我们知道,公司或者企业或者政府等的重要数据都是保存在磁盘上的文件系统上的,所以我们需要保护操作系统的文件子系统,那么最好的方法是什么呢?就是一个安全的操作系统,做一个安全操作系统的最好的解决方法是安全内核,也就是Security Kernel,这就是上面的图的意思。
SSR FOR Windows/Linux/AIX/Solaris安全内核加固系统在系统访问界面这一层旁路所有的文件访问操作,从驱动层来达到为主客体进行安全表示判断的目的,实现了一个真正的安全内核。
操作系统内核加固技术图示
3.测试用例
SSR版本 |
|
操作系统版本 |
|
主要应用及目录 |
应用1 目录
应用2 目录 |
安全软件 |
|
测试人员 |
|
测试时间 |
|
3.1.功能性测试用例 3.1.1.SSR安装测试
SSR安装文件是一个msi后缀的自动安装包,双击以后自动安装。
测试目标:
能实现完全安装SSR。
测试工具:
SSR
测试步骤:
1. 双击SSR服务端安装文件
2. 安装过程中会提示是否把SSR客户端安装在本机器上,是则需要插入key,否则不需要插入key,demo版跳过此步骤。
3. 输入安全管理员和审计管理员密码
4. SSR服务端安装完成
5. 在需安装SSR客户端的机器上双击SSR客户端安装文件
6. 自动安装完成
测试结果:
预期结果 |
测试结果 |
插入key的情况下(demo版忽略key操作),能成功安装SSR |
|
3.1.2.文件强制访问控制模块测试
文件强制访问控制模块可以设置文件强制保护规则,实现只允许特定进程对特定文件/目录具有只读/写权限或者只允许特定用户对特定文件/目录具有只读/写权限。对于SSR保护的文件/目录,任何不允许的进程/用户(包括系统管理员)都无法对其进行读写操作。
测试目标:
对于SSR保护的文件/目录,任何不允许的进程/用户(包括系统管理员)都无法破坏。
测试工具:
SSR
Ø 用户对文件具有读权限
测试步骤:
1. 新建一个文本文档test.txt
2. 插入USB-key,demo版跳过此步骤。
3. 登陆SSR安全管理员界面
4. 选择文件强制访问控制模块
5. 单击新建规则按钮
6. 客体选择新建的文本文档,主体选择administrator用户,权限设置为允许读取
7. 尝试用administrator用户打开SSR保护的文档
8. 客体选择新建的文本文档,主体选择Guest用户,权限设置为允许读取
9. 尝试用administrator用户打开SSR保护的文档
测试结果:
预期结果 |
测试结果 |
指定用户可以打开SSR保护的文件,其他用户不可以 |
|
Ø 用户对文件具有写权限
测试步骤:
1. 新建一个文本文档test.txt
2. 插入USB-key,demo版跳过此步骤。
3. 登陆SSR安全管理员界面
4. 选择文件强制访问控制模块
5. 单击新建规则按钮
6. 客体选择新建的文本文档,主体选择administrator用户,权限设置为允许写入
7. 尝试用administrator用户往SSR保护的文档中写入东西,在cmd环境下输入echo 11>> test.txt
8. 客体选择新建的文本文档,主体选择Guest用户,权限设置为允许写入
9. 尝试用administrator用户往SSR保护的文档中写入东西
测试结果:
预期结果 |
测试结果 |
指定用户可以写SSR保护的文件,其他用户不可以 |
|
Ø 用户对文件具有所有权限
测试步骤:
1. 新建一个文本文档test.txt
2. 插入USB-key,demo版跳过此步骤。
3. 登陆SSR安全管理员界面
4. 选择文件强制访问控制模块
5. 单击新建规则按钮
6. 客体选择新建的文本文档,主体选择administrator用户,权限设置为允许所有操作
7. 尝试用administrator用户打开SSR保护的文档和写入东西
8. 客体选择新建的文本文档,主体选择Guest用户,权限设置为允许所有操作
9. 尝试用administrator用户打开SSR保护的文档和写入东西
测试结果:
预期结果 |
测试结果 |
指定用户可以打开SSR保护的文件和写入,其他用户不可以 |
|
Ø 用户对目录具有读权限
测试步骤:
1. 新建一个目录test
2. 插入USB-key,demo版跳过此步骤。
3. 登陆SSR安全管理员界面
4. 选择文件强制访问控制模块
5. 单击新建规则按钮
6. 客体选择新建的test目录,主体选择administrator用户,权限设置为允许读取
7. 尝试用administrator用户打开SSR保护的目录
8. 客体选择新建的test目录,主体选择Guest用户,权限设置为允许读取
9. 尝试用administrator用户打开SSR保护的目录
测试结果:
预期结果 |
测试结果 |
指定用户可以打开SSR保护的目录,其他用户不可以 |
|
Ø 用户对目录具有写权限
测试步骤:
1. 新建一个目录test
2. 插入USB-key,demo版跳过此步骤。
3. 登陆SSR安全管理员界面
4. 选择文件强制访问控制模块
5. 单击新建规则按钮
6. 客体选择新建的test目录,主体选择administrator用户,权限设置为允许写入
7. 尝试用administrator用户往SSR保护的目录里创建文件,在cmd环境下输入echo 11>>路径\test\1.txt
8. 客体选择新建的test目录,主体选择Guest用户,权限设置为允许写入
9. 尝试用administrator用户往SSR保护的目录创建文件
测试结果:
预期结果 |
测试结果 |
指定用户可以写SSR保护的目录,其他用户不可以 |
|
Ø 用户对目录具有所有权限
测试步骤:
1. 新建一个目录test
2. 插入USB-key,demo版跳过此步骤。
3. 登陆SSR安全管理员界面
4. 选择文件强制访问控制模块
5. 单击新建规则按钮
6. 客体选择新建的test目录,主体选择administrator用户,权限设置为允许所有操作
7. 尝试用administrator用户打开test目录并创建文件test.txt
8. 客体选择新建的test目录,主体选择Guest用户,权限设置为允许所有操作
9. 尝试用administrator用户打开test目录并创建文件test.txt
测试结果:
预期结果 |
测试结果 |
指定用户可以读写SSR保护的目录,其他用户不可以 |
|
Ø 进程对文件具有读权限
测试步骤:
1. 新建一个文本文档test.txt
2. 插入USB-key,demo版跳过此步骤。
3. 登陆SSR安全管理员界面
4. 选择文件强制访问控制模块
5. 单击新建规则按钮
6. 客体选择新建的文本文档,主体选择cmd.exe进程(需要事先在运行框中输入cmd.exe,启动该进程),权限设置为允许读取
7. 尝试用cmd.exe进程打开SSR保护的文档,输入type test.txt
8. 尝试用记事本打开SSR保护的文档
测试结果:
预期结果 |
测试结果 |
指定进程可以打开SSR保护的文件,其他进程不可以 |
|
Ø 进程对文件具有写权限
测试步骤:
1. 新建一个文本文档test.txt
2. 插入USB-key,demo版跳过此步骤。
3. 登陆SSR安全管理员界面
4. 选择文件强制访问控制模块
5. 单击新建规则按钮
6. 客体选择新建的文本文档,主体选择cmd.exe进程(需要事先在运行框中输入cmd.exe,启动该进程),权限设置为允许写入
7. 尝试用cmd.exe进程往SSR保护的文档中写入东西,输入echo 11>> test.txt
8. 尝试用记事本往SSR保护的文档中写入东西
测试结果:
预期结果 |
测试结果 |
指定进程可以写SSR保护的文件,其他进程不可以 |
|
Ø 进程对文件具有所有权限
测试步骤:
1. 新建一个文本文档test.txt
2. 插入USB-key,demo版跳过此步骤。
3. 登陆SSR安全管理员界面
4. 选择文件强制访问控制模块
5. 单击新建规则按钮
6. 客体选择新建的文本文档,主体选择cmd.exe进程(需要事先在运行框中输入cmd.exe,启动该进程),权限设置为允许所有操作
7. 尝试用cmd.exe打开SSR保护的文档和写入东西,type test.txt echo 11>>test.txt
8. 尝试用记事本打开SSR保护的文档和写入东西
测试结果:
预期结果 |
测试结果 |
指定进程可以打开SSR保护的文件和写入,其他进程不可以 |
|
Ø 进程对目录具有读权限
测试步骤:
1. 新建一个目录test
2. 插入USB-key,demo版跳过此步骤。
3. 登陆SSR安全管理员界面
4. 选择文件强制访问控制模块
5. 单击新建规则按钮
6. 客体选择新建的test目录,主体选择cmd.exe进程(需要事先在运行框中输入cmd.exe,启动该进程),权限设置为允许读取
7. 尝试用cmd.exe进程打开SSR保护的目录,cd test
8. 尝试鼠标双击打开SSR保护的目录(双击调用explorer.exe进程打开目录)
测试结果:
预期结果 |
测试结果 |
指定进程可以打开SSR保护的目录,其他进程不可以 |
|
Ø 进程对目录具有写权限
测试步骤:
1. 新建一个目录test
