Porównanie 3 popularnych firewalli - OA, SS, PF - na plikach - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Publikacje (https://safegroup.pl/forum-27.html) +--- Dział: Testy (https://safegroup.pl/forum-22.html) +--- Wątek: Porównanie 3 popularnych firewalli - OA, SS, PF - na plikach (/thread-6074.html) Strony:
1
2
|
Porównanie 3 popularnych firewalli - OA, SS, PF - na plikach - PascalHP - 14.12.2012 Na życzenie ktośtamprzetestowałem 3 popularne firewalle, a mianowicie: Emsisoft Online Armor, SpyShleter Firewall oraz PrivateFirewall. Każdy z firewalli zablokował niebezpieczne pliki, natomiast mam zastrzeżenia do SpySheltera, który dopuścił do tego, że złośliwe pliki utworzyły swoje kopie, natomiast były one nieszkodliwe, aż do ich ręcznego uruchomienia. Jeżeli chodzi o obciążenie systemu, to PrivateFirewall zrobił na mnie największe wrażenie, ponieważ nie było czuć żadnych spowolnień, które można było odczuć u konkurentów. Zdecydowanym zwycięzcą tego testu jest PrivateFirewall , ze względu na niskie obciążenie systemu i perfekcyjną skuteczność. Linki do testów: Emsisoft Online Armor [Aby zobaczyć linki, zarejestruj się tutaj] SpyShleter Firewall[Aby zobaczyć linki, zarejestruj się tutaj] PrivateFirewall[Aby zobaczyć linki, zarejestruj się tutaj] Wszystkie programy były testowane na ustawieniach domyślnych.Próbki dostarczył tachion , dziękuję. Re: Porównanie 3 popularnych firewalli - OA, SS, PF - na plikach - ichito - 14.12.2012 Nie zobaczę póki co wyników, ale już dziękuję za testy Re: Porównanie 3 popularnych firewalli - OA, SS, PF - na plikach - artoor - 14.12.2012 No powiem szczerze, że jestem zszokowany :crazy: Rozumiem, że SpyShelter ma słaby moduł firewall, rzekłbym - trudno nazwać to zaporą, ale tutaj poległy inne moduły ochrony... czy ja dobrze rozumiem - SS sam w sobie jest HIPS''em w dużej mierze i podczas ubijania w nim procesów noszących znamiona szkodliwych (a tu wszystkie uruchamiane były szkodliwe), nie powinny chyba mieć miejsca takie infekcje Brawo dla Emsisoft Online Armor, no i dla PrivateFirewall, który był od początku moim faworytem w tej grze. Chyba trzeba sie będzie przeprosić z tym kapitalny zabezpieczeniem. Dzięki za przeprowadzony test - plus dla Ciebie! Re: Porównanie 3 popularnych firewalli - OA, SS, PF - na plikach - Dusiek - 14.12.2012 Dzięki za testy i twój poświęcony czas.Co do PF to faktycznie niby jest , ale tak jak by go nie było . Plusik dla Ciebie Re: Porównanie 3 popularnych firewalli - OA, SS, PF - na plikach - pancernik - 14.12.2012 Przydałoby się spolszczenie do Private Firewall Re: Porównanie 3 popularnych firewalli - OA, SS, PF - na plikach - artoor - 14.12.2012 Mewa napisał(a):Przydałoby się spolszczenie do Private Firewall W sumie by nie zaszkodziło, ale z drugiej strony, tam na prawdę nie ma wiele komunikatów, a i tak większość z nich po prostu się powtarza i jak już się je ogarnie, nawet ze słownikiem (tak na siłę), to powinno być z górki Re: Porównanie 3 popularnych firewalli - OA, SS, PF - na plikach - zord - 14.12.2012 Infekcje nie miały miejsca SpyShleter zablokował wszystkie szkodliwe działania w przypadku innych programów były pytania o to czy w ogóle uruchomić plik. Re: Porównanie 3 popularnych firewalli - OA, SS, PF - na plikach - marsellus - 14.12.2012 Dokładnie, tylko przy SSF mogliśmy zobaczyć jak sobie radzi z blokowaniem szkodliwych akcji, reszta blokowała tylko uruchomienie samego pliku. Jeśli ktoś tu widzi infekcje to chyba oglądał inny test BTW. Artoor jeśli w ss dasz poziom ochrony na pytaj użytkownika to też będzie blokował każdy uruchamiany plik. Re: Porównanie 3 popularnych firewalli - OA, SS, PF - na plikach - McAlex - 14.12.2012 Tak BTW. czy