<dfn id="is4kg"></dfn>
<ul id="is4kg"></ul>
<abbr id="is4kg"></abbr>
<ul id="is4kg"></ul>
<bdo id="is4kg"></bdo>
[Full]
完整版
[Rss]
訂閱
[Xml]
無圖版
[Xhtml]
無圖版
Rss
& SiteMap
曙海教育集團論壇
http://www.bjzhda.cn
曙海教育集團論壇
◎
曙海教育集團論壇
→
軟件測試
→
主流HIPS軟件深度測試, 申請加精
共1 條記錄, 每頁顯示 10 條, 頁簽:
[1]
[瀏覽完整版]
標題:主流HIPS軟件深度測試, 申請加精
1樓
wangxinxin
發(fā)表于:2010-12-15 13:53:50
以下內(nèi)容含腳本,或可能導致頁面不正常的代碼
HIPS是英文“Host Intrusion Prevent System”的縮寫,我們通常翻譯為“主機入侵防御<span class="t_tag" onclick="tagshow(event)" href="tag.php?name=%CF%B5%CD%B3">系統(tǒng)</span>”。 隨著<span class="t_tag" onclick="tagshow(event)" href="tag.php?name=%CD%F8%C2%E7">網(wǎng)絡(luò)</span>的不斷普及,信息的傳播速度越來越快,<span class="t_tag" onclick="tagshow(event)" href="tag.php?name=%C8%ED%BC%FE">軟件</span>系統(tǒng)也越來越復雜,隨之而來的是主機安全問題日益嚴峻,我們一旦接入互聯(lián)網(wǎng)就會面臨<span class="t_tag" onclick="tagshow(event)" href="tag.php?name=%BA%DA%BF%CD">黑客</span>的掃描、網(wǎng)頁惡意代碼、病毒、間諜軟件、木馬、流氓軟件等各種威脅。為了<span class="t_tag" onclick="tagshow(event)" href="tag.php?name=%BD%E2%BE%F6">解決</span>這些問題,安全廠家先后研發(fā)出了個人防火墻、防病毒等安全產(chǎn)品,但是在2006年,這些產(chǎn)品受到了前所未有的挑戰(zhàn): 首先,傳統(tǒng)的個人防火墻不再有效。傳統(tǒng)的個人防火墻,如天網(wǎng)個人防火墻等,可以對經(jīng)過本機的網(wǎng)絡(luò)數(shù)據(jù)流量進行控制,做到不允許外部計算機掃描本機,同時本機只有指定的應用程序可以外出訪問網(wǎng)絡(luò),高級些的防火墻還可以對外出訪問的目標地址、端口和協(xié)議進行過濾。但是現(xiàn)在網(wǎng)絡(luò)威脅已經(jīng)遠遠不是端機的主要威脅,黑客們更習慣在你訪問某個網(wǎng)站時通過瀏覽器悄悄地<span class="t_tag" onclick="tagshow(event)" href="tag.php?name=%CF%C2%D4%D8">下載</span>一個惡意軟件,然后想辦法讓它運行,進而盜走敏感信息,或者彈出廣告窗口。在這種趨勢下,僅簡單對網(wǎng)絡(luò)訪問進行控制而不對應用程序行為進行控制的傳統(tǒng)個人防火墻將難以應對。 其次,基于特征碼掃描<span class="t_tag" onclick="tagshow(event)" href="tag.php?name=%BC%BC%CA%F5">技術(shù)</span>的防病毒產(chǎn)品面臨巨大挑戰(zhàn)。2007年在<span class="t_tag" onclick="tagshow(event)" href="tag.php?name=%C3%C0%B9%FA">美國</span>舊金山舉行的RSA Conference大會上,專家紛紛表示,“越來越復雜的惡意軟件不斷繁衍,傳統(tǒng)的、以簽名(特征碼)為基礎(chǔ)的安全軟件對于病毒和蠕蟲的阻擋能力正受到越來越多的質(zhì)疑。”