2. 插入USB-key,demo版跳过此步骤。
3. 登陆SSR安全管理员界面
4. 选择文件强制访问控制模块
5. 单击新建规则按钮
6. 客体选择新建的test目录,主体选择cmd.exe进程(需要事先在运行框中输入cmd.exe,启动该进程),权限设置为允许写入
7. 尝试用cmd.exe往SSR保护的目录里创建文件,输入echo 11>>路径\test\1.txt
8. 尝试用鼠标右键往SSR保护的目录创建文件
测试结果:
预期结果 |
测试结果 |
指定进程可以写SSR保护的目录,其他进程不可以 |
|
Ø 进程对目录具有所有权限
测试步骤:
1. 新建一个目录test
2. 插入USB-key,demo版跳过此步骤。
3. 登陆SSR安全管理员界面
4. 选择文件强制访问控制模块
5. 单击新建规则按钮
6. 客体选择新建的test目录,主体选择cmd.exe进程(需要事先在运行框中输入cmd.exe,启动该进程),权限设置为允许所有操作
7. 尝试用cmd.exe进程打开test目录并创建文件test.txt,cd test和echo 11>>test.txt
8. 尝试用鼠标打开test目录并创建文件test.txt
测试结果:
预期结果 |
测试结果 |
指定进程可以读写SSR保护的目录,其他进程不可以 |
|
3.1.3.进程强制访问控制测试
进程强制访问控制模块可以设置进程强制访问规则,对于SSR保护的进程,任何用户都无法终止,即使是系统管理员权限也不能。
测试目标:
对于SSR保护的进程,任何用户都无法终止该进程。
测试工具:
SSR, EF Process Manager4.4(用户也可选择其他可对进程操作的工具进行测试)
Ø 受保护进程不可以被终止
测试步骤:
1. 尝试用任务管理器终止explorer.exe进程
2. 新建explorer.exe进程
3. 插入USB-key,demo版跳过此步骤。
4. 登陆SSR安全管理员界面
5. 选择进程强制访问控制模块
6. 单击新建规则按钮
7. 客体选择explorer.exe进程,主体选择所有进程,规则限制选择除终止进程以外的所有权限
8. 尝试用任务管理器终止explorer.exe进程
测试结果:
Ø 第三方工具也无法终止受保护进程
测试步骤:
1. 保护前尝试用EF Process Manager终止explorer.exe进程
2. 新建explorer.exe进程
3. 插入USB-key,demo版跳过此步骤。
4. 登陆SSR安全管理员界面
5. 选择进程强制访问控制模块
6. 单击新建规则按钮
7. 客体选择explorer.exe进程,主体选择所有进程,规则限制选择除终止进程以外的所有权限
8. 尝试用EF Process Manager终止explorer.exe进程
测试结果:
3.1.4.注册表强制访问控制测试
注册表强制访问控制模块可以设置注册表强制访问规则,实现注册表只读,以防止非法进程对注册表进行修改。对于SSR保护的注册表,任何用户都无法修改,即使是系统管理员权限也不能。
测试目标:
对于SSR保护的注册表,任何用户都无法修改。
测试工具:
SSR,regedt33.exe(用户也可选择其他可对注册表进行编辑的工具测试)
Ø 注册表只读
测试步骤:
1. 运行框中输入regedit,在HKLM->software中新建一个注册表项test
2. 插入USB-key,demo版跳过此步骤。
3. 登陆SSR安全管理员界面
4. 选择注册表强制访问控制模块
5. 单击新建规则按钮
6. 客体选择在HKLM->software->test,主体选择所有进程,规则限制选择允许读取/复制
7. 尝试用regedit打开test,并往该项中写一个键值或项,再尝试用工具regedt33打开test,并往该项中写一个键值或项。
测试结果:
Ø 注册表禁止所有操作
测试步骤:
1. 运行框中输入regedit,在HKLM->software中新建一个注册表项test
2. 插入USB-key,demo版跳过此步骤。
3. 登陆SSR安全管理员界面
4. 选择注册表强制访问控制模块
5. 单击新建规则按钮
6. 客体选择在HKLM->software->test,主体选择所有进程,规则限制选择禁止所有操作
7. 尝试用regedit打开test,并往该项中写一个键值或项,再尝试用工具regedt33打开test,并往该项中写一个键值或项。
测试结果:
预期结果 |
测试结果 |
往受保护注册表项中打开或写入失败 |
|
3.1.5.服务强制访问控制测试
服务强制访问控制模块实现对服务状态的保护,激活此功能以后,任何用户都无法改变服务的启动类型,也无法添加新的服务,即使是系统管理员权限也不能。
测试目标:
激活SSR服务强制访问控制功能,任何用户都无法改变服务启动类型。
测试工具:
SSR
Ø 禁止修改服务启动类型
测试步骤:
1. 插入USB-key,demo版跳过此步骤。
2. 登陆SSR安全管理员界面
3. 单击驱动管理按钮
4. 先抬起服务强制访问控制的按钮
5. 控制面板中选择管理工具->服务,打开windows服务面板
6. 改变windows自动更新服务的启动类型
7. 激活SSR服务强制访问控制功能,再尝试改变windows自动更新服务的启动类型
测试结果:
预期结果 |
测试结果 |
SSR服务强制访问控制激活后,修改服务启动类型失败 |
|
3.1.6.文件完整性测试
文件完整性测试模块可以实现对特定文件/目录的信息搜集,然后定期检测,可以发现该文件/目录的改动情况,以达到保护文件完整性的目的。
测试目标:
利用文件完整的功能进行特定文件/目录的信息搜集,改变该文件/目录内容,可检测出变化。
测试工具:
SSR
测试步骤:
1. 创建一个待测试目录test
2. 插入USB-key,demo版跳过此步骤。
3. 登陆SSR安全管理员界面
4. 选择文件完整性检测模块
5. 单击添加新项按钮,待收集/验证的目录选择test目录,记录文件选择好路径后输入文件名单击保存按钮,其他默认。
6. 选择刚才新建项,单击开始收集按钮
7. 往test中添加一个文本文档test.txt
8. 在文件完整性检测模块中单击开始检测按钮
9. 查看变化
测试结果:
预期结果 |
测试结果 |
对已收集过信息的文件进行检测后可以发现该文件的具体变化 |
|
3.1.7.服务完整性测试
服务完整性测试模块可以实现对服务器当前所有服务的信息搜集,然后定期检测,可以发现服务的改动情况,以达到保护服务完整性的目的。
测试目标:
利用服务完整的功能进行服务器当前所有服务的信息搜集,改变某个服务的状态,可检测出变化。
测试工具:
SSR
测试步骤:
1. 插入USB-key,demo版跳过此步骤。
2. 登陆SSR安全管理员界面
3. 选择服务完整性检测模块
4. 单击收集信息按钮,收集当前服务的基本信息。
5. 先抬起服务强制访问控制的按钮
6. 控制面板中选择管理工具->服务,打开windows服务面板
7. 改变windows自动更新服务的启动类型或停止该服务
8. 返回服务完整性检测模块,单击开始检测按钮
9. 查看变化
测试结果:
预期结果 |
测试结果 |
对已收集过信息的服务,改变其状态,再检测后可以发现服务的变化 |
|
3.1.8.SSR卸载测试
卸载SSR也是一个全自动的过程,可以在开始菜单中卸载,也可以在windows的“添加/卸载”中卸载。
测试目标:
能实现SSR的完全卸载。
测试工具:
SSR
测试步骤:
1. 在安装SSR客户端的机器上插入USB-key,demo版跳过此步骤。
2. 控制面板->添加或删除程序,选择SSR服务端,单击删除按钮
3. 输入安全管理员密码开始卸载,再次输入安全管理员密码确认卸载
4. 对于windows 2003服务器需要重新启动才能完成完全卸载,对于windows 2008服务器不需重启
5. 卸载SSR客户端同上,但不需要输入密码
测试结果:
预期结果 |
测试结果 |
插入key(demo版忽略key操作)能成功卸载SSR |
|
3.2.兼容性测试用例
兼容性测试主要是为了测试SSR在不同的应用环境中,功能是否正常,是否影响其他应用的正常运行。
测试目标:
SSR能与其他应用共同存在,运行正常,系统所耗资源与之前差距在可接受范围以内。
测试工具:
SSR,杀软等各种应用
3.2.1.SSR功能测试
预期结果 |
测试结果 |
杀软所有监控开启状态,遇到提示放过SSR,成功安装SSR |
|
杀软所有监控关闭状态,成功安装SSR |
|
杀软所有监控开启状态,遇到提示放过SSR,成功卸载SSR |
|
杀软所有监控关闭状态,成功卸载SSR |
|
杀软所有监控开启状态,SSR强制访问控制功能工作正常 |
|
杀软所有监控开启状态,SSR驱动管理工作正常,能激活和停止 |
|
杀软所有监控开启状态,SSR驱动管理随机激活工作正常 |
|
杀软所有监控开启状态,SSR驱动随机加载工作正常 |
|
3.2.2.杀软功能测试
预期结果 |
测试结果 |
停止SSR所有驱动时,杀软成功安装 |
|
停止SSR所有驱动时,杀软成功卸载 |
|
开启SSR所有功能,导入中级模板,杀软界面操作无明显延迟 |
|
开启SSR所有功能,导入中级模板,杀软实时监控功能能正常开启和关闭 |
|
