|
LeakTest - Firewall testen
Liste der Anhänge anzeigen (Anzahl: 1)
Hey,
hab mal ein kleines Programm geschrieben, was dazu dient die Integrität eurer Firewall zu testen. Das Programm verwendet diverse Techniken, die versuchen die Firewall zu umgehen. Letztendlich erscheint meine Stufenpage, wenn alles funktioniert hat. Dann sollte eure Firewall auch keinen Alarm schlagen. Kernel Hooks werden noch nicht umgangen, daher werden einige Firewalls Alarm schlagen. AntiViren Programme müssen Teilweise auch deaktiviert werden. Zumindest der proaktive Schutz von Kaspersky erkennt mein Programm als "Invader". //Edit: Proaktiver Schutz erkennt nichts mehr + Kernel Hooks werden nun auch umgangen Gruß Florian |
Re: LeakTest - Firewall testen
Hmm ... sollte da eine Form erscheinen? Bei mir startet das Programm nicht - es erscheint nicht im Taskmanager, kein Fenster wird angezeigt, allerdings auch keine Fehlermeldung?
BS: Windows Vista 64Bit. |
Re: LeakTest - Firewall testen
64 Bit? Vermutlich die UAC auch eingeschaltet? Ich vermute da liegt das Problem. Mein Programm versucht in die explorer.exe zu injizieren. Hab das leider noch nicht unter Vista mit aktivierter UAC testen können. Sollte aber doch gehen, da der Explorer auch im eingeschränkten Benutzerkontext läuft, oder?
Allgemein leider auch nicht unter 64Bit Systemen :? |
Re: LeakTest - Firewall testen
Ich hätte das ja gerne mal ausprobiert, aber da kommt ein folgender Fehler:
--------------------------- Error --------------------------- Data ressource = 0. --------------------------- OK --------------------------- hab Windows XP Home SP2 Antivirensopftware: GData AntiVirenKit |
Re: LeakTest - Firewall testen
Okey diesen Fehler bekomme ich auch unter VirtualPC 2007 - dazu auch das Topic von mir mit den
 MemoryMapped Files. Auf meinem normalen System läuft es allerdings einwandfrei. Habe auch die GDATA Internet Security. |
Re: LeakTest - Firewall testen
Zitat:
Nagut, ich hab nie ehrlich geglaubt das es unter Linux mit wine löuft :mrgreen: |
Re: LeakTest - Firewall testen
:D Unwahrscheinlich, da doch ziemlich systemnahe Funktionen verwendet werden fürs Usermode Hook Unhooking, Code Injection und EXE Injection ..
Könnten noch ein paar Leute mit XP SP2 das Ganze testen? |
Re: LeakTest - Firewall testen
Und weg ist der Explorer... :gruebel:
Aber ist durfte erst noch ne Fehlermeldung vom Explorer (Fehler bei XYZ) wegdrücken. Das gute an Windows ist, dass Programme nicht einfach abstürzen. Zuerst muss man noch in einer Meldung auf OK drücken. DANN stürzen sie ab. Das ganze auf XP Home SP2. |
Re: LeakTest - Firewall testen
Vermutlich auch wegen der selben Sache .. noch keiner bei dem es funktioniert hat :( Sowas .. hier zu Hause hab ich 3 Rechner und auf allen Dreien funktioniert es :wall:
Ich werd mich mal an das Problem mit den MMF setzen. |
Re: LeakTest - Firewall testen
Also UAC ist bei mir nicht aktiviert...der Benutzer ist Admin.
Wird wohl an den 64Bit liegen. |
Re: LeakTest - Firewall testen
Also, zuerst kam bei mir auch der Fehler mit DataResource = 0.
Bin dann mit OllyDbg durchgesteppt und es hat plötzlich geklappt. Jedoch mit CreateRemoteThread und dann im Firefox. ;) Die anderen 2 Methoden schlugen fehl, und ich glaub jede Personal Firewall, von denen ich zwar nichts halte, fängt ein simples CreateRemoteThread ab. ;) EDIT: WinXP Home SP2 |
Re: LeakTest - Firewall testen
Hab immer noch nicht raus, warum es mal geht und mal nicht. Eine Fehlerquelle hab ich schonmal gefunden, aber das Problem, dass keine Daten im RemoteThread ankommen kann ich mir noch nicht erklären.