“僅2007年一年就會新出現(xiàn)至少20萬種病毒及變種,簽名技術(shù)正在網(wǎng)絡(luò)黑客的攻擊下?lián)u搖欲墜。同時,反病毒軟件公司的病毒庫都平均落后于惡意軟件兩個月。”在國內(nèi),熊貓燒香病毒的肆虐也說明了這樣一個問題,病毒已經(jīng)和系統(tǒng)漏洞、流氓軟件等進行了捆綁,變種更新和傳播的速度遠超想象,在沒有新的特征庫更新前防病毒軟件對未知病毒束手無策。 由于上述種種原因,安全廠家開始尋找新的解決方案,以主動防御為思想的主機入侵防御系統(tǒng)日漸成熟,在今天,可能只有HIPS才是能解決端機上復雜安全問題的希望。 HIPS軟件以進程為核心,可以對進程所產(chǎn)生的行為,如運行、訪問網(wǎng)絡(luò)、訪問注冊表、訪問<span class="t_tag" onclick="tagshow(event)" href="tag.php?name=%CE%C4%BC%FE">文件</span>、注冊<span class="t_tag" onclick="tagshow(event)" href="tag.php?name=%C7%FD%B6%AF">驅(qū)動</span>、進程注入、組件調(diào)用等進行監(jiān)控,并且可以向你發(fā)送行為報告,如果你阻止了某個異常行為,那么它將無法執(zhí)行此行為。同時,HIPS還可以通過類似的監(jiān)控手段對文件、注冊表、網(wǎng)絡(luò)等資源進行保護,防止未授權(quán)進程對其讀寫或掃描。舉個例子,當你在<span class="t_tag" onclick="tagshow(event)" href="tag.php?name=%C9%CF%CD%F8">上網(wǎng)</span>的時候不小心下載了一個惡意軟件,而這個惡意軟件在試圖進行執(zhí)行、操作注冊表獲得下次啟動入口、訪問網(wǎng)絡(luò)試圖帶出數(shù)據(jù)時,HIPS軟件會根據(jù)您的策略彈出對話框詢問或直接阻止這些行為,使得系統(tǒng)免受威脅。由于HIPS這種可以針對行為進行控制的特性,使得HIPS可以防御未知惡意軟件,你所要做的僅僅是判斷未知應用程序的行為是否正常,在發(fā)現(xiàn)異常時及時阻止。 用一句大家都很熟悉的話來說:“病毒變種天天出新,使得殺軟可能跟不上病毒的腳步,而HIPS能解決這些問題。HIPS是以后系統(tǒng)安全發(fā)展的一種趨勢,只要你有足夠的專業(yè)水平,你可以只用HIPS而不需殺毒軟件。” 本測試所涉及的HIPS是指運行在Windows 2000/xp/2003下的主機入侵防御系統(tǒng)類軟件。 <font style="FONT-SIZE: 18px"><strong>為什么要進行本次測試</strong></font> HIPS在信息安全市場上是個新概念,在2006年無疑是主機安全領(lǐng)域最大的明星。HIPS軟件在國外已經(jīng)逐步進入規(guī)范化發(fā)展的軌道,國人所熟知的SSM、SNS都是這個領(lǐng)域的先驅(qū)。隨著一些國際大公司相繼推出HIPS產(chǎn)品,我們已經(jīng)看到了未來主機安全產(chǎn)品一體化、主動安全產(chǎn)品替代傳統(tǒng)被動安全產(chǎn)品這一發(fā)展趨勢,HIPS的出現(xiàn)意味著變革已經(jīng)悄然到來,這對飽受惡意軟件折磨的你來講將是一場精彩的盛宴。 反觀國內(nèi)HIPS市場,我們的信息安全廠商似乎慢了一步。三大防病毒軟件提供商:瑞星、金山和江民截至目前尚未推出任何此類概念產(chǎn)品,有些廠商提出的主動防御概念也與此大相徑庭。中網(wǎng)、微點、EQ恐怕是目前國內(nèi)在搜索引擎上能找到的僅有3家HIPS產(chǎn)品提供商,它們提供的軟件在功能上也存在商榷。 筆者是HIPS軟件的熱衷用戶,對國內(nèi)外的幾家產(chǎn)品均進行過安裝和測試,特別是在測試過程中發(fā)現(xiàn)在目前的HIPS產(chǎn)品中良莠不齊,有些產(chǎn)品功能強大,有些產(chǎn)品安全性好,有些產(chǎn)品使用方便。