久久中文视频-久久中文网-久久中文亚洲国产-久久中文字幕久久久久-亚洲狠狠成人综合网-亚洲狠狠婷婷综合久久久久

曙海教育集團論壇 → 軟硬件測試專題 → 軟件測試 → 主流HIPS軟件深度測試, 申請加精

下一主題 >> << 上一主題

共有7475人關注過本帖樹形打印主題：主流HIPS軟件深度測試, 申請加精

美女呀，離線，留言給我吧！

wangxinxin

小大 1樓 個性首頁 | 博客 | 信息 | 搜索 | 郵箱 | 主頁 | UC

等級：青蜂俠帖子：1393 積分：14038 威望：0 精華：0 注冊：2010-11-12 11:08:23

主流HIPS軟件深度測試, 申請加精 發帖心情

發帖心情

Post By：2010-12-15 13:53:50

以下內容含腳本,或可能導致頁面不正常的代碼
HIPS是英文“Host Intrusion Prevent System”的縮寫，我們通常翻譯為“主機入侵防御<span class="t_tag" onclick="tagshow(event)" href="tag.php?name=%CF%B5%CD%B3">系統</span>”。隨著<span class="t_tag" onclick="tagshow(event)" href="tag.php?name=%CD%F8%C2%E7">網絡</span>的不斷普及，信息的傳播速度越來越快，<span class="t_tag" onclick="tagshow(event)" href="tag.php?name=%C8%ED%BC%FE">軟件</span>系統也越來越復雜，隨之而來的是主機安全問題日益嚴峻，我們一旦接入互聯網就會面臨<span class="t_tag" onclick="tagshow(event)" href="tag.php?name=%BA%DA%BF%CD">黑客</span>的掃描、網頁惡意代碼、病毒、間諜軟件、木馬、流氓軟件等各種威脅。為了<span class="t_tag" onclick="tagshow(event)" href="tag.php?name=%BD%E2%BE%F6">解決</span>這些問題，安全廠家先后研發出了個人防火墻、防病毒等安全產品，但是在2006年，這些產品受到了前所未有的挑戰：首先，傳統的個人防火墻不再有效。傳統的個人防火墻，如天網個人防火墻等，可以對經過本機的網絡數據流量進行控制，做到不允許外部計算機掃描本機，同時本機只有指定的應用程序可以外出訪問網絡，高級些的防火墻還可以對外出訪問的目標地址、端口和協議進行過濾。但是現在網絡威脅已經遠遠不是端機的主要威脅，黑客們更習慣在你訪問某個網站時通過瀏覽器悄悄地<span class="t_tag" onclick="tagshow(event)" href="tag.php?name=%CF%C2%D4%D8">下載</span>一個惡意軟件，然后想辦法讓它運行，進而盜走敏感信息，或者彈出廣告窗口。在這種趨勢下，僅簡單對網絡訪問進行控制而不對應用程序行為進行控制的傳統個人防火墻將難以應對。其次，基于特征碼掃描<span class="t_tag" onclick="tagshow(event)" href="tag.php?name=%BC%BC%CA%F5">技術</span>的防病毒產品面臨巨大挑戰。2007年在<span class="t_tag" onclick="tagshow(event)" href="tag.php?name=%C3%C0%B9%FA">美國</span>舊金山舉行的RSA Conference大會上，專家紛紛表示，“越來越復雜的惡意軟件不斷繁衍，傳統的、以簽名（特征碼）為基礎的安全軟件對于病毒和蠕蟲的阻擋能力正受到越來越多的質疑。”“僅2007年一年就會新出現至少20萬種病毒及變種，簽名技術正在網絡黑客的攻擊下搖搖欲墜。同時，反病毒軟件公司的病毒庫都平均落后于惡意軟件兩個月。”在國內，熊貓燒香病毒的肆虐也說明了這樣一個問題，病毒已經和系統漏洞、流氓軟件等進行了捆綁，變種更新和傳播的速度遠超想象，在沒有新的特征庫更新前防病毒軟件對未知病毒束手無策。由于上述種種原因，安全廠家開始尋找新的解決方案，以主動防御為思想的主機入侵防御系統日漸成熟，在今天，可能只有HIPS才是能解決端機上復雜安全問題的希望。 HIPS軟件以進程為核心，可以對進程所產生的行為，如運行、訪問網絡、訪問注冊表、訪問<span class="t_tag" onclick="tagshow(event)" href="tag.php?name=%CE%C4%BC%FE">文件</span>、注冊<span class="t_tag" onclick="tagshow(event)" href="tag.php?name=%C7%FD%B6%AF">驅動</span>、進程注入、組件調用等進行監控，并且可以向你發送行為報告，如果你阻止了某個異常行為，那么它將無法執行此行為。同時，HIPS還可以通過類似的監控手段對文件、注冊表、網絡等資源進行保護，防止未授權進程對其讀寫或掃描。