Comodo Firewall Test Suite Einstellungen

[Gast_Sicherheit_*]

Danke subset,

für den interessanten Test. Unter XP 32Bit

Da können sich einige SECS ganz schön kratzen.

[markus17]

Irgendwie seltsam, hat keiner Lust seine AVG-Avira-BitDefender-ESET-F-Secure-GDATA-McAfee Suite zu testen?
Die bieten doch alle sicher guten Rundumschutz, sind ja schließlich Securitysuiten.
Sonst sind immer alle so gierig auf Testergebnisse...

MfG

GData hat bei mir unter XP 32 einen Score von 50 oder 60. Bei einem Test war's aber lustig:
Browser öffnet sich - Testprogramm wartet noch auf ein Ergebnis
Firewall meldet sich - Testprogramm wartet
Ich sage immer verweigern (also die Verbindung) - Die Firewallabfrage ist noch nicht mal verschwunden und das Testprogramm stempelt den Test direkt als durchgefallen ab.
1 sec später zeigt der Browser an, dass keine Verbindung zur betreffenden Homepage aufgebaut werden konnte.

Also entweder ist das Testprogramm schneller als mein Notebook reagieren kann oder es fand doch irgendein Verbindungsaufbau im Hintergrund statt. -.-

[Solution-Design]

für den interessanten Test. Unter XP 32Bit

Je mehr Programme ich durch diesen "Test" testen lasse, umso mehr halte ich ihn für Unsinn.

[Julian]

Je mehr Programme ich durch diesen "Test" testen lasse, umso mehr halte ich ihn für Unsinn.

Kommt drauf an: Für ein alles oder nichts-HIPS ist es schon ein guter Test, denn er zeigt ja letztlich, wie viele verschiedene Wege ein HIPS abdecken kann, auf denen sich Malware (nicht) an ihm vorbeimogeln kann. Allerdings sollte man beachten, dass auch Programme, die bei diesem Test sehr schlecht abschneiden, extrem hohe Erkennungsrate haben können bzw. haben. Und nur wenn der Leaktest "Failed" anzeigt, muss das natürlich nicht zwangsheise heißen, dass das HIPS auch wirklich versagt hat, beispielsweise aufgrund irritierender falscher Ausgabewerte.

Der Beitrag wurde von Julian bearbeitet: 10.11.2008, 22:00

[Anar]

Ich frag mich ja, wieso bei AV Tests als Tabu gilt, was bei Firewalls und HIPS lustig praktiziert wird: Das Erstellen neuer Malware. Das wird mir auf ewig ein Rätsel sein, zumal diese Tests für die Einschätzung von ITW Gefahren völlig irrelevant sind.

[Caimbeul]

Von mir aus könntest du hier vollkommen andere Ergebnisse haben, aber dafür müsstest du erst mal wenigstens einen Test machen.

Mir reicht es vollkommen zu sehen wie Du Dich an Deinen eigenen Tests erfreust. Viel Spaß bei dem Produzieren von total belangosen Forenpostings.

Genauso belanglos wie das Programm.

Der Beitrag wurde von Caimbeul bearbeitet: 11.11.2008, 00:16

[subset]

Mir reicht es vollkommen zu sehen wie Du Dich an Deinen eigenen Tests erfreust. Viel Spaß bei dem Produzieren von total belangosen Forenpostings.

Genauso belanglos wie das Programm.

Keine Ahnung ob das Programm tatsächlich von Belang ist bzw. wie bugfrei es ist, aber das wird man in nächster Zeit sicher herausfinden.
Und wenn du meine Beiträge als total belanglos empfindest, na dann setze mich doch einfach auf deine Ignorierliste.
Es wäre mir ein Vergnügen.

MfG

[Gast_Sicherheit_*]

Keine Ahnung ob das Programm tatsächlich von Belang ist bzw. wie bugfrei es ist, aber das wird man in nächster Zeit sicher herausfinden.
Und wenn du meine Beiträge als total belanglos empfindest, na dann setze mich doch einfach auf deine Ignorierliste.
Es wäre mir ein Vergnügen.

