.file、【手机】,.systmp&#47_珍藏百科
.file、【手机】,.systmp&#47
编辑: &&&来源:用户发布&&&发布时间:&&&查看次数:32
.file、【手机】,.systmp&#47
该问题暂无回答。
电脑数码相关
本文相关文章
- 关于我们 - 版权声明-
广告服务 - 友情链接 - 管理登录 -
Copyright &
All Rights Reserved
如有任何侵权、造谣信息请将网页地址和有法律效力的侵权造谣证明或判决书发往邮箱 12小时内删除。
苏ICP备号-1&您所在位置： &
&nbsp&&nbsp&nbsp&&nbsp
基于Linux的嵌入式操作系统设备驱动程序的设计与实现.pdf83页
本文档一共被下载：
次 ,您可免费全文在线阅读后下载本文档
文档加载中...广告还剩秒
需要金币：200 &&
你可能关注的文档：
··········
··········
基于Linux的嵌入式操作系统设备驱动程序的设计与实现
Linux由于其具有内核强大且稳定，易于扩展和裁减，效率高，丰富
的硬件支持等许多优点，在嵌入式系统中得到广泛的应用。
设备驱动程序即添加到操作系统中的一小块代码，其中包含有关硬件
设备的信息。有了此信息，计算机就可以与设备进行通信。驱动程序是硬
件厂商根据操作系统编写的配置文件，可以说没有驱动程序，计算机中的
硬件就无法工作。驱动程序扮演沟通的角色，把硬件的功能告诉电脑系统，
并且也将系统的指令传达给硬件，让它开始工作。
本文基于实验室的软硬件环境和研究成果，引出开发驱动程序的必要
性和紧迫性，同时针对数据采集编写网络驱动程序，配合了实际数据采集
系统的需求。主要工作如下：
1、针对当前形势，提出了升级S3C2410开发板系统软件的必要性，
进行了相应的升级选择：
1 BootLoader用U．Boot替代VIVI
2 用2．6Kemel替代2．4Kernel
3 Filesystem用BusyBox替代uCLinux
BusyBox的具体移植过程并就常见移植过程中的产生问题进行了分析和
3、Linux下驱动程序与内核是紧密相关的，所以首先阐述了作者对
Linux内核网络栈的理解。在此基础上，引出了“nux内核驱动程序的本
北京化T大学顸+
移植到S3C2410开发板上。
4、编写应用程序测试用例，针对网络驱动程序进行了接受、发送、
长数据传输、持续性传输等测试，验证网卡驱动程序的各项特性。
嵌入式Linux驱动程序是一个很有前景，富有挑战性的课题，还有许
正在加载中，请稍后...您所在位置： &
&nbsp&&nbsp&nbsp&&nbsp
基于OMAP5912的电力载波视频监控系统设计.pdf65页
本文档一共被下载：
次 ,您可免费全文在线阅读后下载本文档
文档加载中...广告还剩秒
需要金币：300 &&
你可能关注的文档：
··········
··········
1[111 IIII
IIIIl ＼1879794 独创性声明 本人声明，所呈交的论文是本人在导师指导下进行的研究工作及取得的研
究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其
他人已经发表或撰写过的研究成果，也不包含为获得武汉理工大学或其它教育
机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何
贡献均已在论文中作了明确的说明并表示了谢意。 期：塑!!：苎：!! 关于论文使用授权的说明 本人完全了解武汉理工大学有关保留、使用学位论文的规定，即学校有权
保留、送交论文的复印件，允许论文被查阅和借阅；学校可以公布论文的全部
或部分内容，可以采用影印、缩印或其他复制手段保存论文。 保密的论文在解密后应遵守此规定 签名：麦壑趣’导师签名：圣亟耋送日 期：!!：墨至! 摘要 目前视频监控正朝高清化、智能化和便捷化的方向发展，新的发展对传统 的视频监控系统提出了新的要求和挑战。'传统的闭路电视监控系统因其模拟信 号的单向流动以及信号在电缆中传输距离短等缺陷逐渐被数字监控系统取代。 目前流行的数字网络监控系统虽然很好地解决了视频监控中信号处理以及传输 的距离和速率等问题，但因为有线网络分布中的“最后一公里"问题，使得其 在终端布线安装成为一个弊端，特别是在那些已经完成的工程中再次布线问题 就尤为突出。无线网络的应用虽然很好地解决了网络终端布线的问题，但其信 号分布不均匀和信号盲点以及信号辐射等问题使得其应用范围有限。针对现状 本文将嵌入式双核技术与电力载波通信技术结合，设计了基于电力载波的视频 监控系统，该系统利用现有广泛分布的电力线网络进行
正在加载中，请稍后...查看: 28360|回复: 79
[图多杀猫]来，战个痛！4款半自动HIPS之间的对决
本帖最后由 kakenhi 于
17:54 编辑
测试目标：
行为拦截测试(响应个数，成功拦截个数，部分拦截个数)
智能度测试(安装、使用软件时弹窗个数)