aby w testach HIPSów nie powinno się wstępnie zezwalać na uruchamianie wirusów. Przecież tego rodzaju zmagania mają odzwierciedlić umiejętności radzenia sobie ze szkodliwymi działaniami, a żaden użytkownik nie pobierze sobie wirusa specjalnie i nie będzie realnie mieć pewności co do jego szkodliwości. Tym bardziej, że programy te potrafią pytać też o czyste aplikacje. Re: Porównanie 3 popularnych firewalli - OA, SS, PF - na plikach - artoor - 14.12.2012 zord napisał(a):Infekcje nie miały miejsca SpyShleter zablokował wszystkie szkodliwe działania w przypadku innych programów były pytania o to czy w ogóle uruchomić plik. No dobrze, ale w takim razie czemu MBAM wykrył jakieś zagrożenia (śmieci) podczas skanowania zaraz po teście SSF, a w przypadku PF i EOA takiego czegoś nie dostrzegliśmy? Tak tylko pytam, bo kładę tu nacisk na drugą część cytatu Konfucjusza z mojego podpisu Re: Porównanie 3 popularnych firewalli - OA, SS, PF - na plikach - zord - 14.12.2012 Bo SS domyślnie blokuje tylko szkodliwe działania niektóre programy próbowały się zainstalować ale po zablokowaniu to co zostawiły było nieszkodliwe. PF i EOA zablokowałyprobe uruchomienia pliku wiec siłą rzeczy nic nie mogło zostać w systemie zadziałały podobnie jak AppGuard Podczas testu powinno się zezwolić na uruchomienie i wtedy sprawdzić jak program zareaguje bo tak to trochę bez sensu nikt nie pobiera pliku żeby potem od razu go zablokować podobny efekt można osiągnąć po prostu nie klikając w niego Re: Porównanie 3 popularnych firewalli - OA, SS, PF - na plikach - artoor - 14.12.2012 zord napisał(a):Bo SS domyślnie blokuje tylko szkodliwe działania niektóre programy próbowały się zainstalować ale po zablokowaniu to co zostawiły było nieszkodliwe. Słuszna uwaga i dziękuję za wyjaśnienie. W sumie można by poprosić PascalHP o powtórzenie dla PF i EOA z zezwoleniem uruchomienia pliku. Ciekaw jestem jak sprawa wówczas by wyglądała... tyle że to już zakrawać będzie o test modułu HIPS dla ww programów, a nie stricte FW, dobrze kombinuję? Niemniej jednak dziękuję za rozwinięcie Re: Porównanie 3 popularnych firewalli - OA, SS, PF - na plikach - tachion - 14.12.2012 Tia tu nie ma żadnej infekcji,co prawda zbot załadował się do lokalizacji appdata\roaming\moibku ale potencjalnie szkodliwy proces został zabity,tak więc próbka nie rezyduje w pamięci i nie jest wykonywana Re: Porównanie 3 popularnych firewalli - OA, SS, PF - na plikach - PascalHP - 14.12.2012 tachion, o tym też mówiłem, że do czasu ręcznego uruchomienia zainfekowanego pliku nie dojdzie do infekcji. Re: Porównanie 3 popularnych firewalli - OA, SS, PF - na plikach - tachion - 14.12.2012 Wiem<!-- s--> <!-- s--> Za chwilę dalsza część i wykroczymy trochę w przyszłość a mianowicie co się dzieje dalej z próbką i jej destrukcyjnym działaniem Dalsze alerty spysheltera zezwolono na dalsze działąnie komunikat Plik piawuk.exe (pid=3632) próbuje otworzyć proces taskhost.exe [pid=2004]w celu modyfikacji Jest to typowe działanie dla zdalnego wstrzyknięcia biblioteki dll Kod akcji: 40 TechInfo: 16,2004,1146 Zezwolić na niebezpieczną akcję? zakończono i proces został zakończony brak infekcji uruchomienie 2x zezwolono komunikat Plik uxcy.exe (pid=3844) próbuje modyfikować pamięć dla procesu taskhost.exe [pid=2004] Jest to typowe działanie dla zdalnego wstrzyknięcia biblioteki dll Kod akcji: 29 TechInfo: 8,2004,1 Zezwolić na niebezpieczną akcję? zakończono i proces został zakończony brak infekcji uruchomiono 3x zezwolono komunikat Plik taskhost.exe (pid=2004) próbuje zmodyfikować chroniony klucz rejestru: HKCU\Software\Microsoft\Windows\CurrentVersion\Run,{16252149-A983-AD41-3CD1-55E824FB76F5} Kategoria: Automatyczne