用SSM OUTPOST JETICO GSS的进来看！

firboy

主题：CPIL Leaktest Suite 简介及测试  
作者：ubuntu

版权声明：本文采用创作共用协议 在遵守创作共用协议，非商用，非盈利以及保留作者和版权声明的前提下，您可以任意转载本文。将本文用于商业用途请先联系作者，以获得授权。作者不对读者使用本文中软件造成的损失承担任何责任。
本文作者保留对违反本声明的行为进行法律诉讼的权利。

CPIL Leaktest Suite 简介及测试

CPIL Leaktest Suite 是Comodo CPIL Leaktest的升级版，包括三个测试。下面是测试所用程序及说明。

主界面 ：



测试1：



测试2：



测试3：



由于时间有限，我选择了在Leaktest中有最好表现的三款防火墙，分别是Outpost、Jetico、Comodo，并且选择了两款具有基本监控网络访问能力的HIPS：GSS和SSM。测试中，HIPS和防火墙不同时运行，只开启一个 。
测试所用的系统：
Windows XP SP2 英文版、SSM 2.2.0.591 Beta、Outpost v4.0.964.6926
Windows XP SP2 英文版、SSM 2.2.0.591 Beta、Jetico v2.0.0.10 Beta
Windows XP SP2 简体中文版，GSS v1.110 Beta、Comodo v2.3.6.81

在防火墙及HIPS软件设置允许默认浏览器(Opera)及IE，可以正常访问网络。其他采用默认设置。

测试结果分为Block和Network Access：

当防火墙或HIPS对测试软件的行为进行拦截时，判定为Block Pass，否则为Block fail。
当防火墙或HIPS对测试软件的网络行为有准确的提示时，判定为Network access Pass，否则为Network Access fail。
我要提醒一下，在一个真实的环境中，检测到DLL inject或 access Phsical Memory，都不足以判定一个程序将来会有未经授权访问网络的行为，或者直接判定这个程序是有问题的，很多正常的程序也使用了DLL inject。只有把DLL inject和network access相结合才有说服力。


Outpost v4.0.964.6926 ：

Test1：









如图，提示不涉及网络行为，所以是Block pass/Network fail

Test2：


检测不到任何行为，fail/fail

Test3:


检测不到任何行为，fail/fail


Jetico v2.0.0.10 Beta :

Test1：

检测到direct memory access 属于process attack talbe，不涉及网络行为，所以是Block pass/network fail

Test2：
检测不到任何行为，fail/fail

Test3:
检测不到任何行为，fail/fail


GSS v1.110 Beta :

Test1：

检测到物理内存访问及其他行为，一步一步允许后，不能提示网络访问，所以是Block/fail

Test2：
检测不到任何行为，fail/fail

Test3:
检测不到任何行为，fail/fail


[size]SSM 2.2.0.591 Beta：

Test1：

检测到物理内存访问，一步一步允许后，不能提示网络访问，所以是Block/fail

Test2：

检测到DLL inject，允许后，不能提示网络访问，Block/fail

Test3:

检测到DLL inject，允许后，不能提示网络访问，Block/fail

不难发现，假如你使用GSS + Jetico 或者 GSS + Outpost的组合，假如你输入的是你的QQ账号和密码，你的网游账号和密码，你的网银账号和密码，至少在这个世界上存在两种方法，将这些信息发给第三者，而你的HIPS和防火墙将毫无反应。这到底是不是危言耸听，你可以自行用以上软件测试。
假如HIPS换成SSM，只要你允许了一次DLL inject， 其结果也无分别，根本检测不到网络行为。

Comodo v2.3.6.81
我的设置比默认还宽松，Alert Frequence Level 是Very Low。其他都是默认了，Component Monitor依然是学习模式。Comodo不带HIPS，我不给HIPS Block评分。






Test1：


如图 Network access PASS

Test2：



如图 Network access PASS

Test3:



如图 Network access PASS

事实就是这样，不带HIPS的Comodo通过了测试，确实不带，你可以用Comodo和一款HIPS同时测试就明白了。 正如 CPIL Leaktest Suite 介绍里所说的，在测试程序写成之日，没有其他知名防火墙可以通过Test2和Test3，我还要补充的是能成功Block三个测试的HIPS恐怕也寥寥无几，能通过网络访问测试的恐怕没有。



