[Eng] Security Samurai 2.0 fixt MS Windows Lücken |
|
---|---|
16.06.2005, 19:24
Member
Beiträge: 2176 |
|
|
|
16.06.2005, 20:30
Member
Beiträge: 1132 |
#2
Hi LP,
danke erstmal für den Tipp! Allerdings funktioniert der Download-Link bei mir nicht (Mozilla). D.h. die angegebene Seite wird schon geöffnet, enthält aber keinen Download-Link. Habe den Download von hier gemacht: http://www.geocities.com/turbotramp2/samurai.html Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
17.06.2005, 14:04
Member
Beiträge: 1132 |
#3
Ich habe die Beschreibung zu dem Tool einmal angesehen und bin auf folgendes interessante Feature gestoßen:
Zitat DISABLE ROOTKITS: Clear existing rootkits and prevent future loading.Bietet das wirklich Schutz vor Rootkits? Und, wenn das so "einfach" zu erreichen ist, warum entwickelt dann FSecure das Blacklight-Programm für eben diesen Zweck? Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
17.06.2005, 21:19
Member
Beiträge: 890 |
#4
Zitat Bietet das wirklich Schutz vor Rootkits?Bestimmt nicht gegen alle. Hängt davon ab wie der Kerneltreiber geladen wird. Zitat This solution hooks system calls to prevent the loading of rootkits...Einmal hat er mich gewarnt, das 2-te mam konnte der Treiber unbemerkt geladen werden. Außerdem muß man die Warnung interpretieren können da auch lagitime Software manchmal einen Kerneltreiber installiert. Zitat Und, wenn das so "einfach" zu erreichen ist,...Es gibt verschiedene Programme die beim Laden/Installieren eines Kerneltreibers warnen. Zitat and refreshes the kernel’s system call table to clear existing rootkits.Das ist eine vollmundige Aussage die ich so das 1-te mal höre Grundsätzlich gilt es, wenn die Malware bereits auf Kernelebene sein Unwesen treibt, könnte es für eine jede Schutzsoftware zu spät sein. Gruß Ajax |
|
|
17.06.2005, 23:56
Member
Beiträge: 1132 |
#5
Hi Ajax,
danke für die Infos und Deine Beurteilung. Also, wie immer, bei solchen Aussagen "cum grano salis", zu Deutsch "Spitz pass auf". Werde das Tool aber verwenden, um die diversen Windows-Löcher zu stopfen. Es scheint mir dabei etwas über das bereits bekannte svc2kxp.cmd http://board.protecus.de/t13292.htm hinauszugehen und ist, nach meiner Ansicht, flexibler in der Handhabung. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
20.06.2005, 02:11
...neu hier
Beiträge: 2 |
#6
Laserpointa, Heron and Ajax:
Thanks for the interest in Samurai 2.0. The rootkit feature actually blocks: AFXRootkit FU Rootkit NT Rootkit Hacker Defender HE4Rootkit and most of Vanquish (Samurai blocks the kernel driver load but not the DLL injection to every process) I will figure out a way to stop the DLL Injection portion of Vanquish soon... When you initialize the rootkit solution, Samurai reads ntdll.dll and refreshes the kernel's system call table, but there are other ways for rootkits to hide, so Samurai is, as you suspected, not complete. I expect to solve the trampoline hiding technique shortly. I believe that will help a lot. I hope you continue to use Samurai and update when new versions come out. TurboTramp |
|
|
20.06.2005, 19:34
Member
Beiträge: 890 |
#7
Hi TurboTramp and welcome to the board
IMO the rootkit feature in Samurai is the most interesting, especially now since Microsoft did some noise about rootkits, probably in order to advertize their new "secure" OS Longhorn. Most people didn't even heared about this threat till now, excepting those few who got already infected in the past You already did a great job with Samurai by detecting some of the most widely spread rootkits. After all Samurai is a very handy non intrusive little tool Zitat I will figure out a way to stop the DLL Injection portion of Vanquish soon...And another even more sophisticated method would be code injection... Even a sandbox FW like Tiny could be bypassed this way. Phrack has some interesting readings about it. However it will be a very difficult if not almost impossible task to detect all the methods used by rootkits. I'm not using Samurai since I already have hardened my OS fitting to my needs and my defence line only consists of an on demand AV, a nice process viewer and a backup image of my partition. Anyway, it was nice to test Samurai (I had to enable raw sockets in order to do so) and for sure I will test further versions as well Best regards Ajax |
|
|
21.06.2005, 23:10
Member
Beiträge: 1132 |
#8
@TurboTramp
I also find Samurai to be a handy little tool. After some testing, however, I stumbled over some drawback having applied configuration changes using Samurai. When scanning my system with Ad-Aware that prog identified the registry key {5b71f990-53cd-4832-8ca2-36ea2d70b871} in HKEY_CLASSES_ROOT\typelib, a key obviously added by Samurai (after uninstallation of Samurai that key had gone), as CoolWebSearch! Ad-Aware info: Zitat Rootkey : HKEY_CLASSES_ROOTEqually disconcerting is the fact that corresponding to Symantec Trojan.Popdis also adds this very same key to the registry. Zitat Adds the key:So, everyone using Samurai should be aware of those "false" alarms. Regards Heron edit: I have found out now the "problem" is caused by using the option option "Disable the HTML Application MIME type". So, couldn't it been tried to find some remedy? Since I would not like to put a noted security risk on to my virus scanners ignore lists the only way I see at the moment is to skip this option until the problem has been riddled out (this feature anyway is covered by some other solutions like thr local proxy Proxomitron). __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 22.06.2005 um 08:37 Uhr von Heron editiert.
