Comodo Firewall Test Suite Einstellungen

[Gast_Scrapie_*]

Ob ein derartiger WebCamLogger tatsächlich ein große Gefahr darstellen würde, wenn er nur auf die Webcam zugreifen kann, wenn sie nicht schon in Skype oder sonstwo verwendet wird?

Assasin v2.x kann den Treiber einer aktuell in Benutzung befindlichen WebCam clonen und liefert ein Bild an den Clienten aus. Es veringert sich aber die Framerate um die Hälfte...


Scrapie

[Solution-Design]

Online Armor macht zwar Meldung, blockt aber den Zugriff auf die Webcam nicht.
Ob ein derartiger WebCamLogger tatsächlich ein große Gefahr darstellen würde, wenn er nur auf die Webcam zugreifen kann, wenn sie nicht schon in Skype oder sonstwo verwendet wird?

Im Prinzip zeigt Online Armor, dass es sich nicht durch Signaturen verwirren lässt, wie AntiBot und asquared (welches die Tests nur im Paranoid-Mode besteht). Eigentlich also ein gutes Ergebnis für die Amoren-Programmer. Ein gewünschtes sozusagen. Aber so etwas hatten wir ja schon mal diskutiert, wie empfindlich darf so ein Programm (behaviorblocker/HIPS) sein, damit es nicht zur Nervenprobe wird. Du warst immer der Meinung, es darf nerven wie wild, soll aber lernfähig sein… ich der Meinung, nicht jeder Nutzer ist Security-bewandert, also besser nicht nerven. <grins> Beides ist sicherlich richtig, daher hat asquared seinen Schieberegler zum Konfigurieren. Wünschenswert wäre bei a² eine größere Datenbank, welche gute Programme besser erkennt. Dann könnte man das Programm a² permanent im Paranoid-Modi laufen lassen. Zur WebCam… wie verbreitet solche Aufzeichnungsprogramme sind entzieht sich meiner Kenntnis, aber wenn ich so eine WEB-Cam hätte, würde ich nicht mögen, dass jemand Screenshots von meiner Übertragung anfertigt. Von daher ist es schon sinnvoll, ein solches Programm zu erkennen.

[Julian]

Wünschenswert wäre bei a² eine größere Datenbank, welche gute Programme besser erkennt. Dann könnte man das Programm a² permanent im Paranoid-Modi laufen lassen.

Dann hast du KIS im interaktiven Modus
Bei den Zemanatests schneidet es zwar schlecht ab, aber diese sind IMO eh sehr weltfremd.

[subset]

@subset
gibt nur die Screenshots in german language?

Ne, es gibt auch noch andere Screenshots in deutscher Sprache.
Z.B. diesen hier.



MfG

PS
Die Übersetzung ist seit einem Monat erledigt, bloß das Programm muss noch Tall Emu veröffentlicht werden.

[Gast_Poulsen_*]

Tall Emu

he ich verstehe nur bahnhof, zu spät gekommen und zuch wech

Der Beitrag wurde von Poulsen bearbeitet: 16.11.2008, 19:19

[Caimbeul]

http://www.tallemu.com/ Klick mal

[Gast_Poulsen_*]

http://www.tallemu.com/ Klick mal

oh mann einmal Klick hätte ich's wohl gewusst
Ich Dir

Der Beitrag wurde von Poulsen bearbeitet: 16.11.2008, 21:21

[subset]

Aber so etwas hatten wir ja schon mal diskutiert, wie empfindlich darf so ein Programm (behaviorblocker/HIPS) sein, damit es nicht zur Nervenprobe wird.

Letztendlich zeigen aber auch diese Tests, dass eine hohe Sicherheit ohne Fragen an den Benutzer (beim derzeitigen Stand der Technik) nicht möglich ist.
Man muss nur die Ergebnisse von NIS 2009 mit den Standardeinstellungen und KIS 2009 im Automatikmodus mit denen von NIS mit erweiterter Ereignisüberwachung und KIS im interaktiven Modus vergleichen.
Da liegt einiges dazwischen, demzufolge ist eine hohe, aber Popup-freie Sicherheit heutzutage einfach nicht herstellbar.
Und welche Komponenten sorgen bei KIS und NIS bei entsprechender Einstellung für mehr Sicherheit... ausgerechnet die HIPS Komponenten der Suiten.