Sicher fangen die meisten Firewalls das ab, aber nicht mehr dann, wenn ich alle API und Kernel Hooks verher unhooke :D Bisher habe ich es allerdings erst geschaft, dass die API Hooks umgangen werden. Der Reste folgt .. Hab mal die neue Version angehangen. Ich vermute jetzt einen Fehler der "CmdLine not set" lautet ;) |
Re: LeakTest - Firewall testen
Zitat:
Und ich kenne keine Personal Firewall, die nicht im Kernelmode arbeitet, also reicht es nicht die Usermode APIs zu unhooken. Dazu kommt noch, dass man eigentlich als Malware nicht ohne weiteres seinen Kernel-Treiber installieren kann, weil einem die nötigen Rechte fehlen. (Vorrausgesetzt der User versteht, dass man nicht mit Administrator-rechten an seinem PC arbeitet). |
Re: LeakTest - Firewall testen
Ja das stimmt soweit .. soll ja auch keine Maleware, sondern nur ein LeakTest werden. Wobei bisher hab ich das Ganze getestet mit:
GDATA Firewall 2007 Norton 2007 Firewall Kaspersky Firewall --> lassen sich alle 3 bypassen, ohne, dass man Kernel Hooks unhooken muss :D Zu den Kernel Hooks: Das wollte ich mit der uallRin0 Unit von brechi irgendwie lösen .. |
Re: LeakTest - Firewall testen
Programm gestartet (Vista 32 Bit):
*rödel* --------------------------- iexplore --------------------------- Es können keine weiteren Threads im System erstellt werden. --------------------------- OK --------------------------- *rödel* [Window Title] Microsoft Windows [Main Instruction] Internet Explorer funktioniert nicht mehr [Content] Das Programm wird aufgrund eines Problems nicht richtig ausgeführt. Das Programm wird geschlossen und Sie werden benachrichtigt, wenn eine Lösung verfügbar ist. [Fehlersuche] [Programm schließen] Das war alles^^ (Da fällt mir auf, die Meldung zu kopieren is unter Vista richtig geil) |
Re: LeakTest - Firewall testen
Okey okey .. ich werd das erstmal ausbügeln :D Danke alle schonmal fürs Testen .. kommt sobald wie möglich eine stabilere Version.
|
Re: LeakTest - Firewall testen
Hi
Konnte es nich testen da ich folgende Fehlermeldung bekomme. ------------------ ERROR ------------------ CMDLine not set. ------------------ OK ------------------ |
Re: LeakTest - Firewall testen
Ja wie gesagt, ich werde jetzt erstmal die Fehler ausmerzen .. hab schon wieder einen gefunden. Wohl der schwerwigende, aufgrund dessen die MMF Daten nicht geschrieben werden und aus dem auch der CMDLine und Resource Data = 0 Fehler resultiert.
Teste grade noch unter Vista, dann lade ich die neue Version hoch. //Edit: funktioniert nun auch unter Vista Ultimate x86 (UAC deaktiviert) + hoffentlich alle Bugs gefixt |
Re: LeakTest - Firewall testen
Ja, jetzt funktioniert es.
Bekommt man zum Schluss keine Statistik oder so was ähnliches. Wenn ich das Programm starte bekomme ich nur die Internet-Seite zu Gesicht. |
Re: LeakTest - Firewall testen
Ja, also wenn du die Seite siehst, ohne, dass deine Firewall "gemeckert" hat, dann wurde sie gebypassed. Ansonsten bekommst du eine Meldung deiner Firewall.
Ahso unter Vista geht es auch mit aktivierter UAC, allerdings kann man dann nicht in den Internet Explorer injizieren. In FireFox schon. Kommt dann drauf an, was man als Standard-Browser gewählt hat. Werde da mal noch nach einer Lösung suchen .. |
Re: LeakTest - Firewall testen
Ah, OK
Also ist die Windows-Firewall nicht sicher. :mrgreen: :zwinker: |
Re: LeakTest - Firewall testen
Wer hätte das gedacht? :mrgreen: Aber wie gesagt: Selbst GDATA, Norton und Kaspersky lassen sich auf diese simple Weise austricken :D
(Grade unter XP mit eingeschränkten Rechten getestet: funktioniert wunderbar :)) |
Re: LeakTest - Firewall testen
Bei mir funktioniert das Programm auch!
Sygate Personal Firewall 5.6 hat nicht gemeckert :? und ich dachte die wär zuverlässig... |
Re: LeakTest - Firewall testen
Bisher habe ich nur die Agnitum Outpost Firewall und ZoneAlarm Pro nicht umgehen können. Viel mehr habe ich aber auch nicht getestet. Die letzten genannten Exemplare verwenden Kernel Hooks und da muss ich mich noch ganz schön in die Materie einarbeiten.
|
Re: LeakTest - Firewall testen
Bei mir funktionierts (nur Windows FW). Beeindruckend.
|
Re: LeakTest - Firewall testen
Ja und erschreckend wie viel möglich ist, um Firewalls so einfach zu umgehen. Wobei ich sagen muss, dass man unter Vista das Unhooken von Kernel Hooks fast vergessen kann.
