原因在於
    卡巴跳出警告視窗時
    請選擇全部執行
    限制跟封鎖都會造成瀏覽器被視為危險程式
    所以程式沒問題…是選擇錯誤的問題@@
    銘大寫的是對的~
    是我誤會了~抱歉!!
    ———————————————————————-
    回覆『@@再後續』:
    ..其實我也用卡巴跑過呢..我也是按全部阻擋… 倒是沒有出現這個問題呢…!?((圖其實是卡巴斯基2011(上上禮拜寫金鑰導入教學忘記砍掉)+對岸某個不有名但是啟發頗強的軟體
    因為他在執行過程中(要彈跳視窗出來),會觸犯到卡巴的HIPS…,卡巴斯基會詢問是否執行該行為(因為是模擬的 卡巴斯基會入戲).. 不過按阻擋之後基本上應該是程式無法使用 怎麼會是瀏覽器不能用呢..真是奇怪(因為是程式本身去調用瀏覽器…)

    最後,@@回覆有了戲劇性的變化.. << 純粹剛醒來無聊自娛一下(遭毆

  • @@

    實在是抱歉啊~
    因為一用完之後原本要留言講分數的
    結果…瀏覽器掛掉~只剩下IE…
    才會想都沒想就留言~XD(我是急性子…)
    附一下圖好了
    http://yfrog.com/5xpic1rgj
    ———————————————————————-
    回覆『@@』:
    其實可以選擇限制..
    下次要按封鎖的話記得看一下上面的字..
    卡巴斯基應用程式控制主要是檢測到"Maxthon.exe"
    而不是..原本的CLT.exe..
    下次可以仔細看一下..畢竟瀏覽器只是受到調用的程式,,
    這種狀況也常常發生在cmd.exe上面0.0..

  • 阿培

    F-Secure Internet Security 2011
    測試結果:
    http://maro123.myweb.hinet.net/clt%20log%20(07-55-38%20%2010.10.2010).html
    ———————————————————————-
    回覆『阿培』:
    FSIS:230/340
    怎麼感覺大家的成績都好棒..
    ESS 3.0 – 30/340(窘?

  • Syneart

    測試結果:
    http://dl.dropbox.com/u/10589591/None/clt%20log%20%2811-57-29%20%E4%B8%8B%E5%8D%88%2010.23.2010%29.html
    ———————————————————————-
    剛剛看了報告..我窘了…
    這…記憶中COMODO瘋狂模式 最高也才330…..
    怎麼…..

  • 阿培

    樓上是用啥防毒??居然全通過??
    ———————————————————————-
    回覆『阿培』:
    不清楚(擦汗)

  • SyneArt

    /COMODO Firewall/
    Product Version:5.0.162636.1135

    +
    /Avira AntiVir Premium/
    Product Version:10.0.0.603

    …不過只要COMODO Leak 測試時 .. COMODO 都按阻擋(手動). 應該都可以滿分..畢竟 COMODO Leak 跟 COMODO Firewall 都同公司… 不滿分會很冏吧XD
    ———————————————————————-
    回覆『SyneArt』:
    喔喔,,剛剛爬文的時候有看到了…
    http://img816.imageshack.us/img816/7379/comodotest.png
    ↑↑↑有網友的滿分XD
    不過Comodo+Avira Free應該就夠了..
    怎麼會配Avira AntiVir Premium呢..?(納悶)

  • SyneArt

    比較:
    http://img156.imageshack.us/img156/4853/becausewhy.png
    釣魚網站防護、惡意程式行為偵測防護、網頁防護、救援光碟工具、偷渡式下載防護、郵件防護、沒廣告、可以設定密碼 .. 等等的.. Avira Premium Security Suite
    的功能的話,我又嫌多而且也用不著 .. (備份還原功能、殭屍程式防護、垃圾郵件防護、防火牆功能、支援遊戲模式、家長監控功能)所以這一塊 我就用 Comodo 來防護,但沒用 Comodo 內建的防毒,畢竟還是要分散風險一下 .. Avira AntiVir 會比較穩. 這是我目前使用的結論.
    ———————————————————————-
    回覆『SyneArt』:
    其實Comodo如果規則寫的好…可以完全把防毒丟掉了…
    Comodo 的 HIPS 基本上只要有新的動作創建就會提示…
    Comodo的防毒的確還有待加強…..不採用是沒關係@@(通常網友也都不用Comodo的AntiVirus)
    不過用Avira AntiVir Premium會有功能疊到,像是Avira AntiVir Premium也有主動防禦…,基本上用Avira免費版就可以了…不需要用到Avira AntiVir Premium..
    不過如果現在組合用的順暢就好… 不需要更換@@

  • SyneArt

    最主要
    Avira AntiVir Premium
    可以設定的東西比 Avira免費版 多,
    而這些設定都是我需要的
    而且
    我需要Premium 的"密碼功能"
    在病毒碼更新上
    免費版 “更新常失敗" (請不要說用代理

    還有小紅傘的防火牆偏弱 冏…

    XD 總之,現在用的順就好@@
    ——————————————————————–
    回覆『SyneArt』:
    考量的挺全面的…不錯..
    雖然..密碼功能可以透由某個東西讓免費版本有密碼功能..
    不過更新速度跟更新時間,的確是Premium優於Free版…
    至於防火牆功能..具有使用過的網友都說..紅傘的牆還是不適合使用…(還不夠成熟..)
    這就是不少人喜歡紅豆組合(紅傘(Avira)+毛豆(Comodo))的原因
    兩個安全軟體的能力可以互補…

    提個外話你的Premium版KEY還剩下多久的時間?,如果剩下的時間小於180天的話..
    下次留言的時候,可以填一下電子郵件欄位.. 我Mail一個180Day的KEY給你-ˇ-
    P.s.如果你的也是最近才申請的就不用了XD

  • SyneArt

    你也義大利了嗎 XD

    http://img183.imageshack.us/img183/195/avpp.jpg
    ———————————————————————-
    回覆『SyneArt』:
    我還在斟酌要不要寫文章(懶…
    因為之前已經寫過一篇了:http://1cc.biz/3487.htm
    感覺也夠用了….. 90天一次 感覺比NOD32的30天一次寬裕許多..
    話說…P版不是已經有繁體中文版本了..怎麼還在English0.0..

  • SyneArt

    -.-…. 我都用English 版的 Comodo 也是 0.0
    ———————————————————————-
    回覆『SyneArt』:
    高手阿…

  • ㄚ銓

    我用comodo在一開始用選用sandbox後通通按拒絕……完勝。
    ——————————————————-
    回覆『ㄚ銓』:
    摁,Comodo的暴力模式(應該不叫這名子),可以完整防禦沒錯..
    這東西出來久了,參考作用應該只剩下新的HIPS軟體,
    不少廠商都可以在上面獲得挺高的成績…!!