Zur Comodo Firewall Test Suite.
Heute soll eine fehlerbereinigte Version veröffentlicht werden, im Comodo Forum kann man sie auch jetzt schon herunterladen, sofern man dort registriert ist.
Neben der clt.exe wurden auch die ActiveDesktop.dll und die StartupPrograms.dll verändert.
Ein erster Test mit KIS 2009 unter XP SP3 ergab ein um 30 Punkte verbessertes Ergebnis.
Mein Resultat ist nun 290/340 (vorher 260/340).

MfG

[Julian]

Bei mir sind es unter Vista 64 nun 300 statt 290.
Immerhin

[aido]

Eset Smart Security V4 - Signatur 3943 - Firewall im Automatikmodus:

Date 20:55:40 - 17.03.2009

OS Windows XP SP3 build 2600

1. RootkitInstallation: MissingDriverLoad Protected
2. RootkitInstallation: LoadAndCallImage Vulnerable
3. RootkitInstallation: DriverSupersede Vulnerable
4. RootkitInstallation: ChangeDrvPath Vulnerable
5. Invasion: Runner Vulnerable
6. Invasion: RawDisk Vulnerable
7. Invasion: PhysicalMemory Vulnerable
8. Invasion: FileDrop Vulnerable
9. Invasion: DebugControl Vulnerable
10. Injection: SetWinEventHook Vulnerable
11. Injection: SetWindowsHookEx Vulnerable
12. Injection: SetThreadContext Vulnerable
13. Injection: Services Vulnerable
14. Injection: ProcessInject Vulnerable
15. Injection: KnownDlls Vulnerable
16. Injection: DupHandles Vulnerable
17. Injection: CreateRemoteThread Vulnerable
18. Injection: APC dll injection Vulnerable
19. Injection: AdvancedProcessTermination Vulnerable
20. InfoSend: ICMP Test Protected
21. InfoSend: DNS Test Vulnerable
22. Impersonation: OLE automation Vulnerable
23. Impersonation: ExplorerAsParent Vulnerable
24. Impersonation: DDE Vulnerable
25. Impersonation: Coat Vulnerable
26. Impersonation: BITS Vulnerable
27. Hijacking: WinlogonNotify Vulnerable
28. Hijacking: Userinit Vulnerable
29. Hijacking: UIHost Vulnerable
30. Hijacking: SupersedeServiceDll Vulnerable
31. Hijacking: StartupPrograms Vulnerable
32. Hijacking: ChangeDebuggerPath Vulnerable
33. Hijacking: AppinitDlls Vulnerable
34. Hijacking: ActiveDesktop Vulnerable
Score 20/340

EDIT: Interaktiver Modus alle Meldungen blockiert Score 50/340 - auch nicht viel besser!

Der Beitrag wurde von aido bearbeitet: 17.03.2009, 21:09

[franksa]

Outpost Firewall Pro 2009 (Version 6.5.2509.366.0663):

320 von 340
(Alles blockiert, bis auf 4. RootkitInstallation: ChangeDrvPath und 19. Injection: AdvancedProcessTermination)

Der Beitrag wurde von franksa bearbeitet: 17.03.2009, 22:15

[subset]

Hi,

ich habe mir heute KIS 2010 angesehen und mal den CLT unter XP laufen lassen, alles mit Voreinstellungen und im Automatikmodus.

Es kam nur ein Popup von KIS 2010, der war allerdings sehr seltsam.



Ein potentiell gefährliches Programm wird ausgeführt IEXPLORE.EXE.

Mit "-> Yes" zu antworten ist wohl nicht ganz sinnvoll.

Also habe ich es mal mit "-> Limit" versucht.
Damit landete der Internet Explorer aber dauerhaft in der High Restricted Gruppe.



Der Internet Explorer hatte somit keinen Zugriff auf das Internet mehr und funktioniert sicher nur mehr relativ eingeschränkt.