Comodo为什么会有如此出众的表现？
就在于传统的带HIPS的防火墙，通过Leaktest靠的是拦截测试软件的获得系统特权的底层行为，从而防止信任程序被劫持。但是这种防火墙的最大缺点，就是HIPS一旦被突破，测试软件获得系统特权，受信任程序被劫持后，由于没有进一步的手段，导致测试崩盘。
Comodo的不同在于，它虽然没有HIPS，但是它具有更加强大和智能的程序行为分析。测试软件即使使用了从未出现过的方法获得系统特权，劫持受信任程序，只要造成这次网络行为的异常动作是行为分析里已有的类型，还是会被阻止。上面我虽然在Component Monitor使用学习模式，但是由于此次网络访问的行为异常，注入的DLL依然被揪了出来。
于是，我想起了PCFlankLeaktest的软件作者犯了一个逻辑错误，他认为世界上只有HIPS类的防火墙，一旦你允许了OLE Automation的行为，那么测试就会失败。实际上这世界上还有一个基于行为分析的防火墙Comodo，即使允许了OLE Auto，依然能通过测试，尽管PCFlankLeaktest产生了测试失败的错误提示。

如果有人说这是自己公司的软件测试自己产品之类的话，那么我可以提供一个第三方的测试。这是一个非常有技术含量的测试，作者用了7篇文章仔细介绍了如何用Shellcode和RConnect去突破防火墙，这种技术完全可以用于恶意软件 借用一个缩写是ITW的。虽然是法文版，但我们只要看图就好了，里面有很多带HIPS的防火墙，通过的还是这个没有HIPS的Comodo。虽然没测试OP4，因为当时没发布，但我敢肯定，由于这种方法是新出现的，OP4使用HIPS来Anti-Leak 其结果不会比其他那几种带HIPS的防火墙强。
http://www.secuobs.com/news/16092006-wishmaster_6.shtml


我写此文之时，也许某个HIPS + Firewall的组合已被突破，而没有任何提示。
我写此文之时，Comodo的程序过滤无疑是最强的，Leaktest的无冕之王。
我写此文之时，无疑未来的基于应用程序过滤的防火墙一定是HIPS + Application Behavior Analysis(应用程序行为分析)，开发中的Comodo 3.0正在这样做。

firboy

不难发现，假如你使用GSS + Jetico 或者 GSS + Outpost的组合，假如你输入的是你的QQ账号和密码，你的网游账号和密码，你的网银账号和密码，至少在这个世界上存在两种方法，将这些信息发给第三者，而你的HIPS和防火墙将毫无反应。这到底是不是危言耸听，你可以自行用以上软件测试。
假如HIPS换成SSM，只要你允许了一次DLL inject， 其结果也无分别，根本检测不到网络行为。
这段话让我很郁闷。。。。防永远慢于攻。

yzt1004

辉辉莫郁闷。我注意到SSM在拦截DLL注入时提醒了用户挂钩类型未知，请“Check for updates or ……”实质上还是有一定效果的。。。

星之梦

这是ubuntu君10月份发的贴了，这帖证明了Comodo在Leaktest方面的优异表现，但并不是说Outpost、Jetico、GSS、SSM等不好，所以并不需要郁闷，因为在其他方面还是有许多其他软件有的优点COMODO没有，例如：Jetico可以防御ARP攻击，HIPS的3D比单单用COMODO强多了等等。

不过COMODO确实是匹黑马啊，Leaktest之王，而且永久免费，3.0还将集成HIPS。

hzq277284

Comodo要是加进hips反而叫人不知何去何从，该继续使用或者是放弃强大的SSM？

binkko

有没有评测过comodo的资源占用
cpu、内存会占用多少
我的机子一般啊

wuchan

LZ强人。。。全e文的。

pourkidman

不错的帖子，但是还是应该科学对待

lm2121

谢谢分享，楼主辛苦了。

wayaya

谢谢，学习了