Ok, runtergeladen ... AntiVir-Heuristik schlägt an...
AntiVir aus, Proggi an ... Firewall schlägt beim Zugriff auf explorer.exe an ... geblockt, Feierabend.
Nochmal angeworfen, zum Test genemigt ... funktioniert also, aber eben nur, wenn ichs dir erlaube *g*

Respekt, keine schlechte Programmierleistung!

mfG
Markus

PS: Meine Outpost-Brandschutzmauer lässt dich grüßen *g*

...läuft ohne beschwerden durch

ZoneAlarm.

Damit nichts falsch verstanden wird:
Die WinXP Firewall ist nicht dafür konzipiert euch vor Malware zu schützen, die schon auf eurem Rechner präsent ist.
Das Szenario, welches hier getestet wird, ist Malware, die NACH DER INFEKTION des Systems versucht nach aussen zu kommunizieren.
Ergo, sollte man seine Energie und Sicherheitsbewusstsein darauf verwenden das System vor der Infektion selbst zu schützen.
Also Präventivmaßnahmen.
Ihr lasst einen Einbrecher ja auch nicht hineinspazieren und macht erst dann alles zu um ihn gefangen zu halten. Vielleicht macht er noch was kaputt, bevor ihn die Polizei abholt?

Also präventiv schützen:

http://www.ntsvcfg.de
http://www.ntsvcfg.de/linkblock.html

Wenn meine Desktop-FW mich fragt, ob ich's zulassen will, sehe ich deine Stufen-Seite, ansonsten eben nicht. Aber das ist bei mir eigentlich immer so, was versuchst du denn genau, um die FW zu umgehen? Mir erscheint das wie ein simples .Navigate(). *g*

Er nutzt drei bekannte Leaktests um Code in eine Trusted Application zu injezieren und von dort aus eine Seite zu pollen.
Hier gibt es noch mehr Tests:
http://www.firewallleaktester.com/leaktest1.htm

Hey, ja Outpost ist wie gesagt eine der Firewalls, die es nicht durchlässt.

@Matze: Welche Firewall hast du denn? Das Programm, was gebypassed wird ist nur ein simpler TWebBrowser und ein Navigate, wie du richtig festgestellt hast. Das eigentliche Bypassen ist um einiges komplizierter. Es wird ein Thread in die explorer.exe eingeschleust, der einen Pointer in meine Anwendung enthält. Somit kann ich eine Procedure aus meinem Programm in der explorer.exe laufen lassen. Darin werden erstmal alle APIs, die ich verwende auf JMPs gescannt und diese auf den Original EP zurückgeschrieben (um API Hooks zu umgehen). Dann erzeugt der Thread eine neue Instanz vom Standardbrowser und injiziert das komplette Programm in diese neue Instanz.

Achso ok, dann bringen die bei mir eben nichts.

Ich habe die Comodo Personal Firewall und bin damit höchst zufrieden.

Gut also, dass ich explorer.exe als nicht vertrauenswürdig in ZoneAlarm eingestellt habe und somit jeder Internetzugriff geblockt wird.

Immernoch GData

Dir ist klar, dass dir damit eine Menge Hooks durch die Finger gehen?
Was ist mit:

PUSH <Adress>
RET

PUSH <Adress>
JMP ESP

MOV EAX, <Adress>
JMP/CALL EAX

Da gibt es noch viel mehr Variationen des Code Overwriting.
Manchmal wird auch viel Später in der Funktion gehooked.
Es reicht also nicht nur am Anfang zu schauen.