舉個例子，當你在<span class="t_tag" onclick="tagshow(event)" href="tag.php?name=%C9%CF%CD%F8">上網</span>的時候不小心下載了一個惡意軟件，而這個惡意軟件在試圖進行執行、操作注冊表獲得下次啟動入口、訪問網絡試圖帶出數據時，HIPS軟件會根據您的策略彈出對話框詢問或直接阻止這些行為，使得系統免受威脅。由于HIPS這種可以針對行為進行控制的特性，使得HIPS可以防御未知惡意軟件，你所要做的僅僅是判斷未知應用程序的行為是否正常，在發現異常時及時阻止。用一句大家都很熟悉的話來說：“病毒變種天天出新，使得殺軟可能跟不上病毒的腳步，而HIPS能解決這些問題。HIPS是以后系統安全發展的一種趨勢，只要你有足夠的專業水平，你可以只用HIPS而不需殺毒軟件。” 本測試所涉及的HIPS是指運行在Windows 2000/xp/2003下的主機入侵防御系統類軟件。 <font style="FONT-SIZE: 18px"><strong>為什么要進行本次測試</strong></font> HIPS在信息安全市場上是個新概念，在2006年無疑是主機安全領域最大的明星。HIPS軟件在國外已經逐步進入規范化發展的軌道，國人所熟知的SSM、SNS都是這個領域的先驅。隨著一些國際大公司相繼推出HIPS產品，我們已經看到了未來主機安全產品一體化、主動安全產品替代傳統被動安全產品這一發展趨勢，HIPS的出現意味著變革已經悄然到來，這對飽受惡意軟件折磨的你來講將是一場精彩的盛宴。反觀國內HIPS市場，我們的信息安全廠商似乎慢了一步。三大防病毒軟件提供商：瑞星、金山和江民截至目前尚未推出任何此類概念產品，有些廠商提出的主動防御概念也與此大相徑庭。中網、微點、EQ恐怕是目前國內在搜索引擎上能找到的僅有3家HIPS產品提供商，它們提供的軟件在功能上也存在商榷。筆者是HIPS軟件的熱衷用戶，對國內外的幾家產品均進行過安裝和測試，特別是在測試過程中發現在目前的HIPS產品中良莠不齊，有些產品功能強大，有些產品安全性好，有些產品使用方便。因此，筆者將近半年來的測試工作整理成本報告，希望能對正在選擇HIPS軟件的朋友提供一些幫助，愿國內HIPS用戶群越來越大，國產HIPS軟件越來越強。 <font style="FONT-SIZE: 18px"><strong>測試產品的選擇</strong></font> <strong><font size="4"> </font></strong>筆者曾使用測試過十余款HIPS軟件，通過與身邊同樣對HIPS感興趣的朋友交流，最終選擇了9款具有代表性的，使用率相對較高的產品進行測試，其<span class="t_tag" onclick="tagshow(event)" href="tag.php?name=%D6%D0%B9%FA">中國</span>外6款，國內3款，具體見下表： <ul> <li>Safe’n’Sec Personal（SNS） <li>System Safety Monitor（SSM） <li>CA Host-Based Intrusion Prevention System（CA HIPS <li>ProSecurity <li>Ghost Security Suit（GSS） <li>Winpooch <li>中網S3主機安全系統 <li>微點主動防御軟件 <li>EQSecure</li></ul> 所有測試軟件均下載自官方網站。 <font style="FONT-SIZE: 18px"><strong>測試范圍</strong></font> <strong><font size="4"> </font></strong> 由于本次測試定位在深度測試，本人希望能將所有10款HIPS軟件的方方面面盡可能詳細地展示出來，因此同時從HIPS四大核心功能（應用程序控制AD、文件保護FD、注冊表保護RD、網絡訪問控制ND）、自身安全強度、易用性以及實際使用環境等角度制定了測試計劃，其測試對象如下： <font style="FONT-SIZE: 16px"><strong>安裝及運行類</strong></font> <ul> <li>安裝速度及容易度、磁盤容量需求及內存需求 <li>運行效率 <li>產品是否易于使用 <li>系統穩定性</li></ul><strong><font style="FONT-SIZE: 16px">應用程序控制類</font> <font style="FONT-SIZE: 16px">AD</font></strong> 應用程序控制功能，也就是我們通常描述HIPS軟件時所提到的AD（Application Defend）功能，是HIPS軟件最重要也是最基本的功能。在Windows系統上，應用程序的行為是造成Windows系統威脅的根本原因。我們的計算機感染病毒、被植入木馬等問題的核心都是應用程序被執行且產生了惡意行為。在病毒、木馬、流氓軟件已經沒有明顯界限的今天，黑客們越來越重視對應用程序行為的研究，它們使用諸如進程隱藏、Rootkit、注入、進程偽裝等手段“保護”惡意軟件的行為不會被用戶發現，進而偷偷地進行破壞，彈出窗口或帶出敏感數據，這些問題是目前Windows系統上所面臨的主要問題。