因此,筆者將近半年來的測試工作整理成本報告,希望能對正在選擇HIPS軟件的朋友提供一些幫助,愿國內(nèi)HIPS用戶群越來越大,國產(chǎn)HIPS軟件越來越強。 <font style="FONT-SIZE: 18px"><strong>測試產(chǎn)品的選擇</strong></font> <strong><font size="4"> </font></strong>筆者曾使用測試過十余款HIPS軟件,通過與身邊同樣對HIPS感興趣的朋友交流,最終選擇了9款具有代表性的,使用率相對較高的產(chǎn)品進行測試,其<span class="t_tag" onclick="tagshow(event)" href="tag.php?name=%D6%D0%B9%FA">中國</span>外6款,國內(nèi)3款,具體見下表: <ul> <li>Safe’n’Sec Personal(SNS) <li>System Safety Monitor(SSM) <li>CA Host-Based Intrusion Prevention System(CA HIPS <li>ProSecurity <li>Ghost Security Suit(GSS) <li>Winpooch <li>中網(wǎng)S3主機安全系統(tǒng) <li>微點主動防御軟件 <li>EQSecure</li></ul> 所有測試軟件均下載自官方網(wǎng)站。 <font style="FONT-SIZE: 18px"><strong>測試范圍</strong></font> <strong><font size="4"> </font></strong> 由于本次測試定位在深度測試,本人希望能將所有10款HIPS軟件的方方面面盡可能詳細地展示出來,因此同時從HIPS四大核心功能(應用程序控制AD、文件保護FD、注冊表保護RD、網(wǎng)絡(luò)訪問控制ND)、自身安全強度、易用性以及實際使用環(huán)境等角度制定了測試計劃,其測試對象如下: <font style="FONT-SIZE: 16px"><strong>安裝及運行類</strong></font> <ul> <li>安裝速度及容易度、磁盤容量需求及內(nèi)存需求 <li>運行效率 <li>產(chǎn)品是否易于使用 <li>系統(tǒng)穩(wěn)定性</li></ul><strong><font style="FONT-SIZE: 16px">應用程序控制類</font> <font style="FONT-SIZE: 16px">AD</font></strong> 應用程序控制功能,也就是我們通常描述HIPS軟件時所提到的AD(Application Defend)功能,是HIPS軟件最重要也是最基本的功能。在Windows系統(tǒng)上,應用程序的行為是造成Windows系統(tǒng)威脅的根本原因。我們的計算機感染病毒、被植入木馬等問題的核心都是應用程序被執(zhí)行且產(chǎn)生了惡意行為。在病毒、木馬、流氓軟件已經(jīng)沒有明顯界限的今天,黑客們越來越重視對應用程序行為的研究,它們使用諸如進程隱藏、Rootkit、注入、進程偽裝等手段“保護”惡意軟件的行為不會被用戶發(fā)現(xiàn),進而偷偷地進行破壞,彈出窗口或帶出敏感數(shù)據(jù),這些問題是目前Windows系統(tǒng)上所面臨的主要問題。 應用程序控制功能需要對應用程序可能對操作系統(tǒng)帶來危害的主要行為進行控制,使用戶在使用HIPS后可以及時發(fā)現(xiàn)這些行為并及時阻止。高級些的HIPS還需要對應用程序的執(zhí)行進行控制,對可執(zhí)行文件的完整性進行校驗。 <ul> <li>已知程序運行控制 <li>未知程序運行控制 <li>已更改程序運行控制 <li>自啟動程序控制 <li>創(chuàng)建子進程控制 <li>打開進程控制 <li>DLL注入控制 <li>打開網(wǎng)絡(luò)連接控制 <li>OLE對象控制</li></ul><font style="FONT-SIZE: 16px"><strong>文件控制類 FD</strong></font> 文件控制功能就是通常所說的FD(File Defend)功能。