Läcktest

[JoWa]

DefenseWall Peronal Firewall 3.00 har släppts, så jag testade om programmet. Fick samma resultat som betaversionen: 330/340.

[JoWa]

Jag modifierade clt.exe, så att det inte begär administratörsrättigheter, och testade i Windows 7 Enterprise, 32 bit.

Resultat: 280/340

10. Injection: SetWinEventHook Vulnerable

11. Injection: SetWindowsHookEx Vulnerable

12. Injection: SetThreadContext Vulnerable

21. InfoSend: DNS Test Vulnerable

24. Impersonation: DDE Vulnerable

25. Impersonation: Coat Vulnerable

Om jag däremot öppnar via Process Explorer, Run as limited user, är endast dessa tre sårbara:

11. Injection: SetWindowsHookEx Vulnerable

12. Injection: SetThreadContext Vulnerable

21. InfoSend: DNS Test Vulnerable

Resultat som administratör: 150/340

4. RootkitInstallation: ChangeDrvPath Vulnerable

5. Invasion: Runner Vulnerable

6. Invasion: RawDisk Vulnerable

8. Invasion: FileDrop Vulnerable

10. Injection: SetWinEventHook Vulnerable

11. Injection: SetWindowsHookEx Vulnerable

12. Injection: SetThreadContext Vulnerable

13. Injection: Services Vulnerable

15. Injection: KnownDlls Vulnerable

18. Injection: APC dll injection Vulnerable

19. Injection: AdvancedProcessTermination Vulnerable

21. InfoSend: DNS Test Vulnerable

24. Impersonation: DDE Vulnerable

25. Impersonation: Coat Vulnerable

26. Impersonation: BITS Vulnerable

28. Hijacking: Userinit Vulnerable

30. Hijacking: SupersedeServiceDll Vulnerable

31. Hijacking: StartupPrograms Vulnerable

33. Hijacking: AppinitDlls Vulnerable

[JoWa]

Det förvånade mig att 21. InfoSend: DNS Test var sårbart då jag testade i går. Tydligen är Windows-brandväggen för komplicerad för mig.

Testade med Windows 7 Firewall Control (Tack för tipset e-son!), körde CLT och valde Disable all (d.v.s. spärra både inkommande och utgående anslutningar) då CLT försökte ansluta till Internet.

Uppdaterat resultat: 290/340 då CLT körs som användare:

10. Injection: SetWinEventHook Vulnerable

11. Injection: SetWindowsHookEx Vulnerable

12. Injection: SetThreadContext Vulnerable

24. Impersonation: DDE Vulnerable

25. Impersonation: Coat Vulnerable

Startar jag CLT via Process Explorer (Run as Limited User): 320/340 då Process Explorer körs som användare:

11. Injection: SetWindowsHookEx Vulnerable

12. Injection: SetThreadContext Vulnerable

Kör jag däremot Process Explorer som administratör, och och startar CLT (Run as Limited User), är resultatet 310/340:

10. Injection: SetWinEventHook Vulnerable

11. Injection: SetWindowsHookEx Vulnerable

24. Impersonation: DDE Vulnerable

[JoWa]

Outpost Firewall Pro 7.0.2 (3377.514.1238): 340/340

[JoWa]

F-Secure Internet Security 2011 beta (9.20.15330.0): 230/340 Exakt samma resultat som för version 2010.

[JoWa]

Online Armor Free 4.5.0.233: exakt samma resultat som version 4.0.

[JoWa]

FortKnox Personal Firewall 5.0.905.0: 100/340

[Gäst yassin_2999]

Hej JoWa,

Jag körde Leaktestet på Windows 7 64-bit med Norton Internet Security 2011, och fick detta resultat.

Hade hoppas att du kunde ge något råd för att säkra säkerheten ytterligare

COMODO Leaktests v.1.1.0.3

Date23:45:44 - 2010-09-06

OSWindows Vista SP0 build 76001.

RootkitInstallation: MissingDriverLoad - Protected

RootkitInstallation: LoadAndCallImage - Protected

RootkitInstallation: DriverSupersede - Protected

RootkitInstallation: ChangeDrvPath - Vulnerable

Invasion: Runner - Protected

Invasion: RawDisk - Vulnerable

Invasion: PhysicalMemory - Protected

Invasion: FileDrop - Vulnerable

Invasion: DebugControl - Protected

Injection: SetWinEventHook - Vulnerable

Injection: SetWindowsHookEx - Vulnerable

Injection: SetThreadContext - Protected

Injection: Services - Vulnerable

Injection: ProcessInject - Protected

Injection: KnownDlls - Vulnerable

Injection: DupHandles - Protected

Injection: CreateRemoteThread - Protected

Injection: APC dll injection - Protected

Injection: AdvancedProcessTermination - Protected

InfoSend: ICMP Test - Protected

InfoSend: DNS Test - Vulnerable

Impersonation: OLE automation - Protected

Impersonation: ExplorerAsParent - Vulnerable

Impersonation: DDE - Vulnerable

Impersonation: Coat - Vulnerable

Impersonation: BITS - Protected

Hijacking: WinlogonNotify - Protected

Hijacking: Userinit - Vulnerable

Hijacking: UIHost - Protected

Hijacking: SupersedeServiceDll - Vulnerable

Hijacking: StartupPrograms - Vulnerable

Hijacking: ChangeDebuggerPath - Protected

Hijacking: AppinitDlls - Vulnerable

Hijacking: ActiveDesktop - Protected

Score190/340

Redigerad September 6, 2010 av yassin_2999

[JoWa]

Hallå Yassin! Roligt att du är i farten igen!

Vad jag kan se bidrog inte Norton till det resultat du fick. Här är resultat för Windows 7 x64 utan något säkerhetsprogram som jämförelse:

Då jag försökte testa Norton (både NIS och Norton 360), hade jag ingen framgång med inställningarna. Stängde jag av realtidsskannern (som detekterade och lade beslag på en av filerna), stängde programmet av Sonar (som jag ville testa) och liknande, så jag gav upp. Det är således inte mycket till råd jag kan ge för Norton, men i alla fall Du bör kolla brandväggens inställningar. InfoSend: DNS Test - Vulnerable bör brandväggen lätt kunna stoppa.

21. InfoSend: DNS Test

What does it do ? Tries send the information to the Internet by using Windows DNS APIs.

What is the risk ? Windows DNS APIs use trusted processes to make DNS queries causing firewalls to miss the actual process behind these requests.

Annars är det till Sonar hoppet står för att eventuellt kunna skydda mot övriga attacker.

[Gäst yassin_2999]

Hej JoWa...

Det var märkligt...att inte NIS bidrog med något.

När jag laddade ner CLT.zip filen så varnade inte NIS 2011 om något, dvs jag kunde extrahera filen utan några problem. När jag körde testet så avaktiverade jag inget i NIS heller.

Va tror du det kan vara ??

Tack

[JoWa]

Aha, då har de tydligen fixat falsklarmet för coat.dll. VirusTotal bekräftar.

Det är nog dags att leta reda på en testversion av NIS 2011 och leka litet. Återkommer

[Gäst yassin_2999]

Här har du länken till test versionen - ENG

NIS 2011 Trial

[JoWa]

Tackar! Laddar ned i mitt virtuella XP

[JoWa]

Norton Internet Security 2011 18.1.0.37, utan att ha ändrat några inställningar:

COMODO Leaktests v.1.1.0.3

Date 18:44:09 - 2010-09-07

OS Windows XP SP3 build 2600

1. RootkitInstallation: MissingDriverLoad Protected

2. RootkitInstallation: LoadAndCallImage Vulnerable

3. RootkitInstallation: DriverSupersede Vulnerable

4. RootkitInstallation: ChangeDrvPath Vulnerable

5. Invasion: Runner Protected

6. Invasion: RawDisk Vulnerable

7. Invasion: PhysicalMemory Vulnerable

8. Invasion: FileDrop Vulnerable

9. Invasion: DebugControl Vulnerable

10. Injection: SetWinEventHook Vulnerable

11. Injection: SetWindowsHookEx Vulnerable

12. Injection: SetThreadContext Vulnerable

13. Injection: Services Vulnerable

14. Injection: ProcessInject Vulnerable

15. Injection: KnownDlls Vulnerable

16. Injection: DupHandles Vulnerable

17. Injection: CreateRemoteThread Vulnerable

18. Injection: APC dll injection Vulnerable

19. Injection: AdvancedProcessTermination Vulnerable

20. InfoSend: ICMP Test Protected

21. InfoSend: DNS Test Vulnerable

22. Impersonation: OLE automation Protected

23. Impersonation: ExplorerAsParent Vulnerable

24. Impersonation: DDE Vulnerable

25. Impersonation: Coat Vulnerable

26. Impersonation: BITS Vulnerable

27. Hijacking: WinlogonNotify Vulnerable

28. Hijacking: Userinit Vulnerable

29. Hijacking: UIHost Vulnerable

30. Hijacking: SupersedeServiceDll Vulnerable

31. Hijacking: StartupPrograms Vulnerable

32. Hijacking: ChangeDebuggerPath Vulnerable

33. Hijacking: AppinitDlls Vulnerable

34. Hijacking: ActiveDesktop Vulnerable

Score 40/340

Skall försöka trimma upp resultatet ett snäpp, om det går.