MfG

subset lasse dich nicht entmutigen.

Diese Supertests in den Zeitschriften, könnte man zum großen Teil auch als Sinnlos betrachten.

Der Beitrag wurde von Sicherheit bearbeitet: 11.11.2008, 13:04

[Gast_Poulsen_*]

Mir reicht es vollkommen zu sehen wie Du Dich an Deinen eigenen Tests erfreust. Viel Spaß bei dem Produzieren von total belangosen Forenpostings.

Genauso belanglos wie das Programm.

Genauuuuu da ergötzen wir uns doch lieber an solch fachlich fundierte, untermauerte Tests wie die von Chip

Der Beitrag wurde von Poulsen bearbeitet: 11.11.2008, 17:23

[Caimbeul]

Diese Supertests in den Zeitschriften, könnte man zum großen Teil auch als Sinnlos betrachten.

Wenn sie Sinnloses testen liegt das nahe, gell.

Genauuuuu da ergötzen wir uns doch lieber an solch fachlich fundierte, untermauerte Tests wie die von Chip

Oder an Deinem Spam!

[Gast_Scrapie_*]

Ach kommt schon Leute.

Es ist zwar fast Vollmond, aber man muss diesen Thread deshalb nicht gleich zumüllen.
War doch bisher ganz friedlich und sachlich - kann doch auch so bleiben...


Danke,
Scrapie

Der Beitrag wurde von Scrapie bearbeitet: 11.11.2008, 18:37

[Julian]

Neues Netzteil ist da

Habe es mit KIS unter Vista 64 getestet. KIS ist allerdings strenger als standardmäßig eingestellt:
Programme können nicht einfach ausführbare Dateien erstellen
Diesen Autostart-Key hinzugefügt, der durch einen Bug standardmäßig nicht überwacht wird.

Habe dem Leaktest bis auf das eigene Starten alles verboten. Alles, was mit DLL-Injection zu tun hat, wurde nicht geblockt:
Injection : KnownDlls
Injection : SetWindowsHookEx
Injection : SetWinEventHook

Auch wurden nicht geblockt:
Hijacking : ActiveDesktop
Infosend : ICMP Test

Score: 290/340

Kann man IMO mit leben, zumal ich mit dem KIS-HIPS das Auslesen sensibler Infos blockiert habe, z.B. die clientregistry.blob von Steam, wo die Account-Daten drin stehen, [hypothetisch]falls mal irgend ein Gamestealer-Trojan durchrutschen sollte, und auch sonst nicht von KIS geblockt werden kann[/hypothetisch].

Edit: Ich wette, das x64 Mogel-HIPS von Comodo schafft unter Vista 64 die volle Punktzahl, zumindest wenn man vorher die Kernel (?)-Hooks nicht entfernt. Dann dürfte der Score gen 0 bzw. 100 tendieren

Der Beitrag wurde von Julian bearbeitet: 12.11.2008, 19:28

[subset]

Habe es mit KIS unter Vista 64 getestet.

Sehr interessant wäre das Ergebnis von Vista 64 "nackt", also ohne irgendein Schutzprogramm, als Admin, ohne Windows Firewall, UAC und Windows Defender.

Die letzte Beta von OA schafft übrigens 340/340 auch ohne Run Safer. Da war aber jemand sehr schnell...

MfG

[Julian]

Sehr interessant wäre das Ergebnis von Vista 64 "nackt", also ohne irgendein Schutzprogramm, als Admin, ohne Windows Firewall, UAC und Windows Defender.

170/340.