开启SSR所有功能,导入中级模板,杀软实时监控功能能报告发现病毒并查杀 |
|
开启SSR所有功能,导入中级模板,杀软实时监控功能开启,系统无明显延迟 |
|
开启SSR所有功能,导入中级模板板,杀软实时监控功能开启,SSR模板保护功能正常 |
|
开启SSR所有功能,导入中级模板,杀软全盘扫描能报告发现病毒并查杀 |
|
开启SSR所有功能,导入中级模板,杀软全盘扫描,系统不宕机 |
|
开启SSR所有功能,导入中级模板,杀软全盘扫描,win32server.exe进程不占用过多cpu资源,如频繁99% |
|
开启SSR所有功能,导入中级模板,杀软全盘扫描,不误报SSR文件为病毒 |
|
杀软所有监控开启状态,安装SSR成功后重启正常 |
|
系统重启后,杀软和SSR功能正常 |
|
SSR安装前后系统关闭重启时间不超过1.3倍 |
|
开启所有驱动时,杀软扫描功能正常。 |
|
杀软其他工具不会破坏SSR保护 |
|
将杀软添加到信任列表,开启SSR所有功能,导入中级模板,杀软全盘扫描,系统不宕机、蓝屏 |
|
将杀软添加到信任列表,杀软正常运行 |
|
将杀软添加到信任列表,将杀软进程添加到信任列表,导入中级模板,杀软全盘扫描,win32server.exe进程不占用过多cpu资源,如频繁99% |
|
将杀软添加到信任列表,开启SSR所有功能,导入中级模板,杀软实时监控功能开启,系统无明显延迟 |
|
3.3.性能测试用例 3.3.1.测试描述
在测试数据准备完成后,分别对无SSR、SSR无策略和SSR中级模板策略环境下进行测试,记录每次测试的CPU(使用量)、内存(可用内存量)、网络、磁盘读写。本次测试中,将使用Mercury公司的性能测试工具LoadRunner9.0对被测服务器进行压力测试和监控,记录系统cpu使用量、内存可用量、磁盘读写和网络数据。
常量:
T:LoadRuner运行时间,参考值为10min,T值越大,输出结果越可靠。
X:未装SSR,使用LoadRuner运行时间为T,使系统cpu使用量维持在30%,需要并发的用户数,不同系统,硬件性能不一样,X的值也会有所不同。
Y:未装SSR,使用LoadRuner运行时间为T,使系统cpu使用量达到50%,需要并发的用户数,不同系统,硬件性能不一样,Y的值也会有所不同。
Z:未装SSR,使用LoadRuner运行时间为T,使系统cpu使用量达到70%,需要并发的用户数,不同系统,硬件性能不一样,Z的值也会有所不同。
情景1:
A:未安装SSR
B:已安装SSR,但SSR未配置安全策略
C:已安装SSR,SSR导入中级模板策略
性能测试参数2:
P3:配置LoadRunner为X个用户并发,运行时间为T,使系统cpu使用量达到30%
P5:配置LoadRunner为Y个用户并发,运行时间为T,使系统cpu使用量达到50%
P7:配置LoadRunner为Z个用户并发,运行时间为T,使系统cpu使用量达到70%
3.3.2.测试目的
A+P3,A+P5,A+P7这三种情况下没有SSR的影响,输出的结果包括CPU使用量,内存剩余值,磁盘I/O读写速率,网络速率,可以作为本次测试的参考值。然后分别测试B+P3,B+P5,B+P7和C+P3,C+P5,C+P7这几种情况。只要A+P3,B+P3,C+P3的输出结果相差不超过10%,或者在用户的可接受范围之内则测试通过,同理A+P5,B+P5,C+P5输出结果相差不超过10%,A+P7,B+P7,C+P7输出结果相差也不超过10%。
3.3.3.测试工具
Web服务器,web应用,SSR,loadrunner9.0
3.3.4.测试流程
输入web应用URL地址---->回车跳转并正确显示首页---->输入用户和密码,点击“登录”按钮---->成功登录---->点击选择的商品---->成功进入商品界面。
3.3.5.用例
用例 |
CPU (使用量) |
磁盘I/O读写 |
内存(可用量) |
网络传输速率 |
A+P3 |
|
|
|
|
B+P3 |
|
|
|
|
C+P3 |
|
|
|
|
A+P5 |
|
|
|
|
B+P5 |
|
|
|
|
C+P5 |
|
|
|
|
A+P7 |
|
|
|
|
B+P7 |
|
|
|
|
C+P7 |
|
|
|
|
3.3.6.测试报告(参考)
测试环境 |
Vware ESX虚拟机:Windows 2003 32位 SE Sp2 |
硬件信息 |
CPU:Intel®Xeon E5506 2.13GHZ 内存:1GB 硬盘:8G |
应用 |
IIS6.0、Sqlserver2000、ASP网站 |
测试人员 |
马晶辉 |
SSR版本 |
SSR1.0.2.2 Daemo |
|
性能参数 |
CPU (使用量) |
磁盘I/O读写 |
内存(可用) |
网络 |
场景1 |
无SSR,LR6个用户,10min |
30.579% |
253086.793bytes/sec |
722.458MB |
198715.727bytes/sec |
有SSR驱动激活,LR6个用户,10min |
33.188% |
194567.387bytes/sec |
720.493MB |
151711.61bytes/sec |
有SSR中级模板,LR6个用户,10min |
35.039% |
208459.405bytes/sec |
740.194MB |
146618.651bytes/sec |
场景2 |
无SSRLR15个用户并发,10min |
49.60% |
351028.384bytes/sec |
718.537MB |
288930.103bytes/sec |
有SSR驱动激活,LR15个用户并发,10min |
51.081% |
260857.278bytes/sec |
701.045MB |
210639.754bytes/sec |
有SSR中级模板,LR15个用户并发,10min |
54.831% |
268338.599bytes/sec |
706.781MB |
218744.987bytes/sec |
场景3 |
无SSR,LR25个用户,10min |
69.16% |
457567.836bytes/sec |
708.275 |
379073.707bytes/sec |
有SSR驱动激活,LR25个用户,10min |
72.116% |
329047.871bytes/sec |
709.335MB |
272340.88bytes/sec |
有SSR中级模板,LR25个用户,10min |
74.462% |
312594.776bytes/sec |
708.597MB |
265467.299bytes/sec |
场景4 |
无SSR,LR45个用户,10min |
89.227% |
562962.535bytes/sec |
689.244MB |
478607.389bytes/sec |
有SSR,LR45个用户,10min |
91.166% |
377265.165bytes/sec |
683.25MB |
322888.5834bytes/sec |
有SSR中级模板,LR45个用户,10min |
93.854% |
395115.238bytes/sec |
697.14MB |
329015.602bytes/sec |
3.4.对抗性测试用例
注意:附带测试Tools中包含有测试用的病毒可能导致杀毒软件报警或者删除,所以在测试前请尽量选择物理隔离的服务器并关掉杀毒软件。
3.4.1.SSR自身安全性测试
本测试是测试SSR自身的安全性,即SSR是否会被恶意删除或者更改导致SSR功能失效而失去保护作用。
测试目标
即使是管理员权限,也不能破坏SSR的功能。
测试工具
Pstools套件,syscheck,IceSword,gmer等
SSR策略
系统保护策略(导入文件高级模板,注册表高级模板,进程高级模板)
1). 基于系统功能的破坏性测试
本测试是在管理员的权限下利用Windows自身的功能测试SSR的安全性。
Ø 对SSR文件破坏测试
测试步骤
1. 以管理员权限登陆系统
2. 尝试用资源管理删除与更名SSR程序文件
3. 使用del,rename命令尝试删除或者更名SSR目录的文件。
测试结果
预期结果 |
测试结果 |
系统中尝试删除SSR文件无法删除 |
|
Ø 对SSR注册表键值破坏测试
测试步骤
1. 以管理员权限登陆系统
2. 尝试用注册表编辑器删除与更名SSR的注册表键值
3. 进一步使用reg命令测试
测试结果
预期结果 |
测试结果 |
尝试用regedit删除SSR注册表项,无法删除 |
|
Ø 对SSR 进程破坏测试
测试步骤
1. 以管理员权限登陆系统
2. 尝试用Windows任务管理器结束SSR的进程
3. 进一步使用taskkill等命令测试
测试结果
预期结果 |
测试结果 |
系统中尝试结束SSR进程,无法结束 |
|
2).基于工具破坏性的测试
本测试是在管理员权限下以多种工具为辅助来测试SSR的安全性。
Ø Pstools套件破坏性测试
测试步骤
1. 以管理员权限登陆系统
2. 把测试工具拷贝到系统中
3. 利用工具尝试删除或者更名SSR程序文件
4. 利用工具尝试删除或更名SSR的注册表键值
5. 利用pskill.exe尝试结束SSR的进程
测试结果.