标准定义：
行为拦截测试：
共10个样本(其行为在后面的文章中均有简单介绍)。在关闭软件的传统杀毒功能和云扫描功能(如果有的话)，保留其他所有功能的情况下，运行样本。如果HIPS有弹窗，均选择拒绝操作并结束进程。对每个样本，
<font color="#.HIPS完全没有反应，系统沦陷的，得0分。
<font color="#.HIPS给出了足以使用户警觉的提示，但未能作出任何实质性阻止的，得0.3分。
<font color="#.HIPS给出了提示，阻止病毒部分活动，减小了病毒危害，或对手动检查、清除有较大帮助的，得0.6分。
<font color="#.HIPS阻止了病毒大部分实质性操作，病毒不能再危害系统的，得0.9分。(成功防御)
<font color="#.HIPS阻止了病毒所有操作，病毒对系统无任何影响的，得1分。(完全防御)
<font color="#.如果我主观判断HIPS弹窗很难引导用户做出正确选择，所得分数减半(取小数点后第一位)。
对每种HIPS，统计其总得分，满分为10分。(HIPS均使用默认设置，默认规则。)
智能度测试：
依次安装下列软件——WPS Office 2012， DAEMON Tools Lite， 按键精灵9， 云端， 迅雷7， QQ， PPS影音， 暴风影音，驱动精灵，BufferZone。（共10个）在安装过程中，若HIPS有弹窗，选择允许并记住该操作。对每个软件，
<font color="#.不能正常安装或使用的，得0分。
<font color="#.能够正常使用的，根据安装和使用中弹窗总数来计算所得分数，无弹窗的1分，出现一个弹窗扣0.1分，扣到0分为止。
对每种HIPS，统计其总得分，满分为10分。
参测选手：
Mamutu.jpg (9.6 KB, 下载次数: 0)
16:09 上传
COMODO.jpg (8.65 KB, 下载次数: 3)
16:09 上传
COMODO Defense+
ThreatFire.jpg (7.3 KB, 下载次数: 3)
16:09 上传
ThreatFire
AVG.jpg (19.77 KB, 下载次数: 4)
16:09 上传
АVG Identify Protection
测试环境：
测试环境.jpg (44.45 KB, 下载次数: 0)
16:09 上传
VMWare虚拟机，安装Windows XP SP3原版，网络畅通。
测试过程(行为拦截)：
1.脚本防御盲区
Infector/SOLA2.0.exe
脚本代码并非可执行文件(.exe)，它们拥有.vbs .js .bat之类的后缀名。执行时，需要Windows自带的解释器。比起可执行程序，这类用脚本语言编写的病毒拥有很大的优势。执行它们的脚本解释器带有Microsoft公司签名，会迷惑一些HIPS。与可执行文件病毒相比，脚本病毒拥有独特的加密、变形方式，更容易骗过那些不懂脚本语言语法规则的杀毒软件。
SOLA2.0.exe是一个.bat类型的脚本病毒，用于解释执行它的程序是Windows自带的cmd.exe(命令提示符)，然而，在感染的计算机上看到的进程名却是svchost.exe。那是因为病毒复制了一份cmd.exe，重命名为svchost.exe。病毒新添加一个计划任务Tasks，使自己能够在每次开机时运行。
SOLA驻留方式.jpg (114.04 KB, 下载次数: 2)
16:12 上传
(SOLA的驻留方式)
SOLA的进程.jpg (149.73 KB, 下载次数: 1)
16:12 上传
(SOLA的进程)
成功防御标准：
运行病毒后，下次开机时，病毒进程svchost.exe(伪)没有启动。
战况播报：
Mamutu vs SOLA2.0.exe：半吊子.jpg (95.35 KB, 下载次数: 2)
16:11 上传
（Mamutu vs SOLA2.0.exe：半吊子）
Mamutu虽然弹窗报警，但却未能阻止病毒感染，得0.3分。
COMODO vs SOLA2.0.exe：完胜.jpg (88.15 KB, 下载次数: 2)
16:10 上传
(COMODO vs SOLA2.0.exe：完胜)
毛豆的表现让我很满意，通过启发式命令行分析，主进程被识别为SOLA_2.0_XXXXX.bat，而不是cmd.exe，这种识别方式对防范脚本病毒非常有效。毫无悬念，SOLA因为敏感操作被毛豆干掉了。由于病毒未生成任何圌文件，未更改任何设置，故毛豆得1分。
另外，АVG Identify Protection和ThreatFire面对病毒没有任何反应，得0分。
2.开机时的脆弱
Backdoor/serial.exe
计算机开机时，很多HIPS、杀毒软件还未来得及加载，此时正是病毒活动的大好时机。同样，关机时某些安全软件暂时失去了防御能力，病毒可能会趁虚而入。