[JoWa]

Något bättre, 60/340, genom att spärra CLT i brandväggen.

SONAR Advanced Mode: Aggressive gjorde ingen skillnad.

COMODO Leaktests v.1.1.0.3

Date 19:12:10 - 2010-09-07

OS Windows XP SP3 build 2600

1. RootkitInstallation: MissingDriverLoad Protected

2. RootkitInstallation: LoadAndCallImage Vulnerable

3. RootkitInstallation: DriverSupersede Vulnerable

4. RootkitInstallation: ChangeDrvPath Vulnerable

5. Invasion: Runner Protected

6. Invasion: RawDisk Vulnerable

7. Invasion: PhysicalMemory Vulnerable

8. Invasion: FileDrop Vulnerable

9. Invasion: DebugControl Vulnerable

10. Injection: SetWinEventHook Vulnerable

11. Injection: SetWindowsHookEx Vulnerable

12. Injection: SetThreadContext Vulnerable

13. Injection: Services Vulnerable

14. Injection: ProcessInject Vulnerable

15. Injection: KnownDlls Vulnerable

16. Injection: DupHandles Vulnerable

17. Injection: CreateRemoteThread Vulnerable

18. Injection: APC dll injection Protected

19. Injection: AdvancedProcessTermination Vulnerable

20. InfoSend: ICMP Test Protected

21. InfoSend: DNS Test Protected

22. Impersonation: OLE automation Protected

23. Impersonation: ExplorerAsParent Vulnerable

24. Impersonation: DDE Vulnerable

25. Impersonation: Coat Vulnerable

26. Impersonation: BITS Vulnerable

27. Hijacking: WinlogonNotify Vulnerable

28. Hijacking: Userinit Vulnerable

29. Hijacking: UIHost Vulnerable

30. Hijacking: SupersedeServiceDll Vulnerable

31. Hijacking: StartupPrograms Vulnerable

32. Hijacking: ChangeDebuggerPath Vulnerable

33. Hijacking: AppinitDlls Vulnerable

34. Hijacking: ActiveDesktop Vulnerable

Score 60/340

[Gäst yassin_2999]

Det var konstigt...bara 60 av 340

Kan det vara så att COMODO Leaktests v.1.1.0.3 inte känner av NIS på något vis ??

Och att vi får olika resultat, dvs du fick 60 och jag fick 190.

Konstigt....

[JoWa]

Nej, skillnaden är jag använder XP och du 7 I ditt fall ger Windows ett rätt gott skydd, i mitt fall nästan inget skydd alls.

[JoWa]

PC Tools Firewall Plus 7.0.0.77 Beta 3: 230/340

This verison is based on a version that scored 97% in the Matousec test and we resolved the issues discovered by Matousec.

http://www.pctools.com/forum/showthread.php?p=233679#post233679

[JoWa]

Comodo Internet Security 5.0.162636.1135: 340/340 Konfiguration: Internet Security (standard). Tryckte på Sandlåda i första varningen.

[JoWa]

Outpost Security Suite Free 7.0.4 (3416.520.1244): 340/340

[JoWa]

Online Armor Free 4.5.1.431: 330/340

De tänker visst aldrig fixa 8. Invasion: FileDrop Vulnerable

Med alternativet Run Safer (= Restricted Token): 340/340

[JoWa]

Testade om efenseWall Peronal Firewall, nu version 3.09: 330/340 (samma som 3.00)

Har också försökt testa PC Tools Firewall Plus 7.0.0.111, men testat fastnar varje gång. Beta 3 kunde jag testa, men inte den stabila. Vet inte om det beror på ändringar i brandväggen eller i VirtualBox (4.0 beta 2).

Redigerad December 12, 2010 av JoWa

[JoWa]

AVS Firewall 2.1.2.241: 100/340

[JoWa]

DriveSentry ProtectionPLUS 1.0.0.5: 110/340

Redigerad Januari 8, 2011 av JoWa

[JoWa]

Privatefirewall 7.0.22.8: 290/340