Beim Versuch mit "-> No" kam er in die Untrusted Gruppe.



Das hatte zur Folge, dass der Internet Explorer nicht mehr starten durfte.



Es gibt dazu auch einen Beitrag im Beta Testing Forum von Kaspersky
http://forum.kaspersky.com/index.php?s=&am...st&p=969373

Was ich allerdings nicht verstehe ist - warum will man nicht den Täter, also den Parent clt.exe, in die High Restricted oder Untrusted Gruppe befördern?
Warum ausgerechnet das Opfer, also den Child iexplore.exe?
Oder ist da ein Fehler in der Parent/Child Erkennung?

Wie auch immer, man kann nur hoffen, dass so etwas nicht allzu oft vorkommt und wenn möglich nicht bei wirklich wichtigen Systemdateien.

Achja, ein Ergebnis gab es dann auch noch: 50/340



MfG

[Habakuck]

Hallöle.

Ich habe mal Prevx 3.0 stand alone getestet und bekomme ein Ergebniss das ich nicht interpretieren kann.
120/340

Date 06:26:03 - 27.05.2009
OS Windows Vista SP1 build 6001
1. RootkitInstallation: MissingDriverLoad Vulnerable
2. RootkitInstallation: LoadAndCallImage Protected
3. RootkitInstallation: DriverSupersede Protected
4. RootkitInstallation: ChangeDrvPath Vulnerable
5. Invasion: Runner Vulnerable
6. Invasion: RawDisk Vulnerable
7. Invasion: PhysicalMemory Protected
8. Invasion: FileDrop Vulnerable
9. Invasion: DebugControl Protected
10. Injection: SetWinEventHook Vulnerable
11. Injection: SetWindowsHookEx Vulnerable
12. Injection: SetThreadContext Vulnerable
13. Injection: Services Vulnerable
14. Injection: ProcessInject Protected
15. Injection: KnownDlls Vulnerable
16. Injection: DupHandles Vulnerable
17. Injection: CreateRemoteThread Protected
18. Injection: APC dll injection Vulnerable
19. Injection: AdvancedProcessTermination Vulnerable
20. InfoSend: ICMP Test Vulnerable
21. InfoSend: DNS Test Vulnerable
22. Impersonation: OLE automation Protected
23. Impersonation: ExplorerAsParent Protected
24. Impersonation: DDE Vulnerable
25. Impersonation: Coat Vulnerable
26. Impersonation: BITS Vulnerable
27. Hijacking: WinlogonNotify Protected
28. Hijacking: Userinit Vulnerable
29. Hijacking: UIHost Protected
30. Hijacking: SupersedeServiceDll Vulnerable
31. Hijacking: StartupPrograms Vulnerable
32. Hijacking: ChangeDebuggerPath Protected
33. Hijacking: AppinitDlls Vulnerable
34. Hijacking: ActiveDesktop Protected

Prevx hat sich nich einmal gemeldet! Also nehme ich an, dass es keine Aktien an den immerhin 120 geblockten Aktionen hat. Kann es sein, dass meine Betriebssystemabsicherung die schon von alleine abdeckt?

Was haltet ihr davon, dass Prevx hier nichts blockt? Wie gut wird ein schädliches Verhalten hier simuliert? Denn eigentlich ist Prevx ja wirklich gut. Grade was Rootkits usw angeht. Daher tippe ich iwie drauf dass Prevx in den Aktionen einfach nichts schädliches erkennen konnte..


Die Zema Tests habe ich auch mal gemacht.
Keylogger: Prevx meldet sich nicht.
ClipBoard, Sreen, Webcam: Prevx meldet sich als LowRisk Test Virus.

Also auch hier wieder kein echtes schädliches Verhalten erkennbar...

Der Beitrag wurde von Habakuck bearbeitet: 27.05.2009, 05:41

[korn2008]

Ich habe unter Vista x64 mit Outpost Firewall Pro 2009 6.5.5, 310 von 340. Gutes Ergebnis?