该样本运行时，搜索托盘图标进程，选其中一个结束，将其文件替换为病毒。下次运行被替换的程序时，病毒开始安装。托盘图标程序一般随开机启动，故病毒多在下次开机时安装，这样可以赶在某些HIPS软件加载之前感染系统。
病毒安装时产生winfilse.exe(文件位置不定)，并添加启动项：drvsyskit。安装驱动srosa.sys，该驱动通过挂SSTD钩子实现保护文件、隐藏进程。
serial.exe：被替换的文件，被隐藏的进程.jpg (124.03 KB, 下载次数: 3)
16:11 上传
(serial.exe：被替换的文件，被隐藏的进程)
serial.exe的驱动.jpg (190.34 KB, 下载次数: 2)
16:11 上传
(serial.exe的驱动)
成功防御标准：
先安装暴风影音，再运行病毒。重启后，病毒未能加载。病毒未能安装驱动srosa.sys，病毒进程winfilse.exe未出现。
战况播报：
Mamutu vs serial.exe：先发制人.jpg (102.35 KB, 下载次数: 2)
16:11 上传
(Mamutu vs serial.exe：先发制人)
样本刚运行就能被Mamutu干掉。实际上，我点了“允许”，后面还有“程序试图后台安装”的红色警告，拒绝后，同样可以干掉病毒。Mamutu完美的防御了病毒，得1分。
COMODO vs serial.exe：险胜.jpg (85.59 KB, 下载次数: 0)
16:10 上传
(COMODO vs serial.exe：险胜)
COMODO干掉了病毒。但我认为样本做了很多不必要操作。其关键操作结束并替换暴风影音进程，采用访问进程内存这种敏感方法来完成，大可不必这样。如果病毒更加狡猾，很可能绕过这些弹窗。我曾允许病毒结束暴风影音进程，重启后，毛豆被圌干掉了，这说明在开机的瞬间，默认设置的毛豆无战斗力。但根据测试规则，毛豆这次侥幸获得全分。
ThreatFire vs keygen.exe：“你知道得太多了”.jpg (91.82 KB, 下载次数: 1)
16:12 上传
(ThreatFire vs serial.exe：“你知道得太多了”)
TF弹窗报告，拍着胸脯保证病毒已被清除，让我惊喜万分。但好景不长，不久后我发现暴风影音的进程依然被替换。重启以后，悲剧发生了，TF的主程序变成了病毒。一代名将ThreatFire因公殉职，请各位摔键盘默哀三分钟。
TF弹出了红色警告，且下次开机时它自己没有运行，这足以使用户警觉，得0.3分。
AVG-IDP vs serial.exe：笑到了最后.jpg (80.32 KB, 下载次数: 2)
16:09 上传
(АVG-IDP vs serial.exe：笑到了最后)
IDP很快的发现并清除了病毒，令人高兴的是，它没有犯和TF一样的错误，并笑到了最后。病毒未对系统运行产生影响，这属于完全防御，得1分。
3.“我是一只人畜无害的安装包”
Adware/播放器.msi
.msi是安装包的后缀名，当用户打开安装包后，由msiexec.exe负责执行安装包中所描述的操作，这个程序又被称为Windows Installer。最近，出现少数病毒把自己包装成安装包的形式，利用Windows Installer来执行它们想要的操作。软件安装过程中需要更改较多系统设置，故很多HIPS都会信任安装程序。这样也便宜了那些藏在安装包里的病毒。
该样本动作较复杂，限于笔者水平有限，不能清楚的分析。运行样本后，最直观的感受是桌面被添加了钓鱼网站图标和假IE图标，收藏夹内多了一些垃圌圾网址。开机后，新增2个进程svchost.exe、rundll32.exe，用途不明，这些进程中均含有来源不明的病毒模块。如第一段所述，病毒的许多操作都使用Windows Installer完成。
播放器.msi：病毒进程.jpg (135.74 KB, 下载次数: 1)
16:13 上传
(图：播放器.msi——病毒进程)
成功防御标准：
下次开机时，没有出现内含异常模块的svchost.exe和rundll32.exe。
战况播报：
Mamutu vs 播放器.msi：还有一个呢？.jpg (117.76 KB, 下载次数: 1)
16:11 上传
(Mamutu vs 播放器.msi：还有一个呢？)
Mamutu弹窗阻止后，msiexec.exe也一起被结束，因此未释放垃圌圾快捷方式。重启后，多出一个病毒进程的svchost.exe，没有rundll32.exe。这属于部分防御，得0.6分。
COMODO vs 播放器.msi：这是一个可信程序.jpg (109.71 KB, 下载次数: 1)
16:10 上传
(COMODO vs 播放器.msi：这是一个可信程序)
COMODO的战况令人大跌眼镜，Defense+根本就木有反应，过了很久，才弹出一个珊珊来迟的防火墙窗口，由于这不是D+的窗口，故COMODO得0分。
ThreatFire vs 播放器.msi：哥哥，人家活都干完了.jpg (81.36 KB, 下载次数: 3)
16:12 上传