Edit:
1. Hijacking: ActiveDesktop Vulnerable
2. Hijacking: AppinitDlls Vulnerable
3. Hijacking: ChangeDebuggerPath Protected
4. Hijacking: StartupPrograms Vulnerable
5. Hijacking: SupersedeServiceDll Vulnerable
6. Hijacking: UIHost Protected
7. Hijacking: Userinit Vulnerable
8. Hijacking: WinlogonNotify Protected
9. Impersonation: BITS Protected
10. Impersonation: Coat Vulnerable
11. Impersonation: DDE Vulnerable
12. Impersonation: ExplorerAsParent Vulnerable
13. Impersonation: OLE automation Protected
14. InfoSend: DNS Test Vulnerable
15. InfoSend: ICMP Test Vulnerable
16. Injection: AdvancedProcessTermination Protected
17. Injection: APC dll injection Protected
18. Injection: CreateRemoteThread Protected
19. Injection: DupHandles Protected
20. Injection: KnownDlls Vulnerable
21. Injection: ProcessInject Protected
22. Injection: Services Vulnerable
23. Injection: SetThreadContext Protected
24. Injection: SetWindowsHookEx Vulnerable
25. Injection: SetWinEventHook Vulnerable
26. Invasion: DebugControl Protected
27. Invasion: FileDrop Vulnerable
28. Invasion: PhysicalMemory Protected
29. Invasion: RawDisk Vulnerable
30. Invasion: Runner Vulnerable
31. RootkitInstallation: ChangeDrvPath Protected
32. RootkitInstallation: DriverSupersede Protected
33. RootkitInstallation: LoadAndCallImage Protected
34. RootkitInstallation: MissingDriverLoad Protected
Score 170/340

Der Beitrag wurde von Julian bearbeitet: 12.11.2008, 21:37

[subset]

Hi,

50% "nackt", spricht das für Vista64 oder gegen den Test?
Wurde die Testsuite nur mit XP32 getestet?
100/340 für Vista32 und 170/340 für Vista64 erwecken stark den Anschein.
Hab zwar schon im Comodo Forum nachgefragt, aber da geht wie immer alles im Fanboygeblubber unter.

MfG

[Anar]

Das Problem ist halt das die Tests nicht kompatibel sind. Es gibt extrem viele Restriktionen für 32bit Prozesse in Bezug auf den Umgang mit 64bit Prozessen. Die kompletten Injection Tests z.B. sind klassische Kandidaten für "Fehlschläge", je nachdem in welchen Prozess versucht wird zu injezieren. Man müsste mal nachschauen was jeder Test macht im Einzelnen.

[Solution-Design]

Auch ein netter Test

http://www.zemana.com/list/list.asp?ktgr_id=413

[Julian]

Kaspersky erkennt unter XP32 den Keylogger am Verhalten, allerdings nur, wenn man die Signatur des Loggers ungültig macht.
Ob auch der Screenloggertest erkannt wird, weiß ich nicht. Aber wenn mans braucht...
Unter Vista 64 wird jedenfalls nichts erkannt.

Edit: Zum Threadthema:
http://forum.kaspersky.com/index.php?showtopic=91771
Der Test zeigt also bei active desktop und SetWindowsHookEx Müll an. Bei Wilders hatte ich auch etwas ähnliches gesehen, was andere Testmethoden betrifft, kann es nur leider gerade nicht finden.

Der Beitrag wurde von Julian bearbeitet: 16.11.2008, 12:23

[subset]

Auch ein netter Test

Auf Wilders gibt es ein paar Threads dazu.

Online Armor Vollversion, XP SP3, Admin

KeyLogger Test - Bestanden



ScreenLogger Test - Bestanden



ClipboardLogger Test - Bestanden



WebCamLogger Test - Nicht Bestanden

Online Armor macht zwar Meldung, blockt aber den Zugriff auf die Webcam nicht.



Seltsamerweise kam dann aber eine Fehlermeldung von Zemana, das Programm konnte auf die Webcam nicht zugreifen, da ich den Explorer mit einem Vorschaufenster der Webcam offen hatte.



Ob ein derartiger WebCamLogger tatsächlich ein große Gefahr darstellen würde, wenn er nur auf die Webcam zugreifen kann, wenn sie nicht schon in Skype oder sonstwo verwendet wird?

MfG

[Gast_Poulsen_*]

@subset
gibt nur die Screenshots in german language?