uruchamianie Kod Akcji: 26 TechInfo: 5,4,0 Zezwolić na niebezpieczną akcję? tutaj się już odzywa alert zabezpieczeń systemu windows,zapora systemu zablokowała niektóre funkcje tego programu,zostało to anulowane alert spysheltera zakończono,pojawił się następny alert Plik WinMail.exe (pid=2116) próbuje utworzyć lub modyfikować dane( C:\Users\xx\AppData\Local\Microsoft\Windows Mail\Local Folders\Inbox\52712F07-00000001.eml:OECustomProperty ) Może być użyty do ukrycia plików Kod akcji: 47 TechInfo: 23,0,0 Zezwolić na niebezpieczną akcję ? alert został też zakończony pojawił się następny Plik C:\Users\xx\AppData\Local\Temp\tmp13226008\load44.exe próbuje uruchomić aplikację: C:\Windows\System32\cmd.exe Kod Akcji: 53 TechInfo: 33,2680,0 Zezwolić na uruchomienie? alert został zakończony pojawił się następny Plik dwm.exe (pid=552) próbuje zmodyfikować chroniony klucz rejestru: HKCU\Software\Microsoft\Windows\CurrentVersion\Run,{16252149-A983-AD41-3CD1-55E824FB76F5} Kategoria: Automatyczne uruchamianie Kod Akcji: 26 TechInfo: 5,4,0 Zezwolić na niebezpieczną akcję? alert został zakończony Dalej koniec alertów o manualanym podejmowaniu decyzji przez użytkownika Po tych wszystkich działaniach są widoczne zmiany w rejestrze,próbka jest uruchomiona z następującej lokalizacji C:\Users\xx\cipaxidudpob.exe REJESTR HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN Dalej następują komunikaty od strony spysheltera z modułu AntiKeylogging spyshelter zablokował ustawienie haka na dllhost.exe i tak cały czas Wychodzi na to że próbka jest uruchomiona ale spyshelter i tak skutecznie blokuje jej działąnia i tyle w tym temacie. Re: Porównanie 3 popularnych firewalli - OA, SS, PF - na plikach - artoor - 14.12.2012 Czyli jednym słowem, trzeba by się nieźle postarać, żeby taki plik nawet już zainstalowany na wyraźne życzenie użytkownika mógł wyrządzić jakiekolwiek szkody, bo tu aż się prosi żeby wbić haka... zatem długa droga do tego... choć teraz już pewnie by wystarczyło wyłączyć ochronę SS Dzięki za dopełnienie testu Tachion Re: Porównanie 3 popularnych firewalli - OA, SS, PF - na plikach - facecik - 14.12.2012 Tachion, a mógłbyś w ten sam sposób sprawdzić dwoch pozostałych zawodników ? Re: Porównanie 3 popularnych firewalli - OA, SS, PF - na plikach - Adi Cherryson - 15.12.2012 facecik napisał(a):Tachion, a mógłbyś w ten sam sposób sprawdzić dwoch pozostałych zawodników ? Przyłączam się do tej prośby. McAlex napisał(a):Tak BTW. czy aby w testach HIPSów nie powinno się wstępnie zezwalać na uruchamianie wirusów. Przecież tego rodzaju zmagania mają odzwierciedlić umiejętności radzenia sobie ze szkodliwymi działaniami, a żaden użytkownik nie pobierze sobie wirusa specjalnie i nie będzie realnie mieć pewności co do jego szkodliwości. Tym bardziej, że programy te potrafią pytać też o czyste aplikacje. Tylko jak to zrobić? Wyłączyć Firewall i uruchomić szkodnika, a potem znowu włączyć FW? Ciekawy test. Re: Porównanie 3 popularnych firewalli - OA, SS, PF - na plikach - facecik - 15.12.2012 Adi Cherryson napisał(a):McAlex napisał(a):Tak BTW. czy aby w testach HIPSów nie powinno się wstępnie zezwalać na uruchamianie wirusów. Przecież tego rodzaju zmagania mają odzwierciedlić umiejętności radzenia sobie ze szkodliwymi działaniami, a żaden użytkownik nie pobierze sobie wirusa specjalnie i nie będzie realnie mieć pewności co do jego szkodliwości. Tym bardziej, że programy te potrafią pytać też o czyste aplikacje. A co ma firewall do uruchamiania plików ?Przecież za to odpowiada właśnie HIPS. Re: Porównanie 3 popularnych firewalli - OA, SS, PF - na plikach - McAlex - 15.12.2012 Wystarczy zezwolić na uruchomienie, a później bawić się w blokady. |