AntiMalware 發表HIPS阻止進入Ring 0測試

AntiMalware日前發表了一項有趣的測試
測試了六款HIPS對付病毒進入Ring 0的測試
這幾款HIPS均俱備強勁的AD保護
不像更早之前Virus.GR那不知所云的
HIPS與AntiVirs及ScanTools的大雜燴(須註冊)



AntiMalware測試所使用的樣本出自WildList
均為真正流行於這個世界的活體病毒樣
測試HIPS能否有效阻止樣本獲得Ring 0權限！



是這樣的，x86 CPU一般把執行等級分為四級
分別為ring 0、ring 1、ring 2、ring 3
其中ring 0的優先權最高，反之ring 3最低
一般OS kernel以及裝置設備的驅動均在ring 0
而我們一般使用的應用程式均在ring 3
一般我們如果要取得ring 0權限
可以透過撰寫品質不優良的驅動
或者是利用OS的漏洞取得ring 0

通常當病毒或者是有心人士
進入ring 0後，理論上可以做任何事情
包括任意把具有超強自我保護的安全軟體輕易終結的能力
所幸大部分的HIPS軟體普遍均能夠在第一時間檢測該行為


此測試在VMWare Wks 6.0平台下進行
測試的六款HIPS如下：

1. PC Tools Firewall Plus 5.0.0.38
2. Jetico Personal Firewall 2.0.2.8.2327
3. Online Armor Personal Firewall Premium 3.0.0.190
4. Kaspersky Internet Security 8.0.0.506
5. Agnitum Outpost Security Suite 6.5.3 (2518.381.0686)
6. Comodo Internet Security 3.8.65951.477


測試使用九種Ring 0樣本
測試結果如下：




最後AntiMalware評選出最佳kernel level保護的有：
OA 3.0、CIS 3.8、KIS 09

而提示最少的有：
KIS 09、PC Tools 5.0、OP 6.5


其中只有KIS 09取得了最佳的平衡
我不清楚AntiMalware的設定是如何
因為在技術上KIS 09的AD可以阻止目前這些已知的Ring 0樣本
不排除可能是自動與手動操作模式之間的差別

最後KIS 09確實是一套非常強悍的安全軟體
想瞭解KIS 09智能化如何實現可以參閱以前的文章
更早以前的評測文章也推薦參考一下