Backstealth & ZoneAlarm

#1 Hi,

Wie und warum ZoneAlarm immun gegen Blackstealth ist könnt ihr hier lesen:

http://www.neowin.net/comments.php?id=4289&category=main


Gruß,
Ajax

#2 Hi

Für interessierte ZoneAlarm-User zum gleichen Thema.Diesmal ein objektiver Test und sein Endergebnis:

http://www.dslreports.com/forum/remark,3191090~root=security,1~mode=flat~start=60#end

Wollte bloß alles richtigstellen.
Gruß,
Ajax

#3 @Ajax
bei Urls mit Kommata: [url ]http://...[/url] - musste ich auch erst herausfinden!

ich war auch wirklich ziemlich überrascht, als ich hörte, das Zonealarm als einziger diesen Test besteht.

Erleichterung oder nicht Erleichterung das ist hier die Frage

#4 mhh....habe den Eindruck, das nicht Kerio, sondern mehr mein System "resistent" gegen Backstealth ist, auf jeden Fall bleibt der angekündigte Ordner
mit der darin enthaltenen Textdatei aus.
Das kleine Programm scheint soweit zu arbeiten, schreibt sich brav in den Speicher und bringt dann Fehlermeldung....Seht bitte hier---> http://de.geocities.com/anubis0501/backst.html

Vielleicht is das noch nicht so ausgereift, oder meine Speicher hat nen Schaden
Grüsse, Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#5 Hi Joschi

Das wird wohl kaum ein Speicherschaden sein.Eher nehme ich an daß dein Betriebssystem Win98 oder Win95 ist.(Failed enabling Debug privilege)

Gruß
Ajax

#6 Hi @all

Ich denke, das dürfte auch bei ZoneAlarm gehn.

Hier mal ein Abklatsch aus dem Readme (Sourcen sind übrigens im Netz zum Tool!)

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
Park all these programs in a directory somewhere, and just run "bs"
from a cmd window. It looks through the system windows for one that
matches a known pattern, and when it finds one, it tries to open that
process and bang on the firewall.

But the window strings must match *exactly*, so

ZoneAlarm
and
ZoneAlarm Pro

aren't the same. There is a table early in the BS.CPP file that lists
the strings we're matching, and if you find that your firewall is not
found, you can use the ENUMWIN program to run through the system and
find all the system windows listed. You can just add your own to the
list and it will attempt to find the new one you included.
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

gruss

!

#7 ups, link vergessen...

www.unixwiz.net/backstealth/files/README.TXT


greetz

!

#8 Hm, zuviele Einträge von mir, schlecht.

Also, hab es neu kompiliert (da niemals ner EXE traue), und auf ner Kiste mit ZoneAlarm 3.1291 getestet. Es klappt nur dann [File retrieved], wenn es ZoneAlarm selbst gestattet ist, ins Internet zu connecten, ansonsten blockt es ab (was logisch ist). Aber welcher User (will nicht DAU sagen, meine es aber) erschrickt, wenn z.B. ZoneAlarm ne Frage stellt, ob die Firewall nicht selbst ins Netz darf ?

ABER:
Meist hilft die Kombination von Techniken zum Erfolg. z.B. nur schon nen einfachen Process-Explorer, oder ein Demo-Tool wie "shatter" hilft, um da ein paar wichtige Objekte zu lokalisieren. Und so oder so kann ein solches Proggy auch lokalisiert und gestartet werden via erweitertem BS (falls möglich, hidden).
Oder im Falle von ner Konsole, z.B. ein Kilo NOP's reinknallen, dann impfen, dann Enumerieren (wenn nicht schon getan auf eigener Kiste, falls möglich), Einsprung-Adresse suchen (Auswahl bei sovielen NOP's), dann sollte es doch auch funzen, oder ?.
Es dürfte z.B. auch nicht schwer sein, die Definition z.B. bei ZoneAlarm zu kriegen, um ggf. zu reagieren.

Die letzte Frage lasse ich gerne offen:
Wie kriegt man BS auf ein Remote-System..... :o)

!

#9 Also ich habe von Tiny Trojan trap das verhindert das dieses programm in den Speicher reinschreibt so wie das Löschen deaktivieren oder Beenden der Firewall und Antiviren Prozesse ich kann es nur empfehlen auch wenn man erstmal etwas braucht bis man es konfiguriert hat
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}