预期结果 |
测试结果 |
尝试用pstools套件破坏SSR文件,进程和注册表,无法破坏 |
|
Ø syscheck破坏性测试
测试步骤
1. 以管理员权限登陆系统
2. 把测试工具拷贝到系统中
3. 利用syscheck工具尝试删除或者更名SSR程序文件
4. 利用syscheck工具删除或更名SSR的注册表键值
5. 利用syscheck尝试结束SSR的进程
测试结果
预期结果 |
测试结果 |
尝试用syscheck破坏SSR文件,进程和注册表,无法破坏 |
|
Ø IceSword破坏性测试
测试步骤
1. 以管理员权限登陆系统
2. 把测试工具拷贝到系统中
3. 利用IceSword工具尝试删除或者更名SSR程序文件
4. 利用IceSword工具删除或更名SSR的注册表键值
5. 利用IceSword尝试结束SSR的进程
测试结果
预期结果 |
测试结果 |
尝试用IceSword破坏SSR文件,进程和注册表,无法破坏 |
|
Ø gmer破坏性测试
测试步骤
1. 以管理员权限登陆系统
2. 把测试工具拷贝到系统中
3. 利用gmer工具尝试删除或者更名SSR程序文件
4. 利用gmer工具删除或更名SSR的注册表键值
5. 利用gmer尝试结束SSR的进程
测试结果
预期结果 |
测试结果 |
尝试用gmer破坏SSR文件,进程和注册表,无法破坏 |
|
3.4.2.网页脚本木马测试
对抗性测试主要是模拟黑客入侵,测试SSR系统加固策略(即:SSR配置的规则)的合理性和对恶意攻击的抵抗性。
测试目标
即使在管理员权限被窃取的情况下,也能够防止黑客篡改网站脚本,种植脚本后门,种植系统后门。能够防止系统被病毒感染。
测试工具
上传和编辑功能脚本,脚本后门,系统后门(我们提供一些,用户自备一些),病毒样本(我们提供一些,用户自备一些)
SSR策略
系统保护策略(文件高级模板,注册表高级模板,进程高级模板),网站保护策略(所有进程对网站目录只读)
Ø ASPAdmin篡改网页和种植脚本后门测试
测试步骤
1. 首先关闭SSR保护功能。
2. 把ASPAdmin脚本程序复制到网站目录下。
3. 打开SSR的保护功能。
4. 尝试利用脚本功能篡改网页。
5. 尝试利用脚本功能添加脚本后门。
测试结果
预期结果 |
测试结果 |
尝试用asp脚本后门篡改网页,无法篡改 |
|
Ø ASPAdmin删除网站文件测试
测试步骤
1. 首先关闭SSR保护功能。
2. 把ASPAdmin脚本程序复制到网站目录下。
3. 打开SSR的保护功能。
4. 尝试利用脚本功能删除网站的脚本文件。
测试结果
预期结果 |
测试结果 |
尝试用asp脚本后门删除网页,无法删除 |
|
3.4.3.破坏系统测试(格式化硬盘)
测试步骤
1. 尝试在系统选择一个硬盘分区,启动格式化工具,格式化分区。
2. 尝试在“计算机管理”中的“磁盘管理”功能格式化选择分区。
测试结果:
预期结果 |
测试结果 |
SSR保护生效,尝试格式化磁盘操作,无法格式化 |
|
3.4.4.种植系统后门(Poison Ivy)
测试步骤
1. 启动Poison Ivy生成服务端EXE文件。
2. 点击运行生成的EXE文件。
3. 查看是否有新进程运行。
4. 查看控制端是否有上线连接。
测试结果:
预期结果 |
测试结果 |
SSR保护生效,尝试种植exe后门,无法种植 |
|
3.4.5.熊猫烧香病毒测试
模拟病毒感染。用管理员权限登陆系统,然后执行以下操作。
测试步骤
1. 把测试病毒样本拷贝到系统中。
2. 执行病毒样本程序自动感染系统文件。
3. 查看系统目录里的程序是否有被感染后熊猫烧香图标。
测试结果:
预期结果 |
测试结果 |
SSR保护生效,尝试释放熊猫烧香病毒,无法感染 |
|
3.4.6.数据窃取测试
模拟黑客窃取重要数据信息。用管理员权限登陆系统,然后执行以下操作。
测试步骤
1. 用SSR保护某目录/文件设置权限为所有进程禁止所有操作。
2. 尝试在系统中复制被SSR保护的数据或用打包工具(WinRAR)打包SSR保护的目录/文件。
3. 尝试在系统中使用系统命令行工具(copy)复制SSR保护的目录/文件。
测试结果:
预期结果 |
测试结果 |
SSR保护生效,尝试复制和打包受保护文件,无法操作 |
|
4.测试结果一览表 4.1.功能测试
测试用例 |
测试结果 |
插入key能成功安装SSR |
|
插入key能成功卸载SSR |
|
受安全策略保护的注册表键值,SSR能够完全实现保护。 |
|
受安全策略的进程,SSR能够完全实现保护。 |
|
该模块能够实现及时发现新增服务,并立即强行终止和删除新增服务的功能。 |
|
能够完全实现对文件的完整性检验 |
|
能够完全实现对服务的完整性检验 |
|
4.2.兼容测试
预期结果 |
测试结果 |
SSR功能测试 |
杀软所有监控开启状态,遇到提示放过SSR,成功安装SSR |
|
杀软所有监控关闭状态,成功安装SSR |
|
杀软所有监控开启状态,遇到提示放过SSR,成功卸载SSR |
|
杀软所有监控关闭状态,成功卸载SSR |
|
杀软所有监控开启状态,SSR强制访问控制功能工作正常 |
|
杀软所有监控开启状态,SSR驱动管理工作正常,能激活和停止 |
|
杀软所有监控开启状态,SSR驱动管理随机激活工作正常 |
|
杀软所有监控开启状态,SSR驱动随机加载工作正常 |
|
杀软功能测试 |
停止SSR所有驱动时,杀软成功安装 |
|
停止SSR所有驱动时,杀软成功卸载 |
|
开启SSR所有功能,导入中级模板,杀软界面操作无明显延迟 |
|
开启SSR所有功能,导入中级模板,杀软实时监控功能能正常开启和关闭 |
|
开启SSR所有功能,导入中级模板,杀软实时监控功能能报告发现病毒并查杀 |
|
开启SSR所有功能,导入中级模板,杀软实时监控功能开启,系统无明显延迟 |
|
开启SSR所有功能,导入中级模板板,杀软实时监控功能开启,SSR模板保护功能正常 |
|
开启SSR所有功能,导入中级模板,杀软全盘扫描能报告发现病毒并查杀 |
|
开启SSR所有功能,导入中级模板,杀软全盘扫描,系统不宕机 |
|
开启SSR所有功能,导入中级模板,杀软全盘扫描,win32server.exe进程不占用过多cpu资源,如频繁99% |
|
开启SSR所有功能,导入中级模板,杀软全盘扫描,不误报SSR文件为病毒 |
|
杀软所有监控开启状态,安装SSR成功后重启正常 |
|
系统重启后,杀软和SSR功能正常 |
|
SSR安装前后系统关闭重启时间不超过1.3倍 |
|
开启所有驱动时,杀软扫描功能正常。 |
|
杀软其他工具不会破坏SSR保护 |
|
将杀软添加到信任列表,开启SS
R所有功能,导入中级模板,杀软全盘扫描,系统不宕机、蓝屏 |
|
将杀软添加到信任列表,杀软正常运行 |
|
将杀软添加到信任列表,将杀软进程添加到信任列表,导入中级模板,杀软全盘扫描,win32server.exe进程不占用过多cpu资源,如频繁99% |
|
将杀软添加到信任列表,开启SSR所有功能,导入中级模板,杀软实时监控功能开启,系统无明显延迟 |
|
4.3.性能测试
|
性能参数 |
CPU (使用量) |
磁盘I/O读写 |
内存(可用) |
网络 |
场景1 |
无SSR,LR6个用户,10min |
|
|
|
|
有SSR驱动激活,CPU30%时,LR6个用户,10min |
|
|
|
|
有SSR中级模板,LR6个用户,10min |
|
|
|
|
场景2 |
无SSRLR15个用户并发,10min |
|
|
|
|
有SSR驱动激活,LR15个用户并发,10min |
|
|
|
|
有SSR中级模板,LR15个用户并发,10min |
|
|
|
|
场景3 |
无SSR,LR25个用户,10min |
|
|
|
|
有SSR驱动激活,LR25个用户,10min |
|
|
|
|
有SSR中级模板,LR25个用户,10min |
|
|
|
|
场景4 |
无SSR,LR45个用户,10min |
|
|
|
|
有SSR,LR45个用户,10min |
|
|
|
|
有SSR中级模板,LR45个用户,10min |
|
|
|
|
4.4.对抗测试
预期结果 |
测试结果 |
对SSR文件破坏测试 |
|
对SSR注册表键值破坏测试 |
|
对SSR 进程破坏测试 |
|
Pstools套件对SSR进行破坏性测试 |
|
Syscheck对SSR进行破坏性测试 |
|
IceSword对SSR进行破坏性测试 |
|
Gmer对SSR进行破坏性测试 |
|
ASPAdmin篡改网页和种植脚本后门测试 |
|
ASPAdmin删除网站文件测试 |
|
破坏系统测试(格式化硬盘) |
|
种植系统后门(Poison Ivy) |
|
熊猫烧香病毒测试 |
|
数据窃取测试 |
|
5.测试工具(见附件) Pstools套件
PsTools是Sysinternals公司推出的一个功能强大的远程管理工具包,一共由12个命令组成,可以用来远程管理Windows NT/2000/XP系统。该软件在Dos窗口中操作,虽然没有漂亮的图形界面,但是功能却十分强大,使用起来也很简便。
使用该软件功能:进程管理类,注册表管理类,文件管理类。
Wsyscheck
一款强大的系统检测维护工具,进程和服务驱动检查,SSDT强化检测,文件查询,注册表操作,DOS删除等一应俱全。该作品为wangsea近期的主打作品,深山红叶系出自他。
使用该软件功能:进程管理类,注册表管理类,文件管理类。
IceSword