應用程序控制功能需要對應用程序可能對操作系統帶來危害的主要行為進行控制，使用戶在使用HIPS后可以及時發現這些行為并及時阻止。高級些的HIPS還需要對應用程序的執行進行控制，對可執行文件的完整性進行校驗。 <ul> <li>已知程序運行控制 <li>未知程序運行控制 <li>已更改程序運行控制 <li>自啟動程序控制 <li>創建子進程控制 <li>打開進程控制 <li>DLL注入控制 <li>打開網絡連接控制 <li>OLE對象控制</li></ul><font style="FONT-SIZE: 16px"><strong>文件控制類 FD</strong></font> 文件控制功能就是通常所說的FD（File Defend）功能。應用程序以文件方式存儲在<span class="t_tag" onclick="tagshow(event)" href="tag.php?name=%D3%B2%C5%CC">硬盤</span>上，惡意程序可以通過以下兩種方式獲得執行權限：第一種是寫入到“開始”等擁有特殊功能的文件夾，或在磁盤根目錄生成autorun.ini文件執行，第二種是重寫某些特殊文件，如iexplorer.exe執行。惡意程序也可以將自身寫入Windows或system32等特殊目錄以逃避檢查。寫文件往往是惡意程序感染才作系統的第一步，因此HIPS需要對操作系統的文件讀寫進行控制。這種控制包括兩個方面：首先是對未知應用程序試圖進行文件讀寫操作的行為進行控制。通過這類控制可以控制惡意程序直接在操作系統中釋放惡意文件，很多黑客程序在開始工作時都會釋放出一個惡意文件，如“熊貓燒香”會釋放spoclsv.exe，“灰鴿子”會釋放hacker.com.ini。其次是對關鍵路徑進行保護。未知程序向Windows、Windows\system32、Documents and Settings等目錄寫文件都是非常危險的動作。當使用IE上網時，惡意網站會通過一段腳本造成IE緩沖區溢出，隨后向指定路徑寫文件，這時在HIPS看來寫文件的進程是IE，而IE是具有寫文件權限的進程。因此在這種情況下需要對關鍵路徑提供保護，禁止任何進程寫關鍵路徑。優秀的HIPS軟件應同時具備以上兩種控制手段，僅完成一種是不完備的，一個沒有任何文件控制（FD）功能的HIPS產品是存在很大漏洞的。 <font style="FONT-SIZE: 16px"><strong>注冊表控制類 RD</strong></font> <strong><font size="3"> </font></strong> 注冊表控制類通常被成為HIPS的RD（Registry Defend）功能。注冊表是應用程序運行的重要入口，在Windows系統中預留了類似于Run、RunOnce等特殊注冊表項，用以在操作系統啟動時自動運行相應的應用程序，此外注冊表還決定了應用程序的引導方式，如作為驅動引導、作為服務引導還是作為一般應用程序引導，引導順序也可以指定。黑客程序往往會利用某些特殊的注冊表項，使得自身可以不需人為干預而自動運行，高級的黑客程序還可以將自身注冊為操作系統驅動或服務，以逃避防病毒軟件查殺。類似于文件保護功能，HIPS需要對操作系統的注冊表讀寫進行控制，這種控制包括兩個方面：首先是未知應用程序讀寫注冊表的行為，HIPS軟件應該可以及時進行控制，木馬通常會在運行后將自身寫入自動運行鍵以開啟后門。其次是對關鍵注冊表項進行保護，防止惡意軟件通過正常應用程序以授權權限寫關鍵注冊表項。優秀的HIPS軟件最好能同時具備以上兩種控制手段，僅完成一種是不完備的，一個沒有任何注冊表控制（RD）功能的HIPS產品是存在很大漏洞的。 <font style="FONT-SIZE: 16px"><strong>網絡控制類 ND</strong></font> <strong><font size="3"> </font></strong> 作為HIPS產品的功能描述，網絡控制ND（Network Defend）在國內并沒有被過多提及，而實際上ND功能是HIPS軟件最重要的功能之一。 HIPS軟件需要對網絡行為進行控制，不僅需要完成主機、端口過濾，也需要對試圖訪問網絡的應用程序進行控制，國外的HIPS軟件多數都有網絡控制功能。我們可以通過以下幾個方面評價HIPS軟件的網絡控制功能： <ul> <li>進方向連接控制 <li>出方向連接控制 <li>狀態檢測</li></ul><font style="FONT-SIZE: 16px"><strong>自身安全性類</strong></font> <strong><font size="3"> </font></strong> 無論個HIPS軟件功能設計多么強大，如果它不能很好的保護自己，確保用戶所配置的安全策略全部生效，那么終歸也僅僅是個擺設。如果一個惡意代碼能夠關閉、禁用或破壞HIPS，那么結果就是主機沒有受到任何保護。設計精良的HIPS軟件必須能對自身的資源進行保護，包括配置文件、關鍵進程等。 <ul> <li>規則保護 <li>防止進程終止</li></ul><font style="FONT-SIZE: 16px"><strong>附加<span class="t_tag" onclick="tagshow(event)" href="tag.php?name=%B9%A4%BE%DF">工具</span>類</strong></font> <strong><font size="3"> </font></strong> 優秀的HIPS軟件還會提供類似于進程管理、系統診斷類工具，使用戶可以通過這些工具發現和定位系統中存在的問題，附加工具的多少，效果如何，都在一定程度上決定了HIPS軟件的可用性。 <font style="FONT-SIZE: 16px"><strong>實際環境挑戰</strong></font> 為了更加真實地模擬HIPS的實際使用環境，筆者除了進行上述功能測試外，還進行了滲透性測試、病毒及流氓軟件樣本測試、惡意網站測試三類實際環境測試，這些實際測試綜合考察了一個HIPS產品各個方面的功能，從更加客觀的角度描述了HIPS產品在實際防御黑客攻擊時所能起到的作用。 <strong>專用工具滲透性測試</strong> 滲透測試是一種無害測試，測試程序通常由安全專家或獨立的安全評測機構編寫，這些測試程序試圖故意跳過主機安全工具的檢查。這種測試的理念是：“如果這些工具采用的技術能夠通過您計算機上的安全防護，那么黑客也一樣可以利用這些技術”。滲透工具本身并不具有任何破壞力，他們只是為了讓您能清楚地知道自己所安裝的主機安全工具能夠提供哪些功能，這些工具的安全防護是否徹底，安全模型是否有效。在本次測試中，本人精選了8個滲透性測試工具，它們基本涵蓋了目前流行的攻擊手段，如下表： <ul> <li>Leaktest</li></ul> LeakTest會嘗試偽裝自己并通過本地計算機的80端口（HTTP）訪問grc.com網站，通過這個工具可以測試HIPS是否可以對產生出方向流量的應用程序及其訪問網絡的行為進行控制。 <ul> <li>Tooleaky</li></ul> Tooleaky工具試圖通過進程間訪問調用IE并訪問grc.com網站。這個工具可以測試HIPS是否具有進程間訪問控制功能。通過一個隱藏窗口調用IE訪問一個已經在程序內預先<span class="t_tag" onclick="tagshow(event)" href="tag.php?name=%C9%E8%D6%C3">設置</span>好的地址，HIPS會認為這是一個合法訪問。 <ul> <li>Firehole</li></ul> 在通常使用情況下，IE總是被默認設置為具有至少80端口的訪問權限，因此惡意代碼總是會希望借助IE瀏覽器獲取訪問網絡的權限，為此他們會采用改名、進程間調用等方式，但是這些方式往往容易被發現。最近流行的方式為掛接系統鉤子，firehole就是采用這種技術。 Firehole在執行時會從自身釋放出一個firedll的dll文件，這個dll文件具有鉤子功能，可以操作IE帶出數據，filehole通過這個鉤子訪問指定地址的80端口。 <ul> <li>Copycat</li></ul> Copycat是一個進程注入型工具，它可以在不產生新線程的條件下直接將自身注入IE瀏覽器，進而借助瀏覽器泄漏數據。 Copycat在執行時會使用一個已經運行的IE程序，注入成功并泄漏后會在C盤根目錄下生成一個名為exploited.txt的文本文件。 <ul> <li>Pcflankleaktest</li></ul> Plflankleaktest通過了對象鏈接與嵌入（OLE）技術完成對IE的控制，操作IE行為并泄漏數據。OLE是一種Windows系統特有的技術，它允許將一個程序嵌入到另一個程序中，使得嵌入程序擁有與被嵌入程序相同的權限。通過測試可以得出，嵌入后進程將只有被嵌入進程一個，這使得其難于被發現和檢查。 <ul> <li>Wallbreaker</li></ul> Wallbreaker同樣是一個進程間調用的工具，不過它比Tooleaky更復雜。Wallbreaker提供了一個測試工具包，它用了一系列混合的方式來做進程間調用，包括通過隱藏窗口方式和命令行方式，同時它還可以控制自己的父進程explorer調用IE。 <ul> <li>Jumper</li></ul> Jumper會釋放一個jumperleaktest_dll的dll文件，然后修改注冊表，使得IE在下次啟動時調用上述dll，當dll加載后會按照dll中寫入的URL地址泄漏信息。這種方式經常被流氓軟件使用，造成修改首頁和彈出窗口等問題。 <ul> <li>Pcaudit</li></ul> pcaudit在執行時會從自身釋放出一個名為cole32s的dll文件，這個dll文件具有鉤子功能，可以操作IE帶出數據，cole32s通過這個鉤子訪問指定地址的80端口。 <strong> 病毒及流氓軟件樣本測試</strong> <strong> </strong> 在本次測試中，筆者還使用了真正的病毒和流氓軟件樣本、惡意網站進行測試，這種測試將更具實戰意義。病毒樣本：熊貓燒香流氓軟件樣本：CNNIC上網助手
說明：上面顯示的是代碼內容。您可以先檢查過代碼沒問題，或修改之后再運行.