(ThreatFire vs 播放器.msi：哥哥，人家活都干完了)
TF检测到了病毒的自删除操作，隔离这个文件有助于对病毒的分析，但对普通用户来说没有用。TF需要在发现自删除这种敏感的操作后，回滚该进程所做的一切修改，才能阻止病毒。由于平时安静的TF弹窗，且自删除是非常可疑的操作，足以引起用户警觉，得0.3分。
另外，АVG没有任何反应，得0分。
4.无影无踪的代码
Backdoor/尘土220.exe
“代码注入”和“模块注入”，都是病毒程序常用的手段。而前者比后者更具隐蔽性。被代码注入的进程看不到异常模块，但却会进行异常操作。幸圌运的是，目前大部分安全软件，都可以检查出这两种行为。
这次我使用了一个监控软件来查看样本行为，从截图可以看出，样本对explorer.exe进行了一次代码注入。被注入的explorer.exe的第二个线程把病毒文件复制到system32下，并创建了一个病毒服务CT_server，以驻留系统。一切操作均使用explorer.exe完成，在这个病毒诞生的年代，算是很聪明了。
尘土220.exe：代码注入.jpg (149.6 KB, 下载次数: 0)
16:13 上传
(尘土220.exe：代码注入)
成功防御标准：
explorer.exe不能有持续访问网络的异常的行为，病毒文件或服务未被创建。
战况播报：
Mamutu vs 尘土220.exe：没有压力.jpg (97.02 KB, 下载次数: 0)
16:11 上传
(Mamutu vs 尘土220.exe：没有压力)
COMODO vs 尘土220.exe：这个easy.jpg (87.35 KB, 下载次数: 3)
16:10 上传
(COMODO vs 尘土220.exe：这个easy)
ThreatFire vs 尘土220.exe：我搞得定.jpg (79.6 KB, 下载次数: 1)
16:12 上传
(ThreatFire vs 尘土220.exe：我搞得定)
AVG-IDP vs 尘土220.exe：发现威胁喵.jpg (78.76 KB, 下载次数: 3)
16:09 上传
(АVG-IDP vs 尘土220.exe：发现威胁喵)
<font color="#个软件都检查出了病毒，事实上，我的确打算把这个6年前的后门作为本次测试的送分题。不过АVG Identify Protection过了很久才弹出检测窗口，至此，explorer.exe已经被控制，开始访问网络。IDP对病毒的清除也不够完全，导致有一些残余项，但病毒已无法运行，勉强满足成功防御标准。故前三个软件得1分，IDP得0.9分。
值得注意的是，我用COMODO尝试允许病毒控制explorer.exe，结果病毒成功感染。要知道“代码注入”并不止这一个形式，一旦黑客利用未知的漏洞攻击成功，而HIPS又无法检出傀儡进程，对系统的危害会很大。由此可见及时打上漏洞补丁对我们的安全有多么重要。
5.IE浏览器正在下载文件
Downloader/XINQIDIAN.EXE
在各种木马眼里，IE浏览器是一块肥肉。几乎可以肯定，IE是有权限访问网络的，因此许多木马千方百计的想要拜托IE帮他向远方的朋友打个招呼。为了利用这块肥肉，病毒使用的方法何其多也，文件感染，冒名顶替，模块注入，代码注入，甚至去翻浏览器缓存垃圌圾箱。你看，这次请来的客人就在用IE下载病毒，很欢乐的样子。旁边还有驱动保驾护航呢。
XINQIDIAN.EXE：部分行为.jpg (139.76 KB, 下载次数: 3)
16:13 上传
(XINQIDIAN.EXE:部分行为)
样本启动iexplore.exe和svchost.exe，然后将schedsvc.dll注入其中。共加载2个驱动，Killer10.sys和Khelper10.sys，从图中可清楚的看到两个SSTD钩子，这是保护进程用的。
成功防御标准：
病毒未成功加载任何驱动，重启后，含异常模块的IEXPLORE.EXE和svchost.exe未出现。
战况播报：
Mamutu vs XINQIDIAN.exe：给我老实点.jpg (98.77 KB, 下载次数: 1)
16:11 上传
(Mamutu vs XINQIDIAN.exe：给我老实点)
Mamutu阻止后，没有任何残留，属完全防御，得1分。
COMODO vs XINQIDIAN.exe：这个不可以有.jpg (88.72 KB, 下载次数: 1)
16:10 上传
(COMODO vs XINQIDIAN.exe：这个不可以有)
COMODO很擅长对付这类纯技术病毒，毫无悬念的拿下满分。
ThreatFire vs XINQIDIAN.exe：Hey boy，别乱动.jpg (76.13 KB, 下载次数: 3)
16:12 上传
(ThreatFire vs XINQIDIAN.exe：Hey boy，别乱动)
ThreatFire也凭借自己的实力，干掉了病毒，得1分。说实话，我以为它不会发现的。