一斩断黑手的利刃,它适用于Windows 2000/XP/2003 操作系统,其内部功能是十分强大,用于查探系统中的幕后黑手-木马后门,并作出处理。可轻而易举地隐藏进程、端口、注册表、文件信息。
使用该软件功能:进程管理类,注册表管理类,文件管理类。
Gmer
GMER是一款来自波兰的多功能安全监控分析应用软件。它能查看隐藏的进程、服务、驱动,还能检查rootkikt,启动项目,并且具有内置 CMD 和注册表编辑器,GMER具有强大监控能,能很好的保护你的系统安装!GMER还具备自己系统安全模式,是清理顽固木马、病毒得心应手的工具。
使用该软件功能:进程管理类,注册表管理类,文件管理类。
ASPAdmin
ASP站点管理工具,具有服务器信息探针,文件浏览、打包、解压,批量文件上传,搜索,数据库操作等功能。
使用该软件功能:文件管理类。
Poison Ivy
一个小巧的后门程序,功能强大还支持插件开发。
使用该软件功能:客户端生成类,客户端管理类。
我们知道,公司或者企业或者政府等的重要数据都是保存在磁盘上的文件系统上的,所以我们需要保护操作系统的文件子系统,那么最好的方法是什么呢?就是一个安全的操作系统,做一个安全操作系统的最好的解决方法是安全内核,也就是Security Kernel,这就是上面的图的意思。
SSR FOR Windows/Linux/AIX/Solaris安全内核加固系统在系统访问界面这一层旁路所有的文件访问操作,从驱动层来达到为主客体进行安全表示判断的目的,实现了一个真正的安全内核。
操作系统内核加固技术图示
3.测试用例
SSR版本 |
|
操作系统版本 |
|
主要应用及目录 |
应用1 目录
应用2 目录 |
安全软件 |
|
测试人员 |
|
测试时间 |
|
3.1.功能性测试用例 3.1.1.SSR安装测试
SSR安装文件是一个msi后缀的自动安装包,双击以后自动安装。
测试目标:
能实现完全安装SSR。
测试工具:
SSR
测试步骤:
1. 双击SSR服务端安装文件
2. 安装过程中会提示是否把SSR客户端安装在本机器上,是则需要插入key,否则不需要插入key,demo版跳过此步骤。
3. 输入安全管理员和审计管理员密码
4. SSR服务端安装完成
5. 在需安装SSR客户端的机器上双击SSR客户端安装文件
6. 自动安装完成
测试结果:
预期结果 |
测试结果 |
插入key的情况下(demo版忽略key操作),能成功安装SSR |
|
3.1.2.文件强制访问控制模块测试
文件强制访问控制模块可以设置文件强制保护规则,实现只允许特定进程对特定文件/目录具有只读/写权限或者只允许特定用户对特定文件/目录具有只读/写权限。对于SSR保护的文件/目录,任何不允许的进程/用户(包括系统管理员)都无法对其进行读写操作。
测试目标:
对于SSR保护的文件/目录,任何不允许的进程/用户(包括系统管理员)都无法破坏。
测试工具:
SSR
Ø 用户对文件具有读权限
测试步骤:
1. 新建一个文本文档test.txt
2. 插入USB-key,demo版跳过此步骤。
3. 登陆SSR安全管理员界面
4. 选择文件强制访问控制模块
5. 单击新建规则按钮
6. 客体选择新建的文本文档,主体选择administrator用户,权限设置为允许读取
7. 尝试用administrator用户打开SSR保护的文档
8. 客体选择新建的文本文档,主体选择Guest用户,权限设置为允许读取
9. 尝试用administrator用户打开SSR保护的文档
测试结果:
预期结果 |
测试结果 |
指定用户可以打开SSR保护的文件,其他用户不可以 |
|
Ø 用户对文件具有写权限
测试步骤:
1. 新建一个文本文档test.txt
2. 插入USB-key,demo版跳过此步骤。
3. 登陆SSR安全管理员界面
4. 选择文件强制访问控制模块
5. 单击新建规则按钮
6. 客体选择新建的文本文档,主体选择administrator用户,权限设置为允许写入
7. 尝试用administrator用户往SSR保护的文档中写入东西,在cmd环境下输入echo 11>> test.txt
8. 客体选择新建的文本文档,主体选择Guest用户,权限设置为允许写入
9. 尝试用administrator用户往SSR保护的文档中写入东西
测试结果:
预期结果 |
测试结果 |
指定用户可以写SSR保护的文件,其他用户不可以 |
|
Ø 用户对文件具有所有权限
测试步骤:
1. 新建一个文本文档test.txt
2. 插入USB-key,demo版跳过此步骤。
3. 登陆SSR安全管理员界面
4. 选择文件强制访问控制模块
5. 单击新建规则按钮
6. 客体选择新建的文本文档,主体选择administrator用户,权限设置为允许所有操作
7. 尝试用administrator用户打开SSR保护的文档和写入东西
8. 客体选择新建的文本文档,主体选择Guest用户,权限设置为允许所有操作
9. 尝试用administrator用户打开SSR保护的文档和写入东西
测试结果:
预期结果 |
测试结果 |
指定用户可以打开SSR保护的文件和写入,其他用户不可以 |
|
Ø 用户对目录具有读权限
测试步骤:
1. 新建一个目录test
2. 插入USB-key,demo版跳过此步骤。
3. 登陆SSR安全管理员界面
4. 选择文件强制访问控制模块
5. 单击新建规则按钮
6. 客体选择新建的test目录,主体选择administrator用户,权限设置为允许读取
7. 尝试用administrator用户打开SSR保护的目录
8. 客体选择新建的test目录,主体选择Guest用户,权限设置为允许读取
9. 尝试用administrator用户打开SSR保护的目录
测试结果:
预期结果 |
测试结果 |
指定用户可以打开SSR保护的目录,其他用户不可以 |
|
Ø 用户对目录具有写权限
测试步骤:
1. 新建一个目录test
2. 插入USB-key,demo版跳过此步骤。
3. 登陆SSR安全管理员界面
4. 选择文件强制访问控制模块
5. 单击新建规则按钮
6. 客体选择新建的test目录,主体选择administrator用户,权限设置为允许写入
7. 尝试用administrator用户往SSR保护的目录里创建文件,在cmd环境下输入echo 11>>路径\test\1.txt
8. 客体选择新建的test目录,主体选择Guest用户,权限设置为允许写入
9. 尝试用administrator用户往SSR保护的目录创建文件
测试结果:
预期结果 |
测试结果 |
指定用户可以写SSR保护的目录,其他用户不可以 |
|
Ø 用户对目录具有所有权限
测试步骤:
1. 新建一个目录test
2. 插入USB-key,demo版跳过此步骤。
3. 登陆SSR安全管理员界面
4. 选择文件强制访问控制模块
5. 单击新建规则按钮
6. 客体选择新建的test目录,主体选择administrator用户,权限设置为允许所有操作
7. 尝试用administrator用户打开test目录并创建文件test.txt
8. 客体选择新建的test目录,主体选择Guest用户,权限设置为允许所有操作
9. 尝试用administrator用户打开test目录并创建文件test.txt
测试结果:
预期结果 |
测试结果 |
指定用户可以读写SSR保护的目录,其他用户不可以 |
|
Ø 进程对文件具有读权限
测试步骤:
1. 新建一个文本文档test.txt
2. 插入USB-key,demo版跳过此步骤。
3. 登陆SSR安全管理员界面
4. 选择文件强制访问控制模块
5. 单击新建规则按钮
6. 客体选择新建的文本文档,主体选择cmd.exe进程(需要事先在运行框中输入cmd.exe,启动该进程),权限设置为允许读取
7. 尝试用cmd.exe进程打开SSR保护的文档,输入type test.txt
8. 尝试用记事本打开SSR保护的文档
测试结果:
预期结果 |
测试结果 |
指定进程可以打开SSR保护的文件,其他进程不可以 |
|
Ø 进程对文件具有写权限
测试步骤:
1. 新建一个文本文档test.txt
2. 插入USB-key,demo版跳过此步骤。
3. 登陆SSR安全管理员界面
4. 选择文件强制访问控制模块
5. 单击新建规则按钮
6. 客体选择新建的文本文档,主体选择cmd.exe进程(需要事先在运行框中输入cmd.exe,启动该进程),权限设置为允许写入
7. 尝试用cmd.exe进程往SSR保护的文档中写入东西,输入echo 11>> test.txt
8. 尝试用记事本往SSR保护的文档中写入东西
测试结果:
预期结果 |
测试结果 |
指定进程可以写SSR保护的文件,其他进程不可以 |
|
Ø 进程对文件具有所有权限
测试步骤:
1. 新建一个文本文档test.txt
2. 插入USB-key,demo版跳过此步骤。
3. 登陆SSR安全管理员界面
4. 选择文件强制访问控制模块
5. 单击新建规则按钮
6. 客体选择新建的文本文档,主体选择cmd.exe进程(需要事先在运行框中输入cmd.exe,启动该进程),权限设置为允许所有操作
7. 尝试用cmd.exe打开SSR保护的文档和写入东西,type test.txt echo 11>>test.txt
8. 尝试用记事本打开SSR保护的文档和写入东西
测试结果:
预期结果 |
测试结果 |
指定进程可以打开SSR保护的文件和写入,其他进程不可以 |
|
Ø 进程对目录具有读权限
测试步骤:
1. 新建一个目录test
2. 插入USB-key,demo版跳过此步骤。
3. 登陆SSR安全管理员界面