應用程序以文件方式存儲在<span class="t_tag" onclick="tagshow(event)" href="tag.php?name=%D3%B2%C5%CC">硬盤</span>上,惡意程序可以通過以下兩種方式獲得執(zhí)行權(quán)限:第一種是寫入到“開始”等擁有特殊功能的文件夾,或在磁盤根目錄生成autorun.ini文件執(zhí)行,第二種是重寫某些特殊文件,如iexplorer.exe執(zhí)行。惡意程序也可以將自身寫入Windows或system32等特殊目錄以逃避檢查。 寫文件往往是惡意程序感染才作系統(tǒng)的第一步,因此HIPS需要對操作系統(tǒng)的文件讀寫進行控制。這種控制包括兩個方面: 首先是對未知應用程序試圖進行文件讀寫操作的行為進行控制。通過這類控制可以控制惡意程序直接在操作系統(tǒng)中釋放惡意文件,很多黑客程序在開始工作時都會釋放出一個惡意文件,如“熊貓燒香”會釋放spoclsv.exe,“灰鴿子”會釋放hacker.com.ini。 其次是對關(guān)鍵路徑進行保護。未知程序向Windows、Windows\system32、Documents and Settings等目錄寫文件都是非常危險的動作。當使用IE上網(wǎng)時,惡意網(wǎng)站會通過一段腳本造成IE緩沖區(qū)溢出,隨后向指定路徑寫文件,這時在HIPS看來寫文件的進程是IE,而IE是具有寫文件權(quán)限的進程。因此在這種情況下需要對關(guān)鍵路徑提供保護,禁止任何進程寫關(guān)鍵路徑。 優(yōu)秀的HIPS軟件應同時具備以上兩種控制手段,僅完成一種是不完備的,一個沒有任何文件控制(FD)功能的HIPS產(chǎn)品是存在很大漏洞的。 <font style="FONT-SIZE: 16px"><strong>注冊表控制類 RD</strong></font> <strong><font size="3"> </font></strong> 注冊表控制類通常被成為HIPS的RD(Registry Defend)功能。注冊表是應用程序運行的重要入口,在Windows系統(tǒng)中預留了類似于Run、RunOnce等特殊注冊表項,用以在操作系統(tǒng)啟動時自動運行相應的應用程序,此外注冊表還決定了應用程序的引導方式,如作為驅(qū)動引導、作為服務引導還是作為一般應用程序引導,引導順序也可以指定。 黑客程序往往會利用某些特殊的注冊表項,使得自身可以不需人為干預而自動運行,高級的黑客程序還可以將自身注冊為操作系統(tǒng)驅(qū)動或服務,以逃避防病毒軟件查殺。 類似于文件保護功能,HIPS需要對操作系統(tǒng)的注冊表讀寫進行控制,這種控制包括兩個方面: 首先是未知應用程序讀寫注冊表的行為,HIPS軟件應該可以及時進行控制,木馬通常會在運行后將自身寫入自動運行鍵以開啟后門。 其次是對關(guān)鍵注冊表項進行保護,防止惡意軟件通過正常應用程序以授權(quán)權(quán)限寫關(guān)鍵注冊表項。 優(yōu)秀的HIPS軟件最好能同時具備以上兩種控制手段,僅完成一種是不完備的,一個沒有任何注冊表控制(RD)功能的HIPS產(chǎn)品是存在很大漏洞的。 <font style="FONT-SIZE: 16px"><strong>網(wǎng)絡(luò)控制類 ND</strong></font> <strong><font size="3"> </font></strong> 作為HIPS產(chǎn)品的功能描述,網(wǎng)絡(luò)控制ND(Network Defend)在國內(nèi)并沒有被過多提及,而實際上ND功能是HIPS軟件最重要的功能之一。 HIPS軟件需要對網(wǎng)絡(luò)行為進行控制,不僅需要完成主機、端口過濾,也需要對試圖訪問網(wǎng)絡(luò)的應用程序進行控制,國外的HIPS軟件多數(shù)都有網(wǎng)絡(luò)控制功能。