АVG Identify Protection等了5分钟，终于弹了个窗，我手贱点了允许，只好重测一遍。但奇怪的是，测试结果仿佛不具可重复性，之后的测试不管再等多久，都没有警告弹出。也许有人觉得在这里给IDP打0分有些不公平，但别忘了，每次测试前，АVG都显示Identify Protection为“已准备好”状态，如果用户运行了病毒，还要等5分钟才能看到警告，那未免也太可笑了。
（从下一个的测试起，我新增了一条规则：运行样本3分钟以后的弹窗，视作无效弹窗。）
6.被施了“夺魂咒”的进程
Backdoor/.cn/ling/wow/expie.htm
缓冲区溢出是黑客攻击时经常使用手段，利用服务程序漏洞，通过提供一个精心构造的输入，可让系统执行任意代码。这种攻击神不知鬼不觉，进程的签名正常，也不含异常模块，但却在执异常操作，就仿佛中了神奇的“夺魂咒”一般。
本节测试将使用未打补丁的IE6访问一个攻击页面。在无防护的计算机上，你会发现中了夺魂咒的iexplore.exe下载并运行了一个木马文件G.exe。该样本启动后会破坏Cryptographic Services服务，替换感染system32目录下的ksuser.dll、midimap.dll、msimg32.dll，并新增sysapp10.dll。此时，由于编录数据库服务停止，校验任何圌文件签名都无法通过。
G.exe：样本行为.jpg (118.93 KB, 下载次数: 0)
16:11 上传
(G.exe：样本行为)
成功防御标准：
阻止IE运行病毒文件(1分)。阻止G.EXE对系统作出任何实质性更改(0.9分)。
战况播报：
Mamutu vs expie.htm：受了轻伤.jpg (109.28 KB, 下载次数: 2)
16:11 上传
(Mamutu vs expie.htm：受了轻伤)
在安装Mamutu的机器上，IE6成功下载并运行了G.EXE，cryptsvc服务被删除，但Mamutu成功阻止了病毒替换、安装文件，得0.6分。
COMODO vs expie.htm：当之无愧的胜者.jpg (70.69 KB, 下载次数: 1)
16:09 上传
(COMODO vs expie.htm：当之无愧的胜者)
COMODO检测出了页面的溢出攻击，完美阻止了病毒，得1分。
ThreatFire vs expire.htm：不发威你当我是HelloKitty.jpg (76.57 KB, 下载次数: 2)
16:12 上传
(ThreatFire vs expie.htm：不发威你当我是HelloKitty)
ThreatFire这次给力了，检测出了页面攻击，获得了满分。
AVG-IDP vs expie.htm：主人快夸奖我吧～.jpg (91.33 KB, 下载次数: 2)
16:09 上传
(АVG-IDP vs expie.htm：主人快夸奖我吧～)
IDP也完美的拦截了威胁，得到了满分。
7.特殊的启动方式(1)
Backdoor/WHHFD.exe
要让一个程序开机自动运行，最常用的办法是在注册表Run子键下添加一个新的条目，然而病毒偏偏不喜欢走寻常路。文件替换、修改Shell子键、修改启动文件夹路径、修改AppInit_DLLs，方法层出不穷。只要你有足够的创造力，并对Windows系统有独到的了解，你就能发明下一种Windows认识，而杀毒软件不认识的自启动方式。
这次的样本通过修改输入法加载项、修改Winsock SPI来达到自启动目的，虽然这种方法已经出现过很久了，但采用此法的病毒还算少数。图中所示的是病毒添加的异常输入法加载项。
WHHFD.exe：异常的输入法加载项.jpg (102.83 KB, 下载次数: 1)
16:12 上传
(WHHFD.exe：异常的输入法加载项)
成功防御标准：
没有任何进程含异常模块，Winsock SPI正常，输入法与网络均可正常使用。
战况播报：
Mamutu vs WHHFD.exe：哑炮.jpg (143.13 KB, 下载次数: 1)
16:11 上传
(Mamutu vs WHHFD.exe：哑炮)
Mamutu没有任何反应，病毒完全侵入系统，0分。
COMODO vs WHHFD.exe：需要砖家帮助吗.jpg (82.93 KB, 下载次数: 1)
16:10 上传
(COMODO vs WHHFD.exe：需要砖家帮助吗)
COMODO完全阻止了病毒行为，得1分。之后还不忘弹出个窗来吓唬用户，“并不是所有的威胁都已清除，需要专家服务吗”。实际上，病毒并未残留下任何东西。如果是不明就里的用户，可能已经吓得请专家帮忙去了(付费服务)。这个弹窗真的让我很想给毛豆倒扣1分= =！
ThreatFire vs WHHFD.exe：片面的胜利.jpg (76.96 KB, 下载次数: 2)
16:12 上传
(TF vs WHHFD.exe：片面的胜利)
TF阻止后，病毒模块被删除，但重启后上不了网了。不符合成功防御标准，得0.6分。
