Re: LeakTest - Firewall testen
 

Comodo Personal Firewall kenne ich gar nicht :D Wird dann aber wohl auch Kernel Hooks verwenden.

@Balu: Dürfte eigentlich nichts bringen. Nicht die Explorer.exe greift auf das Internet zu, sondern mein Programm im Kontext des Standardbrowsers. Den Explorer verwende ich nur, um den Parent Prozess auf Explorer.exe zu ändern. Mein GDATA bemekrt beispielsweise, wenn der Parent Prozess sich geändert hat und fragt dann explizit nach. Normal startet man den Browser ja über die Explorer.exe, und daher wird diese als Parent Prozess auch meistens akzeptiert.

@Neotracer64: Die Methode die ich hab ist natürlich noch ausgefeilter. Hat bisher alle Hooks zuverlässig erkannt. Mh okey, die RelocHooks und IATHooks aus brechis Beispielen werden nicht unhookt. Allerdings bisher jede getestete Form von code overwriting.

Das bezog sich auf Matze ;)

Re: LeakTest - Firewall testen
 

Habe den Explorer jetzt auch in meiner FW geblockt, das Tool verbindet sich aber trotzdem mit dem Internet :wiejetzt:

Zur Erinnerung: Ich benutze Sygate Personal...

Hat jemand eine Idee diese Lücke zu schließen - ohne, dass ich mir Outpost kaufen muss ? :wink:

Gruß

Calculon
--

Re: LeakTest - Firewall testen
 

Führe einfach keine Software aus nicht vertrauenswürdiger Quelle aus. ;)

Re: LeakTest - Firewall testen
 

:gruebel: Gibt's da auch 'ne andere Möglichkeit? :mrgreen:

Re: LeakTest - Firewall testen
 

Mein Antivir meldet mir: Malware/Heur entdeckt...
Liegt das an den Systemnahen Funktionen oder is die exe wirklich infiziert?

XP SP2 (32Bit)

Re: LeakTest - Firewall testen
 

Das liegt daran, dass sich der Leaktest wie Malware verhält. Ist doch logisch oder nicht?

Re: LeakTest - Firewall testen
 

Ja genau. Es liegt wohl daran, dass AntiVir die APIs CreateRemoteThread, WriteProcessMemory, etc entdeckt. Könnte man natürlich auch bisschen schwerer machen, wenn ich die Dinger dynamisch einbinde, aber das ist ja nicht mein Ziel.

Re: LeakTest - Firewall testen
 

Hallo.

habe identischen Ablauf nur unter Windows XP SP2.

Gruß Jörg

Re: LeakTest - Firewall testen
 

Ich hätte das auch gerne mal getestet.

Windows XP Pro SP 2
Norton Internet Security 2005

Re: LeakTest - Firewall testen
 

Mh beide Vorgänge seltsam .. ich bau mal noch ein paar Parameter-Optionen ein. Kann mir eigentlich nur denken, dass es am API Unhooking liegt.

Re: LeakTest - Firewall testen
 

Lol :P.
WinXP Firewall? Das ist eine Firewall? Wtf?

Ja, skandal.

Ich hab damals noch die Outpost mittels nem einfachem Trick ausgetrickst, und zwar einfach meinen Prozesspfad geändert auf c:\programme\mozilla firefox\firefox.exe und es ging schon, jedoch musste ich den Port 80 benutzen, aber das ist ja wohl kein problem ;).

Sytemnahe, glaub weniger, AntiVir findet bestimmt nur ein paar APIs in der IAT oder Codesegmente die er benutzt hat um sich in einem Prozess zu infizieren.



Edit: ganz nebenbei zu der Windows Firewall, euch ist schon bewusst, dass nur ein Eintrag in der Registry ausreicht um die Windows Firewall auszutricksen.

Re: LeakTest - Firewall testen
 

Du hast das mit deiner PEB Unit gemacht oder? Diese Art von Prozesspfad ändern wird glaube ich nicht erkannt. Funktioniert leider auch nicht mehr unter Vista.