4. 选择文件强制访问控制模块
5. 单击新建规则按钮
6. 客体选择新建的test目录,主体选择cmd.exe进程(需要事先在运行框中输入cmd.exe,启动该进程),权限设置为允许读取
7. 尝试用cmd.exe进程打开SSR保护的目录,cd test
8. 尝试鼠标双击打开SSR保护的目录(双击调用explorer.exe进程打开目录)
测试结果:
预期结果 |
测试结果 |
指定进程可以打开SSR保护的目录,其他进程不可以 |
|
Ø 进程对目录具有写权限
测试步骤:
1. 新建一个目录test
2. 插入USB-key,demo版跳过此步骤。
3. 登陆SSR安全管理员界面
4. 选择文件强制访问控制模块
5. 单击新建规则按钮
6. 客体选择新建的test目录,主体选择cmd.exe进程(需要事先在运行框中输入cmd.exe,启动该进程),权限设置为允许写入
7. 尝试用cmd.exe往SSR保护的目录里创建文件,输入echo 11>>路径\test\1.txt
8. 尝试用鼠标右键往SSR保护的目录创建文件
测试结果:
预期结果 |
测试结果 |
指定进程可以写SSR保护的目录,其他进程不可以 |
|
Ø 进程对目录具有所有权限
测试步骤:
1. 新建一个目录test
2. 插入USB-key,demo版跳过此步骤。
3. 登陆SSR安全管理员界面
4. 选择文件强制访问控制模块
5. 单击新建规则按钮
6. 客体选择新建的test目录,主体选择cmd.exe进程(需要事先在运行框中输入cmd.exe,启动该进程),权限设置为允许所有操作
7. 尝试用cmd.exe进程打开test目录并创建文件test.txt,cd test和echo 11>>test.txt
8. 尝试用鼠标打开test目录并创建文件test.txt
测试结果:
预期结果 |
测试结果 |
指定进程可以读写SSR保护的目录,其他进程不可以 |
|
3.1.3.进程强制访问控制测试
进程强制访问控制模块可以设置进程强制访问规则,对于SSR保护的进程,任何用户都无法终止,即使是系统管理员权限也不能。
测试目标:
对于SSR保护的进程,任何用户都无法终止该进程。
测试工具:
SSR, EF Process Manager4.4(用户也可选择其他可对进程操作的工具进行测试)
Ø 受保护进程不可以被终止
测试步骤:
1. 尝试用任务管理器终止explorer.exe进程
2. 新建explorer.exe进程
3. 插入USB-key,demo版跳过此步骤。
4. 登陆SSR安全管理员界面
5. 选择进程强制访问控制模块
6. 单击新建规则按钮
7. 客体选择explorer.exe进程,主体选择所有进程,规则限制选择除终止进程以外的所有权限
8. 尝试用任务管理器终止explorer.exe进程
测试结果:
Ø 第三方工具也无法终止受保护进程
测试步骤:
1. 保护前尝试用EF Process Manager终止explorer.exe进程
2. 新建explorer.exe进程
3. 插入USB-key,demo版跳过此步骤。
4. 登陆SSR安全管理员界面
5. 选择进程强制访问控制模块
6. 单击新建规则按钮
7. 客体选择explorer.exe进程,主体选择所有进程,规则限制选择除终止进程以外的所有权限
8. 尝试用EF Process Manager终止explorer.exe进程
测试结果:
3.1.4.注册表强制访问控制测试
注册表强制访问控制模块可以设置注册表强制访问规则,实现注册表只读,以防止非法进程对注册表进行修改。对于SSR保护的注册表,任何用户都无法修改,即使是系统管理员权限也不能。
测试目标:
对于SSR保护的注册表,任何用户都无法修改。
测试工具:
SSR,regedt33.exe(用户也可选择其他可对注册表进行编辑的工具测试)
Ø 注册表只读
测试步骤:
1. 运行框中输入regedit,在HKLM->software中新建一个注册表项test
2. 插入USB-key,demo版跳过此步骤。
3. 登陆SSR安全管理员界面
4. 选择注册表强制访问控制模块
5. 单击新建规则按钮
6. 客体选择在HKLM->software->test,主体选择所有进程,规则限制选择允许读取/复制
7. 尝试用regedit打开test,并往该项中写一个键值或项,再尝试用工具regedt33打开test,并往该项中写一个键值或项。
测试结果:
Ø 注册表禁止所有操作
测试步骤:
1. 运行框中输入regedit,在HKLM->software中新建一个注册表项test
2. 插入USB-key,demo版跳过此步骤。
3. 登陆SSR安全管理员界面
4. 选择注册表强制访问控制模块
5. 单击新建规则按钮
6. 客体选择在HKLM->software->test,主体选择所有进程,规则限制选择禁止所有操作
7. 尝试用regedit打开test,并往该项中写一个键值或项,再尝试用工具regedt33打开test,并往该项中写一个键值或项。
测试结果:
预期结果 |
测试结果 |
往受保护注册表项中打开或写入失败 |
|
3.1.5.服务强制访问控制测试
服务强制访问控制模块实现对服务状态的保护,激活此功能以后,任何用户都无法改变服务的启动类型,也无法添加新的服务,即使是系统管理员权限也不能。
测试目标:
激活SSR服务强制访问控制功能,任何用户都无法改变服务启动类型。
测试工具:
SSR
Ø 禁止修改服务启动类型
测试步骤:
1. 插入USB-key,demo版跳过此步骤。
2. 登陆SSR安全管理员界面
3. 单击驱动管理按钮
4. 先抬起服务强制访问控制的按钮
5. 控制面板中选择管理工具->服务,打开windows服务面板
6. 改变windows自动更新服务的启动类型
7. 激活SSR服务强制访问控制功能,再尝试改变windows自动更新服务的启动类型
测试结果:
预期结果 |
测试结果 |
SSR服务强制访问控制激活后,修改服务启动类型失败 |
|
3.1.6.文件完整性测试
文件完整性测试模块可以实现对特定文件/目录的信息搜集,然后定期检测,可以发现该文件/目录的改动情况,以达到保护文件完整性的目的。
测试目标:
利用文件完整的功能进行特定文件/目录的信息搜集,改变该文件/目录内容,可检测出变化。
测试工具:
SSR
测试步骤:
1. 创建一个待测试目录test
2. 插入USB-key,demo版跳过此步骤。
3. 登陆SSR安全管理员界面
4. 选择文件完整性检测模块
5. 单击添加新项按钮,待收集/验证的目录选择test目录,记录文件选择好路径后输入文件名单击保存按钮,其他默认。
6. 选择刚才新建项,单击开始收集按钮
7. 往test中添加一个文本文档test.txt
8. 在文件完整性检测模块中单击开始检测按钮
9. 查看变化
测试结果:
预期结果 |
测试结果 |
对已收集过信息的文件进行检测后可以发现该文件的具体变化 |
|
3.1.7.服务完整性测试
服务完整性测试模块可以实现对服务器当前所有服务的信息搜集,然后定期检测,可以发现服务的改动情况,以达到保护服务完整性的目的。
测试目标:
利用服务完整的功能进行服务器当前所有服务的信息搜集,改变某个服务的状态,可检测出变化。
测试工具:
SSR
测试步骤:
1. 插入USB-key,demo版跳过此步骤。
2. 登陆SSR安全管理员界面
3. 选择服务完整性检测模块
4. 单击收集信息按钮,收集当前服务的基本信息。
5. 先抬起服务强制访问控制的按钮
6. 控制面板中选择管理工具->服务,打开windows服务面板
7. 改变windows自动更新服务的启动类型或停止该服务
8. 返回服务完整性检测模块,单击开始检测按钮
9. 查看变化
测试结果:
预期结果 |
测试结果 |
对已收集过信息的服务,改变其状态,再检测后可以发现服务的变化 |
|
3.1.8.SSR卸载测试
卸载SSR也是一个全自动的过程,可以在开始菜单中卸载,也可以在windows的“添加/卸载”中卸载。
测试目标:
能实现SSR的完全卸载。
测试工具:
SSR
测试步骤:
1. 在安装SSR客户端的机器上插入USB-key,demo版跳过此步骤。
2. 控制面板->添加或删除程序,选择SSR服务端,单击删除按钮
3. 输入安全管理员密码开始卸载,再次输入安全管理员密码确认卸载
4. 对于windows 2003服务器需要重新启动才能完成完全卸载,对于windows 2008服务器不需重启
5. 卸载SSR客户端同上,但不需要输入密码
测试结果:
预期结果 |
测试结果 |
插入key(demo版忽略key操作)能成功卸载SSR |
|
3.2.兼容性测试用例
兼容性测试主要是为了测试SSR在不同的应用环境中,功能是否正常,是否影响其他应用的正常运行。
测试目标:
SSR能与其他应用共同存在,运行正常,系统所耗资源与之前差距在可接受范围以内。
测试工具:
SSR,杀软等各种应用
3.2.1.SSR功能测试
预期结果 |
测试结果 |
杀软所有监控开启状态,遇到提示放过SSR,成功安装SSR |
|
杀软所有监控关闭状态,成功安装SSR |
|
杀软所有监控开启状态,遇到提示放过SSR,成功卸载SSR |
|
杀软所有监控关闭状态,成功卸载SSR |
|
杀软所有监控开启状态,SSR强制访问控制功能工作正常 |
|
杀软所有监控开启状态,SSR驱动管理工作正常,能激活和停止 |
|
杀软所有监控开启状态,SSR驱动管理随机激活工作正常 |
|
杀软所有监控开启状态,SSR驱动随机加载工作正常 |
|
3.2.2.杀软功能测试
预期结果 |
测试结果 |
