Comodo Firewall Test Suite Einstellungen

[subset]

Hi,

Comodo hat eine neue Leaktestsuite veröffentlicht.
Download: http://www.testmypcsecurity.com/securityte...test_suite.html

Auf verschiedenste Weise werden damit Sicherheitsprogramme (hauptsächlich HIPS und Firewall) getestet, u.a. mit Hijacking, Injection, Rootkit Installation.
Mit dem Programm (clt.exe) werden automatisch nacheinander 34 Tests durchgeführt.
Für jeden bestandenen Test bekommt man 10 Punkte, am Ende also maximal 340.
Das Ergebnis wird dann immer im Fenster unten angezeigt, z.B. 180/340.

Testen sollte mal folgendermaßen:
- Systemsicherung ist sowieso selbstverständlich.
- AV vor dem Start der clt.exe deaktivieren, wenn es im Archiv vermeintliche Viren entdeckt (z.B. die Avira Heuristik)
- die clt.exe starten und falls notwendig (HIPS...) erlauben.
- bei allen folgenden Popups (von Firewall, HIPS usw.) verbieten wählen, aber die Antwort nicht speichern, damit nicht folgende Tests beeinflusst werden.
- und wenn möglich den clt.exe Prozess nicht killen, was z.B. mit KIS leicht passieren kann.

Die Ergebnisse meiner Tests nach dem Resultat.

Online Armor Free (XP, Vista) - 290/340
Online Armor Vollversion (XP) - 290/340
Mit Voreinstellungen.

KIS 2009 Interaktiv (XP) - 260/340
Mit Voreinstellungen im interaktiven Modus.

KIS 2009 (XP) - 30/340
Mit Voreinstellungen im Automatikmodus.

NIS 2009 (XP) - 30/340
Mit Voreinstellungen getestet.

Ausser Konkurrenz wegen akuten Cheatverdachts.
Comodo Internet Security (XP) - 310/340
Mit Voreinstellungen getestet.

Alle Tests habe ich mit identischen Snapshots von XP SP3 und Vista SP1 durchgeführt.
Würde mich interessieren, ob andere vor allem mit KIS im Automatikmodus und NIS auch zu solchen bescheidenen Ergebnissen kommen.

MfG

[subset]

Hi,

meine Tests habe ich mit den folgenden Einstellungen gemacht, um für alle Programme möglichst die gleichen Bedingungen zu schaffen.
XP: Adminrechte; Windows Firewall deaktiviert.
Vista: Adminrechte; Windows Firewall, Windows Defender und UAC deaktiviert.

Das mit dem Nichtspeichern der Entscheidungen ist reine Erfahrungssache während der ersten Tests.
Die Verfälschung der Ergebnisse durch das Speichern würde bei lauter einzelnen Anwendungen wahrscheinlich keine Rolle spielen, aber die Tests bestehen aus lauter einzelnen DLLs die von einer EXE nacheinander geladen werden.
Verbietet man also nur das Laden der ersten DLL, dann geht der Test weiter.
Verbietet man aber schon bei der ersten Meldung global das Laden von DLLs für den Prozess, na dann ist man schnell fertig.

Sandboxie - Create New Sandbox (XP): 160/340

Wenn ich mit einer Sandbox mit Internetzugriff teste, dann erhalte ich das Ergebnis 140/340.



Bloß es stimmt nicht. Rot markiert ist als Beispiel der FileDrop Test.

"27. Invasion: FileDrop
What does it do ? Tries to drop itself to system32 directory.
What is the risk ? If the virus can drop itself into the system32 folder, it can easily infect one of the critical files in it too."

Die Datei wird in der Sandbox abgeworfen und das Testprogramm wertet das als Erfolg.
Da die Datei aber nicht im echten System32 gelandet ist, ist der Test eigentlich bestanden.
Sandboxie ist also mit diesem Testprogramm nur sehr schwer zu testen, da man oft nicht weiß, ist es ein echtes Versagen oder nur ein scheinbares Versagen bedingt durch die "Parallelwelt" der Sandbox.

Threatfire kann man mit dem Programm praktisch nicht testen, bedingt durch die erwähnte Konstruktion (eine EXE die viele DLLs lädt). TF wird das schnell zu blöd und es will den ganzen Prozess killen und die Dateien einkassieren, typisch Verhaltensblocker...

@ Caimbeul
Bei uns in Österreich gibt es den Begriff Dampfplauderer. Kennst du diesen Begriff?
Was glaubst du warum ich schreibe "Die Ergebnisse meiner Tests..."
Von mir aus könntest du hier vollkommen andere Ergebnisse haben, aber dafür müsstest du erst mal wenigstens einen Test machen.

MfG

Der Beitrag wurde von subset bearbeitet: 10.11.2008, 02:48