LeakTest - Firewall testen

Zacherl

Hey,

hab mal ein kleines Programm geschrieben, was dazu dient die Integrität eurer Firewall zu testen. Das Programm verwendet diverse Techniken, die versuchen die Firewall zu umgehen.

Letztendlich erscheint meine Stufenpage, wenn alles funktioniert hat. Dann sollte eure Firewall auch keinen Alarm schlagen.

Kernel Hooks werden noch nicht umgangen, daher werden einige Firewalls Alarm schlagen. AntiViren Programme müssen Teilweise auch deaktiviert werden. Zumindest der proaktive Schutz von Kaspersky erkennt mein Programm als "Invader".

//Edit: Proaktiver Schutz erkennt nichts mehr + Kernel Hooks werden nun auch umgangen

Gruß Florian

**Neotracer64**

Also, zuerst kam bei mir auch der Fehler mit DataResource = 0.
Bin dann mit OllyDbg durchgesteppt und es hat plötzlich geklappt. Jedoch mit CreateRemoteThread und dann im Firefox.

Die anderen 2 Methoden schlugen fehl, und ich glaub jede Personal Firewall, von denen ich zwar nichts halte, fängt ein simples CreateRemoteThread ab.

EDIT: WinXP Home SP2

**Zacherl**

Hab immer noch nicht raus, warum es mal geht und mal nicht. Eine Fehlerquelle hab ich schonmal gefunden, aber das Problem, dass keine Daten im RemoteThread ankommen kann ich mir noch nicht erklären.

Sicher fangen die meisten Firewalls das ab, aber nicht mehr dann, wenn ich alle API und Kernel Hooks verher unhooke

Bisher habe ich es allerdings erst geschaft, dass die API Hooks umgangen werden. Der Reste folgt ..

Hab mal die neue Version angehangen. Ich vermute jetzt einen Fehler der "CmdLine not set" lautet

**Neotracer64**

Zitat:

Sicher fangen die meisten Firewalls das ab, aber nicht mehr dann, wenn ich alle API und Kernel Hooks verher unhooke

Um Kernel Hooks zu unhooken musst du wohl auch im Kernelmode arbeiten, und wenn man das schon tut ist ein eigener NDIS Driver wohl intuitiver.

Und ich kenne keine Personal Firewall, die nicht im Kernelmode arbeitet, also reicht es nicht die Usermode APIs zu unhooken.
Dazu kommt noch, dass man eigentlich als Malware nicht ohne weiteres seinen Kernel-Treiber installieren kann, weil einem die nötigen Rechte fehlen. (Vorrausgesetzt der User versteht, dass man nicht mit Administrator-rechten an seinem PC arbeitet).

**Zacherl**

Ja das stimmt soweit .. soll ja auch keine Maleware, sondern nur ein LeakTest werden. Wobei bisher hab ich das Ganze getestet mit:
GDATA Firewall 2007
Norton 2007 Firewall
Kaspersky Firewall

--> lassen sich alle 3 bypassen, ohne, dass man Kernel Hooks unhooken muss

Zu den Kernel Hooks: Das wollte ich mit der uallRin0 Unit von brechi irgendwie lösen ..

**Ultimator**

Programm gestartet (Vista 32 Bit):

*rödel*

---------------------------
iexplore
---------------------------
Es können keine weiteren Threads im System erstellt werden.
---------------------------
OK
---------------------------

*rödel*

[Window Title]
Microsoft Windows

[Main Instruction]
Internet Explorer funktioniert nicht mehr

[Content]
Das Programm wird aufgrund eines Problems nicht richtig ausgeführt. Das Programm wird geschlossen und Sie werden benachrichtigt, wenn eine Lösung verfügbar ist.

[Fehlersuche] [Programm schließen]

Das war alles^^

(Da fällt mir auf, die Meldung zu kopieren is unter Vista richtig geil)

**Zacherl**

Okey okey .. ich werd das erstmal ausbügeln

Danke alle schonmal fürs Testen .. kommt sobald wie möglich eine stabilere Version.

**Blink**

Hi

Konnte es nich testen da ich folgende Fehlermeldung bekomme.

------------------
ERROR
------------------

CMDLine not set.

------------------
OK
------------------

**Zacherl**

Ja wie gesagt, ich werde jetzt erstmal die Fehler ausmerzen .. hab schon wieder einen gefunden. Wohl der schwerwigende, aufgrund dessen die MMF Daten nicht geschrieben werden und aus dem auch der CMDLine und Resource Data = 0 Fehler resultiert.

Teste grade noch unter Vista, dann lade ich die neue Version hoch.

//Edit: funktioniert nun auch unter Vista Ultimate x86 (UAC deaktiviert) + hoffentlich alle Bugs gefixt

**Blink**

Ja, jetzt funktioniert es.

Bekommt man zum Schluss keine Statistik oder so was ähnliches.
Wenn ich das Programm starte bekomme ich nur die Internet-Seite zu Gesicht.

**Zacherl**

Ja, also wenn du die Seite siehst, ohne, dass deine Firewall "gemeckert" hat, dann wurde sie gebypassed. Ansonsten bekommst du eine Meldung deiner Firewall.

Ahso unter Vista geht es auch mit aktivierter UAC, allerdings kann man dann nicht in den Internet Explorer injizieren. In FireFox schon. Kommt dann drauf an, was man als Standard-Browser gewählt hat. Werde da mal noch nach einer Lösung suchen ..

Neotracer64 Delphi 7 Professional	#11 1. Jun 2007, 22:13 Also, zuerst kam bei mir auch der Fehler mit DataResource = 0. Bin dann mit OllyDbg durchgesteppt und es hat plötzlich geklappt. Jedoch mit CreateRemoteThread und dann im Firefox. Die anderen 2 Methoden schlugen fehl, und ich glaub jede Personal Firewall, von denen ich zwar nichts halte, fängt ein simples CreateRemoteThread ab. EDIT: WinXP Home SP2
	Zitat

Zacherl Delphi 10.2 Tokyo Starter	#14 1. Jun 2007, 23:13 Ja das stimmt soweit .. soll ja auch keine Maleware, sondern nur ein LeakTest werden. Wobei bisher hab ich das Ganze getestet mit: GDATA Firewall 2007 Norton 2007 Firewall Kaspersky Firewall --> lassen sich alle 3 bypassen, ohne, dass man Kernel Hooks unhooken muss Zu den Kernel Hooks: Das wollte ich mit der uallRin0 Unit von brechi irgendwie lösen ..
	Zitat

Zacherl Delphi 10.2 Tokyo Starter	#16 1. Jun 2007, 23:28 Okey okey .. ich werd das erstmal ausbügeln Danke alle schonmal fürs Testen .. kommt sobald wie möglich eine stabilere Version.
	Zitat

Blink Turbo Delphi für Win32	#17 1. Jun 2007, 23:29 Hi Konnte es nich testen da ich folgende Fehlermeldung bekomme. ------------------ ERROR ------------------ CMDLine not set. ------------------ OK ------------------
	Zitat

Blink Turbo Delphi für Win32	#19 1. Jun 2007, 23:46 Ja, jetzt funktioniert es. Bekommt man zum Schluss keine Statistik oder so was ähnliches. Wenn ich das Programm starte bekomme ich nur die Internet-Seite zu Gesicht.
	Zitat

LeakTest - Firewall testen

Forumregeln