停止SSR所有驱动时,杀软成功安装 |
|
停止SSR所有驱动时,杀软成功卸载 |
|
开启SSR所有功能,导入中级模板,杀软界面操作无明显延迟 |
|
开启SSR所有功能,导入中级模板,杀软实时监控功能能正常开启和关闭 |
|
开启SSR所有功能,导入中级模板,杀软实时监控功能能报告发现病毒并查杀 |
|
开启SSR所有功能,导入中级模板,杀软实时监控功能开启,系统无明显延迟 |
|
开启SSR所有功能,导入中级模板板,杀软实时监控功能开启,SSR模板保护功能正常 |
|
开启SSR所有功能,导入中级模板,杀软全盘扫描能报告发现病毒并查杀 |
|
开启SSR所有功能,导入中级模板,杀软全盘扫描,系统不宕机 |
|
开启SSR所有功能,导入中级模板,杀软全盘扫描,win32server.exe进程不占用过多cpu资源,如频繁99% |
|
开启SSR所有功能,导入中级模板,杀软全盘扫描,不误报SSR文件为病毒 |
|
杀软所有监控开启状态,安装SSR成功后重启正常 |
|
系统重启后,杀软和SSR功能正常 |
|
SSR安装前后系统关闭重启时间不超过1.3倍 |
|
开启所有驱动时,杀软扫描功能正常。 |
|
杀软其他工具不会破坏SSR保护 |
|
将杀软添加到信任列表,开启SSR所有功能,导入中级模板,杀软全盘扫描,系统不宕机、蓝屏 |
|
将杀软添加到信任列表,杀软正常运行 |
|
将杀软添加到信任列表,将杀软进程添加到信任列表,导入中级模板,杀软全盘扫描,win32server.exe进程不占用过多cpu资源,如频繁99% |
|
将杀软添加到信任列表,开启SSR所有功能,导入中级模板,杀软实时监控功能开启,系统无明显延迟 |
|
3.3.性能测试用例 3.3.1.测试描述
在测试数据准备完成后,分别对无SSR、SSR无策略和SSR中级模板策略环境下进行测试,记录每次测试的CPU(使用量)、内存(可用内存量)、网络、磁盘读写。本次测试中,将使用Mercury公司的性能测试工具LoadRunner9.0对被测服务器进行压力测试和监控,记录系统cpu使用量、内存可用量、磁盘读写和网络数据。
常量:
T:LoadRuner运行时间,参考值为10min,T值越大,输出结果越可靠。
X:未装SSR,使用LoadRuner运行时间为T,使系统cpu使用量维持在30%,需要并发的用户数,不同系统,硬件性能不一样,X的值也会有所不同。
Y:未装SSR,使用LoadRuner运行时间为T,使系统cpu使用量达到50%,需要并发的用户数,不同系统,硬件性能不一样,Y的值也会有所不同。
Z:未装SSR,使用LoadRuner运行时间为T,使系统cpu使用量达到70%,需要并发的用户数,不同系统,硬件性能不一样,Z的值也会有所不同。
情景1:
A:未安装SSR
B:已安装SSR,但SSR未配置安全策略
C:已安装SSR,SSR导入中级模板策略
性能测试参数2:
P3:配置LoadRunner为X个用户并发,运行时间为T,使系统cpu使用量达到30%
P5:配置LoadRunner为Y个用户并发,运行时间为T,使系统cpu使用量达到50%
P7:配置LoadRunner为Z个用户并发,运行时间为T,使系统cpu使用量达到70%
3.3.2.测试目的
A+P3,A+P5,A+P7这三种情况下没有SSR的影响,输出的结果包括CPU使用量,内存剩余值,磁盘I/O读写速率,网络速率,可以作为本次测试的参考值。然后分别测试B+P3,B+P5,B+P7和C+P3,C+P5,C+P7这几种情况。只要A+P3,B+P3,C+P3的输出结果相差不超过10%,或者在用户的可接受范围之内则测试通过,同理A+P5,B+P5,C+P5输出结果相差不超过10%,A+P7,B+P7,C+P7输出结果相差也不超过10%。
3.3.3.测试工具
Web服务器,web应用,SSR,loadrunner9.0
3.3.4.测试流程
输入web应用URL地址---->回车跳转并正确显示首页---->输入用户和密码,点击“登录”按钮---->成功登录---->点击选择的商品---->成功进入商品界面。
3.3.5.用例
用例 |
CPU (使用量) |
磁盘I/O读写 |
内存(可用量) |
网络传输速率 |
A+P3 |
|
|
|
|
B+P3 |
|
|
|
|
C+P3 |
|
|
|
|
A+P5 |
|
|
|
|
B+P5 |
|
|
|
|
C+P5 |
|
|
|
|
A+P7 |
|
|
|
|
B+P7 |
|
|
|
|
C+P7 |
|
|
|
|
3.3.6.测试报告(参考)
测试环境 |
Vware ESX虚拟机:Windows 2003 32位 SE Sp2 |
硬件信息 |
CPU:Intel®Xeon E5506 2.13GHZ 内存:1GB 硬盘:8G |
应用 |
IIS6.0、Sqlserver2000、ASP网站 |
测试人员 |
马晶辉 |
SSR版本 |
SSR1.0.2.2 Daemo |
|
性能参数 |
CPU (使用量) |
磁盘I/O读写 |
内存(可用) |
网络 |
场景1 |
无SSR,LR6个用户,10min |
30.579% |
253086.793bytes/sec |
722.458MB |
198715.727bytes/sec |
有SSR驱动激活,LR6个用户,10min |
33.188% |
194567.387bytes/sec |
720.493MB |
151711.61bytes/sec |
有SSR中级模板,LR6个用户,10min |
35.039% |
208459.405bytes/sec |
740.194MB |
146618.651bytes/sec |
场景2 |
无SSRLR15个用户并发,10min |
49.60% |
351028.384bytes/sec |
718.537MB |
288930.103bytes/sec |
有SSR驱动激活,LR15个用户并发,10min |
51.081% |
260857.278bytes/sec |
701.045MB |
210639.754bytes/sec |
有SSR中级模板,LR15个用户并发,10min |
54.831% |
268338.599bytes/sec |
706.781MB |
218744.987bytes/sec |
场景3 |
无SSR,LR25个用户,10min |
69.16% |
457567.836bytes/sec |
708.275 |
379073.707bytes/sec |
有SSR驱动激活,LR25个用户,10min |
72.116% |
329047.871bytes/sec |
709.335MB |
272340.88bytes/sec |
有SSR中级模板,LR25个用户,10min |
74.462% |
312594.776bytes/sec |
708.597MB |
265467.299bytes/sec |
场景4 |
无SSR,LR45个用户,10min |
89.227% |
562962.535bytes/sec |
689.244MB |
478607.389bytes/sec |
有SSR,LR45个用户,10min |
91.166% |
377265.165bytes/sec |
683.25MB |
322888.5834bytes/sec |
有SSR中级模板,LR45个用户,10min |
93.854% |
395115.238bytes/sec |
697.14MB |
329015.602bytes/sec |
3.4.对抗性测试用例
注意:附带测试Tools中包含有测试用的病毒可能导致杀毒软件报警或者删除,所以在测试前请尽量选择物理隔离的服务器并关掉杀毒软件。
3.4.1.SSR自身安全性测试
本测试是测试SSR自身的安全性,即SSR是否会被恶意删除或者更改导致SSR功能失效而失去保护作用。
测试目标
即使是管理员权限,也不能破坏SSR的功能。
测试工具
Pstools套件,syscheck,IceSword,gmer等
SSR策略
系统保护策略(导入文件高级模板,注册表高级模板,进程高级模板)
1). 基于系统功能的破坏性测试
本测试是在管理员的权限下利用Windows自身的功能测试SSR的安全性。
Ø 对SSR文件破坏测试
测试步骤
1. 以管理员权限登陆系统
2. 尝试用资源管理删除与更名SSR程序文件
3. 使用del,rename命令尝试删除或者更名SSR目录的文件。
测试结果
预期结果 |
测试结果 |
系统中尝试删除SSR文件无法删除 |
|
Ø 对SSR注册表键值破坏测试
测试步骤
1. 以管理员权限登陆系统
2. 尝试用注册表编辑器删除与更名SSR的注册表键值
3. 进一步使用reg命令测试
测试结果
预期结果 |
测试结果 |
尝试用regedit删除SSR注册表项,无法删除 |
|
Ø 对SSR 进程破坏测试
测试步骤
1. 以管理员权限登陆系统
2. 尝试用Windows任务管理器结束SSR的进程
3. 进一步使用taskkill等命令测试
测试结果
预期结果 |
测试结果 |
系统中尝试结束SSR进程,无法结束 |
|
2).基于工具破坏性的测试
本测试是在管理员权限下以多种工具为辅助来测试SSR的安全性。
Ø Pstools套件破坏性测试
测试步骤
1. 以管理员权限登陆系统
2. 把测试工具拷贝到系统中
3. 利用工具尝试删除或者更名SSR程序文件
4. 利用工具尝试删除或更名SSR的注册表键值
5. 利用pskill.exe尝试结束SSR的进程
测试结果.
