SafeGroup

Na życzenie ktośtamprzetestowałem 3 popularne firewalle, a mianowicie: Emsisoft Online Armor, SpyShleter Firewall oraz PrivateFirewall.

Każdy z firewalli zablokował niebezpieczne pliki, natomiast mam zastrzeżenia do SpySheltera, który dopuścił do tego, że złośliwe pliki utworzyły swoje kopie, natomiast były one nieszkodliwe, aż do ich ręcznego uruchomienia.

Jeżeli chodzi o obciążenie systemu, to PrivateFirewall zrobił na mnie największe wrażenie, ponieważ nie było czuć żadnych spowolnień, które można było odczuć u konkurentów.

Zdecydowanym zwycięzcą tego testu jest PrivateFirewall , ze względu na niskie obciążenie systemu i perfekcyjną skuteczność.

Linki do testów:
Emsisoft Online Armor

[Aby zobaczyć linki, zarejestruj się tutaj]

SpyShleter Firewall

[Aby zobaczyć linki, zarejestruj się tutaj]

PrivateFirewall

[Aby zobaczyć linki, zarejestruj się tutaj]

Wszystkie programy były testowane na ustawieniach domyślnych.
Próbki dostarczył tachion , dziękuję.

Nie zobaczę póki co wyników, ale już dziękuję za testy

No powiem szczerze, że jestem zszokowany :crazy:
Rozumiem, że SpyShelter ma słaby moduł firewall, rzekłbym - trudno nazwać to zaporą, ale tutaj poległy inne moduły ochrony... czy ja dobrze rozumiem - SS sam w sobie jest HIPS''em w dużej mierze i podczas ubijania w nim procesów noszących znamiona szkodliwych (a tu wszystkie uruchamiane były szkodliwe), nie powinny chyba mieć miejsca takie infekcje
Brawo dla Emsisoft Online Armor, no i dla PrivateFirewall, który był od początku moim faworytem w tej grze. Chyba trzeba sie będzie przeprosić z tym kapitalny zabezpieczeniem.

Dzięki za przeprowadzony test - plus dla Ciebie!

Dzięki za testy i twój poświęcony czas.Co do PF to faktycznie niby jest , ale tak jak by go nie było . Plusik dla Ciebie

Przydałoby się spolszczenie do Private Firewall

Mewa napisał(a):Przydałoby się spolszczenie do Private Firewall

W sumie by nie zaszkodziło, ale z drugiej strony, tam na prawdę nie ma wiele komunikatów, a i tak większość z nich po prostu się powtarza i jak już się je ogarnie, nawet ze słownikiem (tak na siłę), to powinno być z górki

Infekcje nie miały miejsca SpyShleter zablokował wszystkie szkodliwe działania w przypadku innych programów były pytania o to czy w ogóle uruchomić plik.

Dokładnie, tylko przy SSF mogliśmy zobaczyć jak sobie radzi z blokowaniem szkodliwych akcji, reszta blokowała tylko uruchomienie samego pliku. Jeśli ktoś tu widzi infekcje to chyba oglądał inny test
BTW. Artoor jeśli w ss dasz poziom ochrony na pytaj użytkownika to też będzie blokował każdy uruchamiany plik.

Tak BTW. czy aby w testach HIPSów nie powinno się wstępnie zezwalać na uruchamianie wirusów. Przecież tego rodzaju zmagania mają odzwierciedlić umiejętności radzenia sobie ze szkodliwymi działaniami, a żaden użytkownik nie pobierze sobie wirusa specjalnie i nie będzie realnie mieć pewności co do jego szkodliwości. Tym bardziej, że programy te potrafią pytać też o czyste aplikacje.

zord napisał(a):Infekcje nie miały miejsca SpyShleter zablokował wszystkie szkodliwe działania w przypadku innych programów były pytania o to czy w ogóle uruchomić plik.