我們可以通過以下幾個方面評價HIPS軟件的網(wǎng)絡(luò)控制功能: <ul> <li>進方向連接控制 <li>出方向連接控制 <li>狀態(tài)檢測</li></ul><font style="FONT-SIZE: 16px"><strong>自身安全性類</strong></font> <strong><font size="3"> </font></strong> 無論個HIPS軟件功能設(shè)計多么強大,如果它不能很好的保護自己,確保用戶所配置的安全策略全部生效,那么終歸也僅僅是個擺設(shè)。如果一個惡意代碼能夠關(guān)閉、禁用或破壞HIPS,那么結(jié)果就是主機沒有受到任何保護。設(shè)計精良的HIPS軟件必須能對自身的資源進行保護,包括配置文件、關(guān)鍵進程等。 <ul> <li>規(guī)則保護 <li>防止進程終止</li></ul><font style="FONT-SIZE: 16px"><strong>附加<span class="t_tag" onclick="tagshow(event)" href="tag.php?name=%B9%A4%BE%DF">工具</span>類</strong></font> <strong><font size="3"> </font></strong> 優(yōu)秀的HIPS軟件還會提供類似于進程管理、系統(tǒng)診斷類工具,使用戶可以通過這些工具發(fā)現(xiàn)和定位系統(tǒng)中存在的問題,附加工具的多少,效果如何,都在一定程度上決定了HIPS軟件的可用性。 <font style="FONT-SIZE: 16px"><strong>實際環(huán)境挑戰(zhàn)</strong></font> 為了更加真實地模擬HIPS的實際使用環(huán)境,筆者除了進行上述功能測試外,還進行了滲透性測試、病毒及流氓軟件樣本測試、惡意網(wǎng)站測試三類實際環(huán)境測試,這些實際測試綜合考察了一個HIPS產(chǎn)品各個方面的功能,從更加客觀的角度描述了HIPS產(chǎn)品在實際防御黑客攻擊時所能起到的作用。 <strong>專用工具滲透性測試</strong> 滲透測試是一種無害測試,測試程序通常由安全專家或獨立的安全評測機構(gòu)編寫,這些測試程序試圖故意跳過主機安全工具的檢查。這種測試的理念是:“如果這些工具采用的技術(shù)能夠通過您計算機上的安全防護,那么黑客也一樣可以利用這些技術(shù)”。 滲透工具本身并不具有任何破壞力,他們只是為了讓您能清楚地知道自己所安裝的主機安全工具能夠提供哪些功能,這些工具的安全防護是否徹底,安全模型是否有效。在本次測試中,本人精選了8個滲透性測試工具,它們基本涵蓋了目前流行的攻擊手段,如下表: <ul> <li>Leaktest</li></ul> LeakTest會嘗試偽裝自己并通過本地計算機的80端口(HTTP)訪問grc.com網(wǎng)站,通過這個工具可以測試HIPS是否可以對產(chǎn)生出方向流量的應用程序及其訪問網(wǎng)絡(luò)的行為進行控制。 <ul> <li>Tooleaky</li></ul> Tooleaky工具試圖通過進程間訪問調(diào)用IE并訪問grc.com網(wǎng)站。這個工具可以測試HIPS是否具有進程間訪問控制功能。通過一個隱藏窗口調(diào)用IE訪問一個已經(jīng)在程序內(nèi)預先<span class="t_tag" onclick="tagshow(event)" href="tag.php?name=%C9%E8%D6%C3">設(shè)置</span>好的地址,HIPS會認為這是一個合法訪問。 <ul> <li>Firehole</li></ul> 在通常使用情況下,IE總是被默認設(shè)置為具有至少80端口的訪問權(quán)限,因此惡意代碼總是會希望借助IE瀏覽器獲取訪問網(wǎng)絡(luò)的權(quán)限,為此他們會采用改名、進程間調(diào)用等方式,但是這些方式往往容易被發(fā)現(xiàn)。最近流行的方式為掛接系統(tǒng)鉤子,firehole就是采用這種技術(shù)。 Firehole在執(zhí)行時會從自身釋放出一個firedll的dll文件,這個dll文件具有鉤子功能,可以操作IE帶出數(shù)據(jù),filehole通過這個鉤子訪問指定地址的80端口。 <ul> <li>Copycat</li></ul> Copycat是一個進程注入型工具,它可以在不產(chǎn)生新線程的條件下直接將自身注入IE瀏覽器,進而借助瀏覽器泄漏數(shù)據(jù)。 Copycat在執(zhí)行時會使用一個已經(jīng)運行的IE程序,注入成功并泄漏后會在C盤根目錄下生成一個名為exploited.txt的文本文件。 <ul> <li>Pcflankleaktest</li></ul> Plflankleaktest通過了對象鏈接與嵌入(OLE)技術(shù)完成對IE的控制,操作IE行為并泄漏數(shù)據(jù)。OLE是一種Windows系統(tǒng)特有的技術(shù),它允許將一個程序嵌入到另一個程序中,使得嵌入程序擁有與被嵌入程序相同的權(quán)限。通過測試可以得出,嵌入后進程將只有被嵌入進程一個,這使得其難于被發(fā)現(xiàn)和檢查。 <ul> <li>Wallbreaker</li></ul> Wallbreaker同樣是一個進程間調(diào)用的工具,不過它比Tooleaky更復雜。Wallbreaker提供了一個測試工具包,它用了一系列混合的方式來做進程間調(diào)用,包括通過隱藏窗口方式和命令行方式,同時它還可以控制自己的父進程explorer調(diào)用IE。 <ul> <li>Jumper</li></ul> Jumper會釋放一個jumperleaktest_dll的dll文件,然后修改注冊表,使得IE在下次啟動時調(diào)用上述dll,當dll加載后會按照dll中寫入的URL地址泄漏信息。這種方式經(jīng)常被流氓軟件使用,造成修改首頁和彈出窗口等問題。 <ul> <li>Pcaudit</li></ul> pcaudit在執(zhí)行時會從自身釋放出一個名為cole32s的dll文件,這個dll文件具有鉤子功能,可以操作IE帶出數(shù)據(jù),cole32s通過這個鉤子訪問指定地址的80端口。 <strong> 病毒及流氓軟件樣本測試</strong> <strong> </strong> 在本次測試中,筆者還使用了真正的病毒和流氓軟件樣本、惡意網(wǎng)站進行測試,這種測試將更具實戰(zhàn)意義。 病毒樣本:熊貓燒香 流氓軟件樣本:CNNIC上網(wǎng)助手
說明:
上面顯示的是代碼內(nèi)容。您可以先檢查過代碼沒問題,或修改之后再運行.
共1 條記錄, 每頁顯示 10 條, 頁簽:
[1]
Copyright © 2000 - 2009
曙海
教育集團
Powered By
曙海教育集團
Version 2.2
Processed in .01465 s, 2 queries.
[Full]
完整版
[Rss]
訂閱
[Xml]
無圖版
[Xhtml]
無圖版
主站蜘蛛池模板:
中文字幕侵犯一色桃子视频
|
午夜宅男在线永久免费观看网
|
天堂网在线资源www最新版
|
亚洲av日韩精品久久久久久久
|
男女猛烈xx00免费视频试看
|
国产大片黄在线观看
|
99久久免费国产精精品
|
少妇BBB好爽
|
久久精品免费视频观看
|
欧美乱大交xxxxx免费
|
免费看黄视频app
|
四虎影院2019
|
国产国产精品人在线视
|
又粗又硬免费毛片
|
bt天堂网www天堂在线观看
|
护士强迫我闻她的臭丝袜脚
|
日韩亚洲欧美视频
|
亚洲精品免费观看
|
福利在线小视频
|
国产人澡人澡澡澡人碰视频
|
538视频在线观看
|
在线播放免费播放av片
|
中文字幕亚洲一区二区va在线
|
最近中文字幕免费4
|
亚洲高清中文字幕
|
精品久久久久久中文字幕一区
|
国产女人乱人伦精品一区二区
|
97久久精品人人做人人爽
|
天天操天天干天天摸
|
久久久www成人免费精品
|
日韩中文字幕视频在线观看
|
亚洲成a人片在线不卡一二三区
|
激情综合丝袜美女一区二区
|
四虎国产精品永久地址99
|
蜜桃视频无码区在线观看
|
国产精品R级最新在线观看
|
99这里只精品热在线获取
|
女人18片毛片60分钟
|
久久99国产精品久久99
|
日本免费网站观看
|
亚洲av永久无码精品网站
|