预期结果 |
测试结果 |
尝试用pstools套件破坏SSR文件,进程和注册表,无法破坏 |
|
Ø syscheck破坏性测试
测试步骤
1. 以管理员权限登陆系统
2. 把测试工具拷贝到系统中
3. 利用syscheck工具尝试删除或者更名SSR程序文件
4. 利用syscheck工具删除或更名SSR的注册表键值
5. 利用syscheck尝试结束SSR的进程
测试结果
预期结果 |
测试结果 |
尝试用syscheck破坏SSR文件,进程和注册表,无法破坏 |
|
Ø IceSword破坏性测试
测试步骤
1. 以管理员权限登陆系统
2. 把测试工具拷贝到系统中
3. 利用IceSword工具尝试删除或者更名SSR程序文件
4. 利用IceSword工具删除或更名SSR的注册表键值
5. 利用IceSword尝试结束SSR的进程
测试结果
预期结果 |
测试结果 |
尝试用IceSword破坏SSR文件,进程和注册表,无法破坏 |
|
Ø gmer破坏性测试
测试步骤
1. 以管理员权限登陆系统
2. 把测试工具拷贝到系统中
3. 利用gmer工具尝试删除或者更名SSR程序文件
4. 利用gmer工具删除或更名SSR的注册表键值
5. 利用gmer尝试结束SSR的进程
测试结果
预期结果 |
测试结果 |
尝试用gmer破坏SSR文件,进程和注册表,无法破坏 |
|
3.4.2.网页脚本木马测试
对抗性测试主要是模拟黑客入侵,测试SSR系统加固策略(即:SSR配置的规则)的合理性和对恶意攻击的抵抗性。
测试目标
即使在管理员权限被窃取的情况下,也能够防止黑客篡改网站脚本,种植脚本后门,种植系统后门。能够防止系统被病毒感染。
测试工具
上传和编辑功能脚本,脚本后门,系统后门(我们提供一些,用户自备一些),病毒样本(我们提供一些,用户自备一些)
SSR策略
系统保护策略(文件高级模板,注册表高级模板,进程高级模板),网站保护策略(所有进程对网站目录只读)
Ø ASPAdmin篡改网页和种植脚本后门测试
测试步骤
1. 首先关闭SSR保护功能。
2. 把ASPAdmin脚本程序复制到网站目录下。
3. 打开SSR的保护功能。
4. 尝试利用脚本功能篡改网页。
5. 尝试利用脚本功能添加脚本后门。
测试结果
预期结果 |
测试结果 |
尝试用asp脚本后门篡改网页,无法篡改 |
|
Ø ASPAdmin删除网站文件测试
测试步骤
1. 首先关闭SSR保护功能。
2. 把ASPAdmin脚本程序复制到网站目录下。
3. 打开SSR的保护功能。
4. 尝试利用脚本功能删除网站的脚本文件。
测试结果
预期结果 |
测试结果 |
尝试用asp脚本后门删除网页,无法删除 |
|
3.4.3.破坏系统测试(格式化硬盘)
测试步骤
1. 尝试在系统选择一个硬盘分区,启动格式化工具,格式化分区。
2. 尝试在“计算机管理”中的“磁盘管理”功能格式化选择分区。
测试结果:
预期结果 |
测试结果 |
SSR保护生效,尝试格式化磁盘操作,无法格式化 |
|
3.4.4.种植系统后门(Poison Ivy)
测试步骤
1. 启动Poison Ivy生成服务端EXE文件。
2. 点击运行生成的EXE文件。
3. 查看是否有新进程运行。
4. 查看控制端是否有上线连接。
测试结果:
预期结果 |
测试结果 |
SSR保护生效,尝试种植exe后门,无法种植 |
|
3.4.5.熊猫烧香病毒测试
模拟病毒感染。用管理员权限登陆系统,然后执行以下操作。
测试步骤
1. 把测试病毒样本拷贝到系统中。
2. 执行病毒样本程序自动感染系统文件。
3. 查看系统目录里的程序是否有被感染后熊猫烧香图标。
测试结果:
预期结果 |
测试结果 |
SSR保护生效,尝试释放熊猫烧香病毒,无法感染 |
|
3.4.6.数据窃取测试
模拟黑客窃取重要数据信息。用管理员权限登陆系统,然后执行以下操作。
测试步骤
1. 用SSR保护某目录/文件设置权限为所有进程禁止所有操作。
2. 尝试在系统中复制被SSR保护的数据或用打包工具(WinRAR)打包SSR保护的目录/文件。
3. 尝试在系统中使用系统命令行工具(copy)复制SSR保护的目录/文件。
测试结果:
预期结果 |
测试结果 |
SSR保护生效,尝试复制和打包受保护文件,无法操作 |
|
4.测试结果一览表 4.1.功能测试
测试用例 |
测试结果 |
插入key能成功安装SSR |
|
插入key能成功卸载SSR |
|
受安全策略保护的注册表键值,SSR能够完全实现保护。 |
|
受安全策略的进程,SSR能够完全实现保护。 |
|
该模块能够实现及时发现新增服务,并立即强行终止和删除新增服务的功能。 |
|
能够完全实现对文件的完整性检验 |
|
能够完全实现对服务的完整性检验 |
|
4.2.兼容测试
预期结果 |
测试结果 |
SSR功能测试 |
杀软所有监控开启状态,遇到提示放过SSR,成功安装SSR |
|
杀软所有监控关闭状态,成功安装SSR |
|
杀软所有监控开启状态,遇到提示放过SSR,成功卸载SSR |
|
杀软所有监控关闭状态,成功卸载SSR |
|
杀软所有监控开启状态,SSR强制访问控制功能工作正常 |
|
杀软所有监控开启状态,SSR驱动管理工作正常,能激活和停止 |
|
杀软所有监控开启状态,SSR驱动管理随机激活工作正常 |
|
杀软所有监控开启状态,SSR驱动随机加载工作正常 |
|
杀软功能测试 |
停止SSR所有驱动时,杀软成功安装 |
|
停止SSR所有驱动时,杀软成功卸载 |
|
开启SSR所有功能,导入中级模板,杀软界面操作无明显延迟 |
|
开启SSR所有功能,导入中级模板,杀软实时监控功能能正常开启和关闭 |
|
开启SSR所有功能,导入中级模板,杀软实时监控功能能报告发现病毒并查杀 |
|
开启SSR所有功能,导入中级模板,杀软实时监控功能开启,系统无明显延迟 |
|
开启SSR所有功能,导入中级模板板,杀软实时监控功能开启,SSR模板保护功能正常 |
|
开启SSR所有功能,导入中级模板,杀软全盘扫描能报告发现病毒并查杀 |
|
开启SSR所有功能,导入中级模板,杀软全盘扫描,系统不宕机 |
|
开启SSR所有功能,导入中级模板,杀软全盘扫描,win32server.exe进程不占用过多cpu资源,如频繁99% |
|
开启SSR所有功能,导入中级模板,杀软全盘扫描,不误报SSR文件为病毒 |
|
杀软所有监控开启状态,安装SSR成功后重启正常 |
|
系统重启后,杀软和SSR功能正常 |
|
SSR安装前后系统关闭重启时间不超过1.3倍 |
|
开启所有驱动时,杀软扫描功能正常。 |
|
杀软其他工具不会破坏SSR保护 |
|
将杀软添加到信任列表,开启SS
R所有功能,导入中级模板,杀软全盘扫描,系统不宕机、蓝屏 |
|
将杀软添加到信任列表,杀软正常运行 |
|
将杀软添加到信任列表,将杀软进程添加到信任列表,导入中级模板,杀软全盘扫描,win32server.exe进程不占用过多cpu资源,如频繁99% |
|
将杀软添加到信任列表,开启SSR所有功能,导入中级模板,杀软实时监控功能开启,系统无明显延迟 |
|
4.3.性能测试
|
性能参数 |
CPU (使用量) |
磁盘I/O读写 |
内存(可用) |
网络 |
场景1 |
无SSR,LR6个用户,10min |
|
|
|
|
有SSR驱动激活,CPU30%时,LR6个用户,10min |
|
|
|
|
有SSR中级模板,LR6个用户,10min |
|
|
|
|
场景2 |
无SSRLR15个用户并发,10min |
|
|
|
|
有SSR驱动激活,LR15个用户并发,10min |
|
|
|
|
有SSR中级模板,LR15个用户并发,10min |
|
|
|
|
场景3 |
无SSR,LR25个用户,10min |
|
|
|
|
有SSR驱动激活,LR25个用户,10min |
|
|
|
|
有SSR中级模板,LR25个用户,10min |
|
|
|
|
场景4 |
无SSR,LR45个用户,10min |
|
|
|
|
有SSR,LR45个用户,10min |
|
|
|
|
有SSR中级模板,LR45个用户,10min |
|
|
|
|
4.4.对抗测试
预期结果 |
测试结果 |
对SSR文件破坏测试 |
|
对SSR注册表键值破坏测试 |
|
对SSR 进程破坏测试 |
|
Pstools套件对SSR进行破坏性测试 |
|
Syscheck对SSR进行破坏性测试 |
|
IceSword对SSR进行破坏性测试 |
|
Gmer对SSR进行破坏性测试 |
|
ASPAdmin篡改网页和种植脚本后门测试 |
|
ASPAdmin删除网站文件测试 |
|
破坏系统测试(格式化硬盘) |
|
种植系统后门(Poison Ivy) |
|
熊猫烧香病毒测试 |
|
数据窃取测试 |
|
5.测试工具(见附件) Pstools套件
PsTools是Sysinternals公司推出的一个功能强大的远程管理工具包,一共由12个命令组成,可以用来远程管理Windows NT/2000/XP系统。该软件在Dos窗口中操作,虽然没有漂亮的图形界面,但是功能却十分强大,使用起来也很简便。
使用该软件功能:进程管理类,注册表管理类,文件管理类。
Wsyscheck
一款强大的系统检测维护工具,进程和服务驱动检查,SSDT强化检测,文件查询,注册表操作,DOS删除等一应俱全。该作品为wangsea近期的主打作品,深山红叶系出自他。
使用该软件功能:进程管理类,注册表管理类,文件管理类。
IceSword
一斩断黑手的利刃,它适用于Windows 2000/XP/2003 操作系统,其内部功能是十分强大,用于查探系统中的幕后黑手-木马后门,并作出处理。可轻而易举地隐藏进程、端口、注册表、文件信息。
使用该软件功能:进程管理类,注册表管理类,文件管理类。
Gmer
GMER是一款来自波兰的多功能安全监控分析应用软件。它能查看隐藏的进程、服务、驱动,还能检查rootkikt,启动项目,并且具有内置 CMD 和注册表编辑器,GMER具有强大监控能,能很好的保护你的系统安装!GMER还具备自己系统安全模式,是清理顽固木马、病毒得心应手的工具。
使用该软件功能:进程管理类,注册表管理类,文件管理类。
ASPAdmin
ASP站点管理工具,具有服务器信息探针,文件浏览、打包、解压,批量文件上传,搜索,数据库操作等功能。
使用该软件功能:文件管理类。
Poison Ivy
一个小巧的后门程序,功能强大还支持插件开发。
使用该软件功能:客户端生成类,客户端管理类。