COMODO Leaktests v.1.1.0.3

Date 15:15:37 - 26.06.2009

OS Windows Vista SP1 build 6001

1. RootkitInstallation: MissingDriverLoad Protected
2. RootkitInstallation: LoadAndCallImage Protected
3. RootkitInstallation: DriverSupersede Protected
4. RootkitInstallation: ChangeDrvPath Protected
5. Invasion: Runner Protected
6. Invasion: RawDisk Protected
7. Invasion: PhysicalMemory Protected
8. Invasion: FileDrop Vulnerable
9. Invasion: DebugControl Protected
10. Injection: SetWinEventHook Protected
11. Injection: SetWindowsHookEx Protected
12. Injection: SetThreadContext Protected
13. Injection: Services Protected
14. Injection: ProcessInject Protected
15. Injection: KnownDlls Vulnerable
16. Injection: DupHandles Protected
17. Injection: CreateRemoteThread Protected
18. Injection: APC dll injection Protected
19. Injection: AdvancedProcessTermination Protected
20. InfoSend: ICMP Test Protected
21. InfoSend: DNS Test Protected
22. Impersonation: OLE automation Protected
23. Impersonation: ExplorerAsParent Vulnerable
24. Impersonation: DDE Protected
25. Impersonation: Coat Protected
26. Impersonation: BITS Protected
27. Hijacking: WinlogonNotify Protected
28. Hijacking: Userinit Protected
29. Hijacking: UIHost Protected
30. Hijacking: SupersedeServiceDll Protected
31. Hijacking: StartupPrograms Protected
32. Hijacking: ChangeDebuggerPath Protected
33. Hijacking: AppinitDlls Protected
34. Hijacking: ActiveDesktop Protected
Score 310/340



XP x86

Date 15:09:06 - 26.06.2009

OS Windows XP SP3 build 2600

1. RootkitInstallation: MissingDriverLoad Protected
2. RootkitInstallation: LoadAndCallImage Protected
3. RootkitInstallation: DriverSupersede Protected
4. RootkitInstallation: ChangeDrvPath Protected
5. Invasion: Runner Protected
6. Invasion: RawDisk Protected
7. Invasion: PhysicalMemory Protected
8. Invasion: FileDrop Vulnerable
9. Invasion: DebugControl Protected
10. Injection: SetWinEventHook Protected
11. Injection: SetWindowsHookEx Protected
12. Injection: SetThreadContext Protected
13. Injection: Services Protected
14. Injection: ProcessInject Protected
15. Injection: KnownDlls Protected
16. Injection: DupHandles Protected
17. Injection: CreateRemoteThread Protected
18. Injection: APC dll injection Protected
19. Injection: AdvancedProcessTermination Vulnerable
20. InfoSend: ICMP Test Protected
21. InfoSend: DNS Test Protected
22. Impersonation: OLE automation Protected
23. Impersonation: ExplorerAsParent Protected
24. Impersonation: DDE Protected
25. Impersonation: Coat Protected
26. Impersonation: BITS Protected
27. Hijacking: WinlogonNotify Protected
28. Hijacking: Userinit Protected
29. Hijacking: UIHost Protected
30. Hijacking: SupersedeServiceDll Protected
31. Hijacking: StartupPrograms Protected
32. Hijacking: ChangeDebuggerPath Protected
33. Hijacking: AppinitDlls Protected
34. Hijacking: ActiveDesktop Protected
Score 320/340

Der Beitrag wurde von korn2008 bearbeitet: 26.06.2009, 14:20

[Habakuck]

Achja, ein Ergebnis gab es dann auch noch: 50/340

LOL.

Ich bekomme hier ohne irgendeine Sicherheitssoftware. Wirklich komplett nackt! ein Ergebnis von 120/340.

[subset]

LOL.

Ich bekomme hier ohne irgendeine Sicherheitssoftware. Wirklich komplett nackt! ein Ergebnis von 120/340.

Unter XP als Admin? Das wäre ungewöhnlich.
Scheinbar hast du CLT unter Vista als Admin ausgeführt.

MfG

[Habakuck]

Jop, habe ich.