另外，IDP在3分钟内没有任何反应，得0分。
8.特殊的启动方式(2)
Backdoor/systmp.exe
从某种角度分类，病毒可以分为活跃型与隐蔽型2种。活跃型病毒往往释放很多文件，产生很多进程，较多的消耗系统资源，添加多个自启动项且顽固驻留。隐蔽型做到最小化资源占用，力求不对系统造成任何影响，往往只拥有一个启动方式。隐蔽型的病毒比起活跃型更易存活，因为用户难以发现它们。流氓软件、广告程序多属活跃型，而木马后门多属隐蔽型。
这次的样本就是一个隐蔽的后门。它通过修改AppInit_DLLs实现加载，动作很简单。但智能HIPS却常常被这种简单动作的样本蒙蔽。感染病毒后，可以看出新启动的进程都有一个异常模块sys.tmp。
systmp.exe：异常模块.jpg (129.63 KB, 下载次数: 1)
16:12 上传
(systmp.exe：异常模块)
成功防御标准：
没有任何进程加载了异常的sys.tmp模块。
战况播报：
Mamutu没有任何反应，得0分。
COMODO vs systmp.exe：这不算禁运吧.jpg (84.57 KB, 下载次数: 3)
16:10 上传
(COMODO vs systmp.exe：这算禁运吗？)
COMODO检测出了样本执行cmd.exe，但却没检测出cmd.exe执行的是哪个命令。启动CMD是危险操作，如果用红色窗口，我就承认COMODO通过。但是这里，我们假设用户没有这种知识，再加上COMODO对未知程序弹窗本来就很多，用户可能忽略，故根据第6条规则，得0.5分。
ThreatFire vs systmp.exe：这样不好吧.jpg (71.66 KB, 下载次数: 2)
16:12 上传
(ThreatFire vs systmp.exe：这样不好吧)
TF又检测出了自删除操作，得0.3分。
АVG没有反应，0分。
9.“嘣嘣！”
Bomb/passdisk.exe
“硬盘炸圌弹”，顾名思义，是指使用各种手段直接破坏硬盘数据，或是让用户硬盘无法正常工作的恶意程序。有的硬盘炸圌弹所作的操作可以恢复，而有的则会造成无法挽回的数据损失。对个人用户来说，硬盘可能保存着多年来积存的照片、文章，对企业用户来说，硬盘里也许有无价的商业机密。不管对哪种用户，数据毁坏都是难以承受的损失，“硬盘炸圌弹”也令人深恶痛绝。
本次参与测试的第六个程序，会破坏硬盘前4kb数据，其中包含主引导记录和主分区表，如果HIPS未能响应，将会对用户造成难以挽回的伤害。
passdisk：没有引导记录的日子里.jpg (29.1 KB, 下载次数: 1)
16:11 上传
(passdisk：没有引导记录的日子里)
成功防御标准：
病毒未能直接访问硬盘。
战况播报：
Mamutu vs passdisk.exe：小哥，举起手来.jpg (93.44 KB, 下载次数: 1)
16:11 上传
(Mamutu vs passdisk.exe：小哥，举起手来)
Mamutu阻止了程序操作，保证了用户的安全，得1分。
COMODO vs passdisk.exe：你想访问硬盘？给我两小时考虑一下。.jpg (95.24 KB, 下载次数: 1)
16:10 上传
(COMODO vs passdisk.exe：你想访问硬盘？给我两小时考虑一下。)
COMODO毫无悬念的获得了胜利，得1分。
ThreatFire与IDP没有反应，硬盘数据被破坏，得0分。
10.两句话杀手
Bomb/bomma01.vbs
乍看起来，这个样本很可笑，它只有两句话。但在虚拟机内运行它时，我感觉压力很大。所有文件，包括我的交换文件夹下的文件，都被删除了。顺便说一句，我把它送到VirScan.org上扫描，没有一个杀毒软件认为它是病毒，或者是有害程序。
可能许多杀毒软件、主动防御软件的分析人员会对这种代码嗤之以鼻。确实，要求杀软和HIPS检测这类代码并保证低误报率，那是强人所难。然而对用户来说，当他双击这个文件，没有任何提示，没有任何窗口，突然自己所有的重要资料都被删除了，还有什么比这更恐怖的呢？
两句话杀手.jpg (21.48 KB, 下载次数: 1)
16:13 上传
(图：两句话杀手)
成功防御：
运行前，把Windows文件夹下所有文件拷贝到E盘一份，假设这些是用户的重要文件。运行后，用户的重要文件未被删除。
战况播报：
Mamutu无反应，0分
COMODO检测出了样本执行cmd.exe，但却没检测出cmd.exe执行的是哪个命令，难以引导用户做出正确选择，得0.5分。
TF和IDP都没有反应，得0分。
实际上，我设立这个样本的初衷并非为了刁难这些HIPS，而是想再次提醒用户，没有任何防御组合是绝对安全的。如果你没有得罪到身边的哪位兄弟，你的电脑基本没有机会运行这类程序。然而一旦运行，能够拯救你的不是杀毒软件也不是HIPS，而是Recuva、FinalData之流，以及一张用于重装的系统盘。当然，如果用户拥有足够的警惕性，避免运行来历不明的文件，也基本可以避免遭此横祸。