No dobrze, ale w takim razie czemu MBAM wykrył jakieś zagrożenia (śmieci) podczas skanowania zaraz po teście SSF, a w przypadku PF i EOA takiego czegoś nie dostrzegliśmy? Tak tylko pytam, bo kładę tu nacisk na drugą część cytatu Konfucjusza z mojego podpisu

Bo SS domyślnie blokuje tylko szkodliwe działania niektóre programy próbowały się zainstalować ale po zablokowaniu to co zostawiły było nieszkodliwe.
PF i EOA zablokowałyprobe uruchomienia pliku wiec siłą rzeczy nic nie mogło zostać w systemie zadziałały podobnie jak AppGuard
Podczas testu powinno się zezwolić na uruchomienie i wtedy sprawdzić jak program zareaguje bo tak to trochę bez sensu nikt nie pobiera pliku żeby potem od razu go zablokować podobny efekt można osiągnąć po prostu nie klikając w niego

zord napisał(a):Bo SS domyślnie blokuje tylko szkodliwe działania niektóre programy próbowały się zainstalować ale po zablokowaniu to co zostawiły było nieszkodliwe.
PF i EOA zablokowałyprobe uruchomienia pliku wiec siłą rzeczy nic nie mogło zostać w systemie zadziałały podobnie jak AppGuard
Podczas testu powinno się zezwolić na uruchomienie i wtedy sprawdzić jak program zareaguje bo tak to trochę bez sensu nikt nie pobiera pliku żeby potem od razu go zablokować podobny efekt można osiągnąć po prostu nie klikając w niego

Słuszna uwaga i dziękuję za wyjaśnienie. W sumie można by poprosić PascalHP o powtórzenie dla PF i EOA z zezwoleniem uruchomienia pliku. Ciekaw jestem jak sprawa wówczas by wyglądała... tyle że to już zakrawać będzie o test modułu HIPS dla ww programów, a nie stricte FW, dobrze kombinuję? Niemniej jednak dziękuję za rozwinięcie

Tia tu nie ma żadnej infekcji,co prawda zbot załadował się do lokalizacji appdata\roaming\moibku ale potencjalnie szkodliwy proces został zabity,tak więc próbka nie rezyduje w pamięci i nie jest wykonywana

tachion, o tym też mówiłem, że do czasu ręcznego uruchomienia zainfekowanego pliku nie dojdzie do infekcji.

Wiem<!-- s--> <!-- s-->
Za chwilę dalsza część i wykroczymy trochę w przyszłość a mianowicie co się dzieje dalej z próbką i jej destrukcyjnym działaniem

Dalsze alerty spysheltera

zezwolono na dalsze działąnie
komunikat
Plik piawuk.exe (pid=3632)
próbuje otworzyć proces taskhost.exe [pid=2004]w celu modyfikacji
Jest to typowe działanie dla zdalnego wstrzyknięcia biblioteki dll
Kod akcji: 40
TechInfo: 16,2004,1146
Zezwolić na niebezpieczną akcję?

zakończono i proces został zakończony brak infekcji


uruchomienie

2x zezwolono
komunikat

Plik uxcy.exe (pid=3844)
próbuje modyfikować pamięć dla procesu taskhost.exe [pid=2004]
Jest to typowe działanie dla zdalnego wstrzyknięcia biblioteki dll
Kod akcji: 29
TechInfo: 8,2004,1
Zezwolić na niebezpieczną akcję?

zakończono i proces został zakończony brak infekcji

uruchomiono
3x zezwolono
komunikat

Plik taskhost.exe (pid=2004)
próbuje zmodyfikować chroniony klucz rejestru:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run,{16252149-A983-AD41-3CD1-55E824FB76F5}
Kategoria: Automatyczne uruchamianie
Kod Akcji: 26
TechInfo: 5,4,0
Zezwolić na niebezpieczną akcję?