支持(0) 中立(0) 反對(0) 單帖管理 | 引用 | 回復

回到頂部

下一主題 >> << 上一主題

返回版面帖子列表主流HIPS軟件深度測試, 申請加精

RSS2.0　　Xhtml無圖版　　 Xslt無圖版 Copyright © 2000 - 2009 曙海教育集團 Powered By 曙海教育集團 Version 2.2
頁面執行時間 0.03125 秒, 3 次數據查詢

主站蜘蛛池模板：一本久道综合久久精品 | 成人免费视频社区 | 99国产成人高清在线视频 | 国产一级毛片夜一级毛片 | 亚洲成a人片在线观看中 | 日韩一区二区在线观看 | 99久久免费精品国产免费 | 免费国产不卡午夜福在线观看 | 一级特黄牲大片免费视频 | 7799国产精品久久久久99 | 在线播放第一页 | 九九在线免费观看视频 | 久久久国产成人精品 | 一区二区三区不卡视频 | 久草视频在线免费看 | 欧美极品大肚孕妇孕交 | 黄页美女| 在线观看日本亚洲一区 | 九九热久久免费视频 | 波多野结衣一区在线观看 | 欧美精品在线一区 | 成人欧美视频在线观看 | 国产成人无精品久久久 | 亚洲欧美18v中文字幕高清 | 日本韩国一区二区三区 | 韩国一级淫片视频免费播放 | 日本高清色www | 免费国产成人高清在线观看视频 | 青草青99久久99九九99九九九 | 久久精品视频99精品视频150 | 亚洲一区二区精品视频 | 免费高清不卡毛片在线看 | 国产成人精品永久免费视频 | 美女超爽久久久久网站 | 99久久国产免费中文无字幕 | 久99久精品视频免费观看v | 成年大片免费视频播放二级 | 日韩在线视频线视频免费网站 | 国产精品爱久久久久久久小 | 在线视频日韩 | 扒开双腿猛进入喷水免费视频 |