依笔者所见，要设计一种检测不可见程序大规模删除/破坏文件的算法，是可行的。及时结束程序可以避免造成更多数据损失。要立即恢复这些数据，也是有机会的。只是主动防御软件公司很少拥有文件恢复软件开发经验。而且，想法向来和实际相差很远，制作HIPS的艰难，也只有在安全软件公司工作的苦逼的程序员才能够理解。
测试过程(智能度)：
弹窗统计(图)：
Mamutu弹窗统计.jpg (31.6 KB, 下载次数: 1)
16:14 上传
(第一列第三行：Mamutu使用时弹窗)
(第一列第四行：得分)
部分截图：
mamutu出师不利.jpg (93.8 KB, 下载次数: 0)
16:14 上传
(mamutu出师不利)
mamutu完成测试后合影.jpg (87.39 KB, 下载次数: 2)
16:14 上传
(mamutu完成测试后合影)
Mamutu的弹窗频度超出了我的预料。其警报主要是“行为类似间谍软件(无圌界面的程序试图访问网络)”和“程序试图模拟鼠标或键盘活动”。部分小动作较多的国产软件安装时，连Mamutu也一起变得恼人了。
在安装过程中，我取消掉了所有插件安装，并将安装的软件设置为开机不启动，但是Mamutu仍然产生了两个“程序试图修改启动项”警报，实际上，这些自启动程序都是一次性的。测试过程中，有少数警报刚弹出后瞬间消失，不要慌，这其实是Mamutu基于社区的警报简化发挥了作用，并不是Mamutu被圌干掉了= =！
顺便说说，我目前使用的HIPS就是Mamutu，其弹窗频度我尚能接受，安全度自我感觉良好。不过最近确实发现它的弹窗越来越多了。也许，7分刚好是我的忍耐极限吧。
总得分：7 / 10
<ODO Defense+
弹窗统计(图)：
COMODO弹窗统计.jpg (32.77 KB, 下载次数: 1)
16:13 上传
(第一列第三行：COMODO使用时弹窗)
(第一列第四行：得分)
部分截图：
comodo干掉了云端里的一个程序，汗。。。.jpg (113.74 KB, 下载次数: 1)
16:13 上传
(comodo干掉了云端里的一个程序，汗。。。)
comodo——弹窗测试全家福.jpg (97.22 KB, 下载次数: 1)
16:13 上传
(comodo——弹窗测试全家福)
COMODO的智能度测试分数高于我的预期。要知道，Defence+在最初是一个纯手动HIPS。经过几年的成长后，能在智能程度上拿下6.8分的成绩，实属不易。但在看到弹窗数量统计表后，我知道了它的秘密，也许大家也猜到了：白名单。
comodo——智能的秘密.jpg (103.92 KB, 下载次数: 1)
16:14 上传
(comodo——智能的秘密)
待测的软件公司名中，有7个都在这庞大的白名单上。作为一个外国软件，白名单上居然包含了如此多的中国公司，可见其统计量较为庞大。然而，对白名单公司程序的所有操作放行，这种做法也有待商榷，谁来保证那些公司没有扫描我硬盘里的隐私呢？
另外，如果使用的软件不在白名单上，用户将面临无数个弹窗，直到他厌烦并把这个文件加入信任组为止。我不能接受这种后果，你们呢？
总的来说，使用严格的规则+庞大的白名单，这种做法已经被证实过是可行的(360？)。目前测试得分不高，那是因为白名单还不够充足。随着时间的推移，越来越多的公司被加入白名单，COMODO的智能度也会不断上升。希望COMODO公司能够蒸蒸日上，为广大的HIPS爱好者提供一个方便且强大的武器。
总得分：6.8 / 10
3.ThreatFire
弹窗统计(图)：
ThreatFire弹窗统计.jpg (32.43 KB, 下载次数: 0)
16:14 上传
(第一列第三行：ThreatFire使用时弹窗)
(第一列第四行：得分)
部分截图：
WPS小动作多得连TF也看不下去了.jpg (79.04 KB, 下载次数: 1)
16:14 上传
(WPS小动作多得连TF也看不下去了)
TF——测试完了，来一张.jpg (112.47 KB, 下载次数: 2)
16:14 上传
(TF——测试完了，来一张)
ThreatFire可以设置检测敏感度(默认为3格)。从测试中可以看出，默认设置的TF用户体验十分舒适。如果你因为太安静而感到不安，可以加大敏感度。过去我曾尝试将它调至最大，副作用是，几乎每次软件安装TF都会报警。你也可以去HIPS区寻找TF专用规则，经过手动添加规则的ThreatFire战斗力会提升不少。但手动规则可能导致某些软件安装、运行失败，普通用户要解决这种问题也很困难。
<font color="#.9分的成绩表明，平均每次软件安装TF弹窗0.1个。看来TF的智能程度比前2个软件高多了。其实智能程度高也是有代价的，即容易被绕过。从上面防御能力测试就可看出，ThreatFire的防御力比Mamutu低不少，比起COMODO更是望尘莫及。
总得分：9.9 / 10
4.АVG Identify Protection