Aber wie man sieht reicht es ja für recht viele FWs auch mit Injection und Usermode Unhooking. |
Re: LeakTest - Firewall testen
Zu Vista und verschiedene Security-Techniken (Adress Randomization, DEP, usw., (etwas später im Video)):
http://video.google.com/videoplay?do...41369679533904 |
Re: LeakTest - Firewall testen
Cool, werd ich mir direkt mal ansehen ..
|
Re: LeakTest - Firewall testen
omg, das funktioniert ja wirklich o.o
Hätte nie gedacht, dass es so einfach ist, eine FireWall zu umgehen. :oops: |
Re: LeakTest - Firewall testen
Welche Firewall hast du denn?
|
Re: LeakTest - Firewall testen
Ok, runtergeladen ... AntiVir-Heuristik schlägt an...
AntiVir aus, Proggi an ... Firewall schlägt beim Zugriff auf explorer.exe an ... geblockt, Feierabend. Nochmal angeworfen, zum Test genemigt ... funktioniert also, aber eben nur, wenn ichs dir erlaube *g* Respekt, keine schlechte Programmierleistung! mfG Markus PS: Meine Outpost-Brandschutzmauer lässt dich grüßen *g* |
Re: LeakTest - Firewall testen
...läuft ohne beschwerden durch :pale:
ZoneAlarm. |
Re: LeakTest - Firewall testen
Damit nichts falsch verstanden wird:
Die WinXP Firewall ist nicht dafür konzipiert euch vor Malware zu schützen, die schon auf eurem Rechner präsent ist. Das Szenario, welches hier getestet wird, ist Malware, die NACH DER INFEKTION des Systems versucht nach aussen zu kommunizieren. Ergo, sollte man seine Energie und Sicherheitsbewusstsein darauf verwenden das System vor der Infektion selbst zu schützen. Also Präventivmaßnahmen. Ihr lasst einen Einbrecher ja auch nicht hineinspazieren und macht erst dann alles zu um ihn gefangen zu halten. Vielleicht macht er noch was kaputt, bevor ihn die Polizei abholt? Also präventiv schützen: http://www.ntsvcfg.dehttp://www.ntsvcfg.de/linkblock.html |
Re: LeakTest - Firewall testen
Wenn meine Desktop-FW mich fragt, ob ich's zulassen will, sehe ich deine Stufen-Seite, ansonsten eben nicht. Aber das ist bei mir eigentlich immer so, was versuchst du denn genau, um die FW zu umgehen? Mir erscheint das wie ein simples .Navigate(). *g*
|
Re: LeakTest - Firewall testen
Er nutzt drei bekannte Leaktests um Code in eine Trusted Application zu injezieren und von dort aus eine Seite zu pollen.
Hier gibt es noch mehr Tests: http://www.firewallleaktester.com/leaktest1.htm |
Re: LeakTest - Firewall testen
Hey, ja Outpost ist wie gesagt eine der Firewalls, die es nicht durchlässt.
@Matze: Welche Firewall hast du denn? Das Programm, was gebypassed wird ist nur ein simpler TWebBrowser und ein Navigate, wie du richtig festgestellt hast. Das eigentliche Bypassen ist um einiges komplizierter. Es wird ein Thread in die explorer.exe eingeschleust, der einen Pointer in meine Anwendung enthält. Somit kann ich eine Procedure aus meinem Programm in der explorer.exe laufen lassen. Darin werden erstmal alle APIs, die ich verwende auf JMPs gescannt und diese auf den Original EP zurückgeschrieben (um API Hooks zu umgehen). Dann erzeugt der Thread eine neue Instanz vom Standardbrowser und injiziert das komplette Programm in diese neue Instanz. |
Re: LeakTest - Firewall testen
Achso ok, dann bringen die bei mir eben nichts.
Ich habe die Comodo Personal Firewall und bin damit höchst zufrieden. :) |
Re: LeakTest - Firewall testen
Zitat:
|
Re: LeakTest - Firewall testen
Zitat:
|
Re: LeakTest - Firewall testen
Zitat:
Was ist mit: PUSH <Adress> RET PUSH <Adress> JMP ESP MOV EAX, <Adress> JMP/CALL EAX Da gibt es noch viel mehr Variationen des Code Overwriting. Manchmal wird auch viel Später in der Funktion gehooked. Es reicht also nicht nur am Anfang zu schauen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:40 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz