LeakTest - Firewall testen

Zacherl

Hey,

hab mal ein kleines Programm geschrieben, was dazu dient die Integrität eurer Firewall zu testen. Das Programm verwendet diverse Techniken, die versuchen die Firewall zu umgehen.

Letztendlich erscheint meine Stufenpage, wenn alles funktioniert hat. Dann sollte eure Firewall auch keinen Alarm schlagen.

Kernel Hooks werden noch nicht umgangen, daher werden einige Firewalls Alarm schlagen. AntiViren Programme müssen Teilweise auch deaktiviert werden. Zumindest der proaktive Schutz von Kaspersky erkennt mein Programm als "Invader".

//Edit: Proaktiver Schutz erkennt nichts mehr + Kernel Hooks werden nun auch umgangen

Gruß Florian

**Zacherl**

Comodo Personal Firewall kenne ich gar nicht

Wird dann aber wohl auch Kernel Hooks verwenden.

@Balu: Dürfte eigentlich nichts bringen. Nicht die Explorer.exe greift auf das Internet zu, sondern mein Programm im Kontext des Standardbrowsers. Den Explorer verwende ich nur, um den Parent Prozess auf Explorer.exe zu ändern. Mein GDATA bemekrt beispielsweise, wenn der Parent Prozess sich geändert hat und fragt dann explizit nach. Normal startet man den Browser ja über die Explorer.exe, und daher wird diese als Parent Prozess auch meistens akzeptiert.

@Neotracer64: Die Methode die ich hab ist natürlich noch ausgefeilter. Hat bisher alle Hooks zuverlässig erkannt. Mh okey, die RelocHooks und IATHooks aus brechis Beispielen werden nicht unhookt. Allerdings bisher jede getestete Form von code overwriting.

Zitat von NamenLozer:

Zitat von Florian Bernd:

Welche Firewall hast du denn?

Immernoch GData

Das bezog sich auf Matze

**calculon**

Zitat von Balu der Bär:

Gut also, dass ich explorer.exe als nicht vertrauenswürdig in ZoneAlarm eingestellt habe und somit jeder Internetzugriff geblockt wird.

Habe den Explorer jetzt auch in meiner FW geblockt, das Tool verbindet sich aber trotzdem mit dem Internet

Zur Erinnerung: Ich benutze Sygate Personal...

Hat jemand eine Idee diese Lücke zu schließen - ohne, dass ich mir Outpost kaufen muss ?

Gruß

Calculon
--

Zitat von calculon:

Hat jemand eine Idee diese Lücke zu schließen - ohne, dass ich mir Outpost kaufen muss ?

Führe einfach keine Software aus nicht vertrauenswürdiger Quelle aus.

**calculon**

Zitat von Balu der Bär:

Führe einfach keine Software aus nicht vertrauenswürdiger Quelle aus.

Gibt's da auch 'ne andere Möglichkeit?

**xxl1**

Mein Antivir meldet mir: Malware/Heur entdeckt...
Liegt das an den Systemnahen Funktionen oder is die exe wirklich infiziert?

XP SP2 (32Bit)

**Neotracer64**

Das liegt daran, dass sich der Leaktest wie Malware verhält. Ist doch logisch oder nicht?

**Zacherl**

Ja genau. Es liegt wohl daran, dass AntiVir die APIs CreateRemoteThread, WriteProcessMemory, etc entdeckt. Könnte man natürlich auch bisschen schwerer machen, wenn ich die Dinger dynamisch einbinde, aber das ist ja nicht mein Ziel.

**jmit**

Hallo.

Zitat von Rakshasa:

Hmm ... sollte da eine Form erscheinen? Bei mir startet das Programm nicht - es erscheint nicht im Taskmanager, kein Fenster wird angezeigt, allerdings auch keine Fehlermeldung?

BS: Windows Vista 64Bit.

habe identischen Ablauf nur unter Windows XP SP2.

Gruß Jörg

**halinchen**

Ich hätte das auch gerne mal getestet.

Zitat:

explorer.exe hat einen Fehler festgestellt und muss beendet werden.

Windows XP Pro SP 2
Norton Internet Security 2005

**Zacherl**

Mh beide Vorgänge seltsam .. ich bau mal noch ein paar Parameter-Optionen ein. Kann mir eigentlich nur denken, dass es am API Unhooking liegt.

Balu der Bär	#43 2. Jun 2007, 14:34 Zitat von calculon: Hat jemand eine Idee diese Lücke zu schließen - ohne, dass ich mir Outpost kaufen muss ? Führe einfach keine Software aus nicht vertrauenswürdiger Quelle aus.
	Zitat

calculon Delphi 7 Personal	#44 2. Jun 2007, 15:02 Zitat von Balu der Bär: Führe einfach keine Software aus nicht vertrauenswürdiger Quelle aus. Gibt's da auch 'ne andere Möglichkeit?
	Zitat

xxl1 FreePascal / Lazarus	#45 2. Jun 2007, 15:16 Mein Antivir meldet mir: Malware/Heur entdeckt... Liegt das an den Systemnahen Funktionen oder is die exe wirklich infiziert? XP SP2 (32Bit)
	Zitat

Neotracer64 Delphi 7 Professional	#46 2. Jun 2007, 16:06 Das liegt daran, dass sich der Leaktest wie Malware verhält. Ist doch logisch oder nicht?
	Zitat

Zacherl Delphi 10.2 Tokyo Starter	#47 2. Jun 2007, 16:16 Ja genau. Es liegt wohl daran, dass AntiVir die APIs CreateRemoteThread, WriteProcessMemory, etc entdeckt. Könnte man natürlich auch bisschen schwerer machen, wenn ich die Dinger dynamisch einbinde, aber das ist ja nicht mein Ziel.
	Zitat

jmit Turbo Delphi für Win32	#48 2. Jun 2007, 17:18 Hallo. Zitat von Rakshasa: Hmm ... sollte da eine Form erscheinen? Bei mir startet das Programm nicht - es erscheint nicht im Taskmanager, kein Fenster wird angezeigt, allerdings auch keine Fehlermeldung? BS: Windows Vista 64Bit. habe identischen Ablauf nur unter Windows XP SP2. Gruß Jörg
	Zitat

halinchen Delphi 2007 Professional	#49 2. Jun 2007, 17:48 Ich hätte das auch gerne mal getestet. Zitat: explorer.exe hat einen Fehler festgestellt und muss beendet werden. Windows XP Pro SP 2 Norton Internet Security 2005 Miniaturansicht angehängter Grafiken
	Zitat

Zacherl Delphi 10.2 Tokyo Starter	#50 2. Jun 2007, 23:51 Mh beide Vorgänge seltsam .. ich bau mal noch ein paar Parameter-Optionen ein. Kann mir eigentlich nur denken, dass es am API Unhooking liegt.
	Zitat

LeakTest - Firewall testen

Forumregeln