tutaj się już odzywa alert zabezpieczeń systemu windows,zapora systemu zablokowała niektóre funkcje tego programu,zostało to anulowane

alert spysheltera zakończono,pojawił się następny alert
Plik WinMail.exe (pid=2116)
próbuje utworzyć lub modyfikować dane( C:\Users\xx\AppData\Local\Microsoft\Windows Mail\Local Folders\Inbox\52712F07-00000001.eml:OECustomProperty )
Może być użyty do ukrycia plików
Kod akcji: 47
TechInfo: 23,0,0
Zezwolić na niebezpieczną akcję ?

alert został też zakończony

pojawił się następny

Plik C:\Users\xx\AppData\Local\Temp\tmp13226008\load44.exe
próbuje uruchomić aplikację:
C:\Windows\System32\cmd.exe
Kod Akcji: 53
TechInfo: 33,2680,0
Zezwolić na uruchomienie?

alert został zakończony

pojawił się następny

Plik dwm.exe (pid=552)
próbuje zmodyfikować chroniony klucz rejestru:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run,{16252149-A983-AD41-3CD1-55E824FB76F5}
Kategoria: Automatyczne uruchamianie
Kod Akcji: 26
TechInfo: 5,4,0
Zezwolić na niebezpieczną akcję?

alert został zakończony

Dalej koniec alertów o manualanym podejmowaniu decyzji przez użytkownika

Po tych wszystkich działaniach są widoczne zmiany w rejestrze,próbka jest uruchomiona z następującej lokalizacji C:\Users\xx\cipaxidudpob.exe
REJESTR HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN

Dalej następują komunikaty od strony spysheltera z modułu AntiKeylogging spyshelter zablokował ustawienie haka na dllhost.exe i tak cały czas

Wychodzi na to że próbka jest uruchomiona ale spyshelter i tak skutecznie blokuje jej działąnia i tyle w tym temacie.

Czyli jednym słowem, trzeba by się nieźle postarać, żeby taki plik nawet już zainstalowany na wyraźne życzenie użytkownika mógł wyrządzić jakiekolwiek szkody, bo tu aż się prosi żeby wbić haka... zatem długa droga do tego... choć teraz już pewnie by wystarczyło wyłączyć ochronę SS
Dzięki za dopełnienie testu Tachion

Tachion, a mógłbyś w ten sam sposób sprawdzić dwoch pozostałych zawodników ?

facecik napisał(a):Tachion, a mógłbyś w ten sam sposób sprawdzić dwoch pozostałych zawodników ?

Przyłączam się do tej prośby.

McAlex napisał(a):Tak BTW. czy aby w testach HIPSów nie powinno się wstępnie zezwalać na uruchamianie wirusów. Przecież tego rodzaju zmagania mają odzwierciedlić umiejętności radzenia sobie ze szkodliwymi działaniami, a żaden użytkownik nie pobierze sobie wirusa specjalnie i nie będzie realnie mieć pewności co do jego szkodliwości. Tym bardziej, że programy te potrafią pytać też o czyste aplikacje.

Tylko jak to zrobić? Wyłączyć Firewall i uruchomić szkodnika, a potem znowu włączyć FW?

Ciekawy test.

Adi Cherryson napisał(a):

McAlex napisał(a):Tak BTW. czy aby w testach HIPSów nie powinno się wstępnie zezwalać na uruchamianie wirusów. Przecież tego rodzaju zmagania mają odzwierciedlić umiejętności radzenia sobie ze szkodliwymi działaniami, a żaden użytkownik nie pobierze sobie wirusa specjalnie i nie będzie realnie mieć pewności co do jego szkodliwości. Tym bardziej, że programy te potrafią pytać też o czyste aplikacje.

Tylko jak to zrobić? Wyłączyć Firewall i uruchomić szkodnika, a potem znowu włączyć FW?

A co ma firewall do uruchamiania plików ?Przecież za to odpowiada właśnie HIPS.

Wystarczy zezwolić na uruchomienie, a później bawić się w blokady.