Hab mal eine alternative Version hochgeladen, die immer Debug Nachrichten ausgibt. Bei den Leuten bei denen es zu einem Fehler kam oder wo einfach nichts passiert ist würde ich bitten sich mal die Debug Version zu laden und die jeweils letzte Nachricht + den Browser Pfad, der auch in einer Nachricht erscheint hier zu posten. :)

Re: LeakTest - Firewall testen
 

Sollte funktionieren, vielleicht eine anderer Offset also nicht mehr an 0x30? Komm mal online in MSN falls Vista hast dann können wir das Testen :P.

Re: LeakTest - Firewall testen
 

Jetzt funzt es bei mir auf einmal.

Gestern hab ich einen Hook geschrieben, der nicht richtig funktionierte.
Manchmal bleibt dann der ganze Rechner stecken, aber wie es aussieht ist Windows erst bei dem Test abgestürzt :idea:

Interessant, keine Meldung... Dann hoffe ich mal das sowas in böser Form nicht auf meinem Rechner landet :? .

Re: LeakTest - Firewall testen
 

Falls Ihr so etwas "böses" vermeiden wollts, dann benutzt doch die freeware Firewall "Jetico", erhältlich unter http://www.jetico.com/.

Quick Edit: Jetico setzt auf Kernel Level Hooks, d.h. es werden die Native Apis gehookt.
Und hier könnts Ihr mal schauen wie "gut" eure Firewall ist.

Re: LeakTest - Firewall testen
 

Hmm. Ich hab Internet Security 2005. Die ist in den Test auch immer nicht schlecht. Nur die Standard-Einstellungen machen viel Punktabzug. Aber ich kenn mich ja mit PCs aus, und weiß was ich zulassen soll oder nicht. Außerdem lässt die so viele Dateien bei der Deinstallation zurück, das es mit einer anderen Firewall wahrscheinlich Probleme gibt. :?

Re: LeakTest - Firewall testen
 

Hab eben mal bisschen mit dem RootkitUnhooker rumgespielt im Bezug auf die Kernel Hooks vom Kaspersky. Wenn ich NtCreateThread unhooke wird nichmal der proaktive Schutz was sagen. Allerdings erkennt dieser schon vorher, dass der RkUnhooker einen Treiber installiert. Also Schadsoftware hätte wohl auch da nur schwere Chancen ..

Re: LeakTest - Firewall testen
 

Service starten wird erkannt? Mach du mal nen eigenen Service starter, damit ladest du auch Treiber. Aber das mit Treiber ist auch einwenig blöd weil wird ja zu groß.

Re: LeakTest - Firewall testen
 

So, hab mal bisschen gebastelt und hab es jetzt sogar erfolgreich geschafft die Kernel Hooks auf meinem Testsystem zu unhooken. Auf meinem normalen Rechner will dies aus was für einem Grund auch immer nicht gelingen ..

Testet bitte mal fleißig :) - Besonders Outpost und die anderen Kernel Firewalls würden mich interessieren.

Ahso der Proaktive Schutz sollte nun auch nicht mehr "meckern", da dieser sowieso nur auf die NtCreateThread und NtWriteVirtualMemory reagiert hat .. die werden mit unhookt.

Ist für WinXP mit Adminrechten optimiert. Unter Vista und mit eingeschränkten Rechten funktioniert das Kernel Unhooking nicht! Unter Vista mit aktivierter UAC wird es zusätzlich zu dem Fehler "System konnte keine Threads mehr erstellen" kommen.

Re: LeakTest - Firewall testen
 

Du solltest vielleicht noch erwähnen das beim Fehlerhaften setzen der Hooks es ganz schnell zu einem Bluescreen kommen könnte. (Was auch sehr wahrscheinlich ist da es ja von System zu System anders ist, manche benützen keine AVs/FWs andere wiederum doch usw.)

Re: LeakTest - Firewall testen
 

Ja, sollte allerdings keine Probleme mit falschen Hooks geben. Wenn, dann gibt es schon Probleme beim Initialsieren. Es werden die Kernel Hook Adressen zuerst gesichert, dann die Originalpointer in die SSDT geschrieben und nach dem Bypassen wird alles wieder zurückgesezt wie es war. Auch werden nicht alle Hooks entfernt, sondern nur 4 Stück, die meiner Meinung nach dafür verantwortlich sind, dass die Firewalls oder auch der proaktive Schutz die Aktion bemerkt. Kann dabei aber sein, dass es notwendig ist noch mehr Hooks zu unhooken .. daher testet das mal bitte ..