|
|
|
24.06.2005, 22:48
...neu hier
Beiträge: 2 |
#9
Thanks Heron:
I modified the GUID (and fixed a GDI+ processing bug) in Samurai 2.1.1. You can get the newest version of Samurai here: http://turbotramp.fre3.com/ Thanks again, TurboTramp |
|
|
24.06.2005, 23:51
Member
Beiträge: 1132 |
#10
Hi TurboTramp,
that's good news! But, I am sorry to say, the download link you have given above doesn't work. If you click "download Samurai 2.1.1" you are led to the site http://www.fre3.com/ and no downlooad in sight. Regards Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 25.06.2005 um 09:00 Uhr von Heron editiert.
|
|
|
26.06.2005, 00:56
Member
Beiträge: 890 |
#11
@Heron
Der Link ist OK. 1. Entweder Referer erlauben oder 2. einen Downloadmanager verwenden wo Du den Referer eintragen kannst In diesem Fall ist der Referer -> http://turbotramp.fre3.com/files/ Gruß Ajax |
|
|
28.06.2005, 10:51
Member
Beiträge: 1132 |
#12
Hi Ajax,
danke für den Tipp! Hat bestens funktioniert. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
04.08.2005, 21:45
Ehrenmitglied
Beiträge: 6028 |
#13
Es gibt ein update von Samurai version 2.5 http://turbotramp.fre3.com/
Samurai.zip now includes: Samurai.exe - This is the software required to secure your PC. LowSecurity.DAT - Load and Apply this configuration for basic security. MediumSecurity.DAT - Load and Apply this configuration for trusted Internet use. MediumHighSecurity.DAT - Load and Apply this for normal Internet use and email. HighSecurity.DAT - Load and Apply this configuration for Internet surfing. __________ MfG Argus |
|
|
04.08.2005, 22:11
Member
Beiträge: 1132 |
#14
Habe das Prog mal ausführlich benutzt. Sieht zunächst sehr vielversprechend aus. Wenn es aber an das Eingemachte geht, sprich an die Aktivierung des Kernel-Schutzes, dann hatte ich regelmäßig anschließend Probleme mit der Systemstabilität, Freezing und Missfunktion von Programmen (das gilt übrigens auch für das an anderer Stelle erwähnte InfoProcess AntiHook Tool http://board.protecus.de/t18351.htm).
Die anfängliche Begeisterung hat sich bei mir doch merklich abgekühlt. Welche Erfarungen habt ihr mit dem Prog gemacht? Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 05.08.2005 um 08:46 Uhr von Heron editiert.
|
|
|
04.08.2005, 22:43
MerlinX
zu Gast
|
#15
Geht mir genauso ! Halte das Programm nocht nicht für ausgereift.!!!
Beim Kernelschutz filpt meine KPF (Kerio) aus,und ist verschwunden. Ist erst nach entfernen von Samurai wierder da.!!! Gruß Merlinx |
|
|
die Windows Standard Sicherheitseinstellungen sind oft mangelhaft, eine gute Idee ist diese etwas zu optimieren siehe Screenshot:
mehr Infos auch vom Entwickler selbst:
http://forum.gladiator-antivirus.com/index.php?showtopic=26738
Download:
http://www.geocities.com/turbotramp2/samurai.html - danke heron!
oder http://www.majorgeeks.com/Samurai_d4635.html
Zitat
Greetz Lp