弹窗统计(图)：
AVG-IDP弹窗统计.jpg (31.93 KB, 下载次数: 2)
16:13 上传
(第一列第三行：AVG-IDP使用时弹窗)
(第一列第四行：得分)
AVG测试完成.jpg (101.84 KB, 下载次数: 1)
16:13 上传
(АVG测试完成)
IDP在智能度测试中得到了当之无愧的10分，软件安装中它从头到尾就没有弹出一个窗，我都开始怀疑它没有正常运作。不过当我关闭Anti-Virus并双击我认为最好检测的一个样本时，疑虑顿时消除了，IDP迅速给出了反应，弹出了警告窗口。
АVG的安装画面介绍了各种听起来很诱人的功能，对IDP却一个字也未提及。在很久以前，IDP还作为一个单独的软件存在，现在却变成了杀毒软件的小小一部分，丝毫没有了当年的风光。不管HIPS是扰人还是安静，不管它的防御能力是强大还是弱小，只要开发它的公司充满了热情，我就会一如既往的关注它。愿АVG公司不要对这么个充满智慧的组件有一丝一毫的轻忽。
总得分：10 / 10
测试结果：
HIPS防御力得分总表：
HIPS防御力得分总表.jpg (53.09 KB, 下载次数: 0)
16:14 上传
(第一列最后一行：总得分)
(第一列倒数第二行：Bomb.bomma01.vbs)
HIPS防御力对比图：
HIPS防御力对比图.jpg (22.76 KB, 下载次数: 3)
16:14 上传
(第一列：Mamutu)
智能度得分统计：
HIPS智能度得分统计.jpg (18.51 KB, 下载次数: 1)
16:14 上传
智能度对比图：
HIPS智能度对比图.jpg (22.47 KB, 下载次数: 0)
16:14 上传
(第一列：Mamutu)
几天前，我准备重装系统。新的系统究竟使用什么新的防御组合，我准备自行测试。后来突然想到，何不把测试写成一篇文章，给大家参考呢？这篇文章便是这样诞生的。
这次测试中出乎我意料的是ThreatFire，原本我不看好的这个软件，在智能度和检测率中却取得了较好的平衡(虽然检测率还是偏低)。唯一让人心中打鼓的是，ThreatFire已经被收圌购，不知道这它是原本的功力，还是在新东家的帮助下慢慢变强的。含有ThreatFire的防御组合，我推荐TF + Avira。该组合能够基本保证安全，而且十分方便省事。需要注意的是，使用这个组合的人，应了解至少一个ARK工具的用法，以防万一。
Mamutu没有取得我预想的成绩，但我感觉Emisoft依然在不断的完善它，相信在今后，它会变得更强大。包含Mamutu的组合，我推荐Mamutu + ESS。估测这个搭配的防御能力较上一个更强，且弹窗频率大部分人能够忍受，我也打算在新装的系统中采用这个组合。
由于COMODO前身是全手动主防，在平日弹窗难免较多。得益于白名单，现在的COMODO要智能许多，但要完全驾驭它，还是需要对Windows系统和该软件有一定的了解。含COMODO的组合我推荐CIS全套，它包含了反病毒、主动防御、防火墙，适合平时喜欢捣鼓、有耐心的人使用。COMODO的使用门槛已经比以前低多了，有耐心普通用户也可以尝试和学习。
至于АVG，它在扫描区的测试中取得了不错的成绩。但我想公司大概是忘记更新Identify Protection了。
PS1:笔者水平有限，文中可能出现若干谬误，欢迎各位指正。
PS2:请不要实机运行附件的病毒样本。
17:07 上传
点击文件名下载附件
344.2 KB, 下载次数: 1321
17:07 上传
点击文件名下载附件
61.23 KB, 下载次数: 757
17:08 上传
点击文件名下载附件
27.59 KB, 下载次数: 402
17:08 上传
点击文件名下载附件
16.14 KB, 下载次数: 318
17:08 上传
点击文件名下载附件
35.84 KB, 下载次数: 404
17:08 上传
点击文件名下载附件
49.14 KB, 下载次数: 355
17:08 上传
点击文件名下载附件
13.85 KB, 下载次数: 522
17:08 上传
点击文件名下载附件
225 Bytes, 下载次数: 366
版区有你更精彩： ）
用测试说话才是硬道理！
没看到图。
被和谐，正在改= =！
本帖最后由 jxae 于
17:30 编辑
同楼上，半张图都没看到……
已经看得到图了~
好。。值得研究，很久没有关注tf了
不错不错，支持一下
终于改完了，感谢大家的支持
楼主这么细心，辛苦了
mamutu一直感觉不错，虽然现在用着AVG
daixiaoran
强力支持这方面的测试。受益匪浅
zarkfair 发表于
楼主这么细心，辛苦了
mamutu一直感觉不错，虽然现在用着AVG
虽然不是太了解AVG的主防。这次测试中很安静，但弹窗之后往往能清除掉。
扫描区成绩貌似也不错
Copyright & KaFan & All Rights Reserved.
Powered by Discuz! X3.1( 苏ICP备号 ) GMT+8,}