2009-04-27
AntiMalware 發表HIPS阻止進入Ring 0測試
AntiMalware日前發表了一項有趣的測試
測試了六款HIPS對付病毒進入Ring 0的測試
這幾款HIPS均俱備強勁的AD保護
不像更早之前Virus.GR那不知所云的
HIPS與AntiVirs及ScanTools的大雜燴(須註冊)
AntiMalware測試所使用的樣本出自WildList
均為真正流行於這個世界的活體病毒樣
測試HIPS能否有效阻止樣本獲得Ring 0權限!
是這樣的,x86 CPU一般把執行等級分為四級
分別為ring 0、ring 1、ring 2、ring 3
其中ring 0的優先權最高,反之ring 3最低
一般OS kernel以及裝置設備的驅動均在ring 0
而我們一般使用的應用程式均在ring 3
一般我們如果要取得ring 0權限
可以透過撰寫品質不優良的驅動
或者是利用OS的漏洞取得ring 0
通常當病毒或者是有心人士
進入ring 0後,理論上可以做任何事情
包括任意把具有超強自我保護的安全軟體輕易終結的能力
所幸大部分的HIPS軟體普遍均能夠在第一時間檢測該行為
此測試在VMWare Wks 6.0平台下進行
測試的六款HIPS如下:
1. PC Tools Firewall Plus 5.0.0.38
2. Jetico Personal Firewall 2.0.2.8.2327
3. Online Armor Personal Firewall Premium 3.0.0.190
4. Kaspersky Internet Security 8.0.0.506
5. Agnitum Outpost Security Suite 6.5.3 (2518.381.0686)
6. Comodo Internet Security 3.8.65951.477
測試使用九種Ring 0樣本
測試結果如下:
最後AntiMalware評選出最佳kernel level保護的有:
OA 3.0、CIS 3.8、KIS 09
而提示最少的有:
KIS 09、PC Tools 5.0、OP 6.5
其中只有KIS 09取得了最佳的平衡
我不清楚AntiMalware的設定是如何
因為在技術上KIS 09的AD可以阻止目前這些已知的Ring 0樣本
不排除可能是自動與手動操作模式之間的差別
最後KIS 09確實是一套非常強悍的安全軟體
想瞭解KIS 09智能化如何實現可以參閱以前的文章
更早以前的評測文章也推薦參考一下
訂閱:
張貼留言 (Atom)
我覺得你文章內版號要一致比較好。
回覆刪除像文中的KIS 2009(8.0.0.506)[產品名稱(版本號碼)],建議寫完整,至少一開始寫完整,之後用簡稱,但是到了下文又變成KIS 8 ,跟前文乍看之下實在很容易產生誤解。
謝謝提醒,已經改好了
回覆刪除OA免費版有辦法達到這樣的效果嗎?
回覆刪除之前測試OA的樣本都是在Run Safe的選項下執行的.但是很可惜沒辦法回滾一些細節.
@Krmisoys
回覆刪除OA Free的HIPS比較重要的部分就是缺少AntiKey
所以理論上OA Free在這裡成績與付費版應該是一樣的