Lol .
WinXP Firewall? Das ist eine Firewall? Wtf?

Ja, skandal.

Ich hab damals noch die Outpost mittels nem einfachem Trick ausgetrickst, und zwar einfach meinen Prozesspfad geändert auf c:\programme\mozilla firefox\firefox.exe und es ging schon, jedoch musste ich den Port 80 benutzen, aber das ist ja wohl kein problem .

Sytemnahe, glaub weniger, AntiVir findet bestimmt nur ein paar APIs in der IAT oder Codesegmente die er benutzt hat um sich in einem Prozess zu infizieren.



Edit: ganz nebenbei zu der Windows Firewall, euch ist schon bewusst, dass nur ein Eintrag in der Registry ausreicht um die Windows Firewall auszutricksen.

Du hast das mit deiner PEB Unit gemacht oder? Diese Art von Prozesspfad ändern wird glaube ich nicht erkannt. Funktioniert leider auch nicht mehr unter Vista.

Hab mal eine alternative Version hochgeladen, die immer Debug Nachrichten ausgibt. Bei den Leuten bei denen es zu einem Fehler kam oder wo einfach nichts passiert ist würde ich bitten sich mal die Debug Version zu laden und die jeweils letzte Nachricht + den Browser Pfad, der auch in einer Nachricht erscheint hier zu posten.

Sollte funktionieren, vielleicht eine anderer Offset also nicht mehr an 0x30? Komm mal online in MSN falls Vista hast dann können wir das Testen .

Jetzt funzt es bei mir auf einmal.

Gestern hab ich einen Hook geschrieben, der nicht richtig funktionierte.
Manchmal bleibt dann der ganze Rechner stecken, aber wie es aussieht ist Windows erst bei dem Test abgestürzt

Interessant, keine Meldung... Dann hoffe ich mal das sowas in böser Form nicht auf meinem Rechner landet .

Falls Ihr so etwas "böses" vermeiden wollts, dann benutzt doch die freeware Firewall "Jetico", erhältlich unter http://www.jetico.com/.

Quick Edit: Jetico setzt auf Kernel Level Hooks, d.h. es werden die Native Apis gehookt.
Und hier könnts Ihr mal schauen wie "gut" eure Firewall ist.

Hmm. Ich hab Internet Security 2005. Die ist in den Test auch immer nicht schlecht. Nur die Standard-Einstellungen machen viel Punktabzug. Aber ich kenn mich ja mit PCs aus, und weiß was ich zulassen soll oder nicht. Außerdem lässt die so viele Dateien bei der Deinstallation zurück, das es mit einer anderen Firewall wahrscheinlich Probleme gibt.

Hab eben mal bisschen mit dem RootkitUnhooker rumgespielt im Bezug auf die Kernel Hooks vom Kaspersky. Wenn ich NtCreateThread unhooke wird nichmal der proaktive Schutz was sagen. Allerdings erkennt dieser schon vorher, dass der RkUnhooker einen Treiber installiert. Also Schadsoftware hätte wohl auch da nur schwere Chancen ..

Service starten wird erkannt? Mach du mal nen eigenen Service starter, damit ladest du auch Treiber. Aber das mit Treiber ist auch einwenig blöd weil wird ja zu groß.

So, hab mal bisschen gebastelt und hab es jetzt sogar erfolgreich geschafft die Kernel Hooks auf meinem Testsystem zu unhooken. Auf meinem normalen Rechner will dies aus was für einem Grund auch immer nicht gelingen ..

Testet bitte mal fleißig - Besonders Outpost und die anderen Kernel Firewalls würden mich interessieren.

Ahso der Proaktive Schutz sollte nun auch nicht mehr "meckern", da dieser sowieso nur auf die NtCreateThread und NtWriteVirtualMemory reagiert hat .. die werden mit unhookt.

Ist für WinXP mit Adminrechten optimiert. Unter Vista und mit eingeschränkten Rechten funktioniert das Kernel Unhooking nicht! Unter Vista mit aktivierter UAC wird es zusätzlich zu dem Fehler "System konnte keine Threads mehr erstellen" kommen.

Du solltest vielleicht noch erwähnen das beim Fehlerhaften setzen der Hooks es ganz schnell zu einem Bluescreen kommen könnte. (Was auch sehr wahrscheinlich ist da es ja von System zu System anders ist, manche benützen keine AVs/FWs andere wiederum doch usw.)