测试几款国内外影子系统软件的防穿透能力

显示全部楼层 · 发表于 2009-10-6 14:41:23

本帖最后由 107 于 2010.8.17 18:46 编辑

文章出自天涯
针对影子/还原软件的“防穿透”能力，笔者做了一点对比测试。
　　文中推断不一定完全确切，但力求以实验结果说话，力求客观，有不同意见可以一起切磋。
　　
　　1、参与测试的影子系统/还原软件：
　　1)DeepFreeze-2008.3.11.0
　　2)还原精灵-6.1
　　3)PowerShadow2009
　　4)Returnil RVS-2008-2.0.0.5011
　　5)ShadowDefender-1.1.0.264
　　6)ShadowUser-10.50.0.125
　　7)FreezeMagic冰冻精灵-2.0.0.9，新出的，http://www.FreezeMagic.com/
　　
　　2、参与测试的穿透工具：
　　a)SectorEditor1.06.exe --- 作者 Julie.Lau --- 基于scsi指令
　　b)PassDiskProtect_C.exe --- 作者猪头三 --- 基于scsi指令
　　c)ReadSector.exe --- 作者魔刀王子 --- 基于out指令
　　d)硬盘保护卡克星 --- 作者汪登 --- 应该是基于out指令，没深入研究
　　
　　出于时间原因，笔者并没有找机器狗的样本来参加测试。
　　
　　3、测试环境：
　　vmware虚拟机，xpsp3操作系统，系统分区处于1)2)3)4)5)6)7)的保护状态
　　
　　4、测试方法：
　　A)用SectorEditor1.06.exe修改硬盘的0扇区(MBR)
　　B)用SectorEditor1.06.exe修改系统分区的0扇区
　　C)用PassDiskProtect_C.exe运行一遍 --- 程序行为是向MBR写入N个01值
　　D)用ReadSector.exe修改硬盘的0扇区(MBR)
　　E)用硬盘保护卡克星快速格式化整个硬盘 --- 程序行为是向MBR写入N个00值
　　
　　5、测试结果：
　　1)DeepFreeze-2008.3.11.0 : 全部穿透，得分0+0+0+0+0= 0，汗！
　　2)还原精灵-6.1 : 全部穿透，得分0+0+0+0+0= 0，可惜！
　　3)PowerShadow2009 : 全部穿透，得分0+0+0+0+0= 0，可惜！
　　4)Returnil RVS-2008-2.0.0.5011 : 得分0.7+0.0+0.7+0.7+0.7= 2.8
　　5)ShadowDefender-1.1.0.264 : 得分0.5+0.5+0.7+0.7+0.7= 3.1
　　6)ShadowUser-10.50.0.125 : 全部穿透，得分0+0+0+0+0= 0，可惜！
　　7)FreezeMagic冰冻精灵-2.0.0.9 : 可以顶住A)B)C)，得分1+1+1+0+0= 3
　　
　　6、简要分析：
　　* DeepFreeze/还原精灵/PowerShadow/ShadowUser似乎压根没想防这些，希望未来不断完善一下。
　　* RVS的0.7分是有原因的，因为笔者发现其内部采用的防御机制不够彻底，
　　似乎是定期轮巡或关机的时候回写了MBR。
　　具体的表现就是，当你穿它后，正常关闭机器，它可以“防”住；但是，当你穿它后立即关闭电源，
　　则RVS就挂了、防不住了。
　　* ShadowDefender的0.5分也是有原因的，因为A)B)穿透时，SD的策略是立即自动重启了，不够友好。
　　如果其内部用的是“白名单”机制，则分数应该更低；如果其内部用的是防scsi机制，
　　则会带来程序兼容性的潜在隐患。
　　 ShadowDefender的0.7分的原因和RVS的原因一样，不再赘述。
　　* 冰冻精灵是后起之秀，除了对out的防御未做轮巡回写保护外，其他都是不错的。
　　* 从上面的结果看，所有的软件都没有彻底防御out指令导致的穿透。
　　这也说明这些软件都还不是完全的虚拟化实现，需要有新的策略加进来才能不断提升防御能力。
　　
　　7、后记：
　　经过几十次的重启机器，终于完成了测试。
　　向vmware致敬！这才是最强大的虚拟化防穿透！没有它，我们是无论如何不能完成这个测试的。
　　不过，以上测试和评分仅仅针对于“防穿透”一个方面，所以，得分不高的也不能说明软件不好，
　　只是说在这方面有提高的空间，可以在未来使软件完善并提高到一个新的台阶。
　　软件的综合素质才是一个最值得衡量的指标。
　　欢迎大家一起讨论。

最后我要评价一下 :国产的影子系统五项测试全部得了个大鸭蛋~！偶彻底无语。。。。~！

显示全部楼层 · 发表于 2009-10-6 14:53:19

囧，连个图都么有

之前有人测狗无数，从没穿过

在么有确认是不是正版的 PowerShadow 之前，无视结果

显示全部楼层 · 发表于 2009-10-6 14:58:04

囧~我还是支持我的， RVS吧。。。。另外冰点还原悲剧了~囧囧囧

显示全部楼层 · 发表于 2009-10-6 15:00:56

已有人发过了http://bbs.kafan.cn/viewthread.php?tid=524266&highlight=

显示全部楼层 · 发表于 2009-10-6 15:13:29

谢谢测试，要是有图有样本就更好了

显示全部楼层 · 发表于 2009-10-6 16:01:41

想问个问题：沙盘能否防住机器狗？

显示全部楼层 · 发表于 2009-10-6 16:56:30

...
ps不是号称防穿能力超强的么。。。
97在就能说个道道了

显示全部楼层 · 发表于 2009-10-6 22:06:35

这样的测试并不可靠，只有文字介绍并没有图片为证，这样的评测完全没有任何意义的。

显示全部楼层 · 发表于 2009-10-6 23:04:24

非实机测试无视之

显示全部楼层 · 发表于 2009-10-7 00:54:17

3)PowerShadow2009
山寨软件，现在正版用户都是2008，拿来的2009山寨版。无视结果

[分享] 测试几款国内外影子系统软件的防穿透能力