以下转贴对Comodo Personal Firewall测试。
Comodo Personal Firewall 用KAV6和CPF2揭密pcAudit
主题:用KAV6和CPF2揭密pcAudit穿透防火墙的原理
作者:ubuntu@12KM
版权声明:本文首发于www.12km.com,版权归ubuntu所有,所有观点都和12KM无关,都是本人自己实践的结论,在互相尊重的前提下,欢迎任何人指正及讨论。本文采用GNU General Public License 简称GPL,在遵守GPL,非商用以及保留作者和版权声明的前提下,你可以任意转贴本文。将本文用于商业用途请先联系作者,以获得授权。
本文作者保留对违反本声明的行为进行法律诉讼的权利。
Comodo Personal Firewall(以后简称CPF)目前最新的版本是2.0版,在官方网站可以申请免费使用一年,暂时没有中文版。本文只介绍CPF在Leaktest中的表现,据说它已经通过所有2006 Firewall Leaktest,我们看看它有什么与众不同的地方。
测试环境: Windows XP SP2,KAV6.0.0.299,CPF 2.0.0.0
pcAudit2来源于
http://www.firewallleaktester.com/ 先简单提一下CPF的防护理念,CPF的程序行为分析有监视进程注入,DLL注入的功能。但是直到有联网动作的时候,它才提示。这是CPF对用户友好的一面,同时也是CPF认为在这之前的提示,应该由PG SSM GSS这类的软件来负责。
PCAudit uses DLL injection to inject it's code (as a DLL) into authorized application instead of launching it's aim directly.
If the aimed application have full access, pcaudit will go trough without trouble.
To test PCaudit correctly, say "Always" if your firewall will warn you that Explorer.exe try to access the Internet. Then try again, and if your firewall don't show you an alert about pcaudit.exe, it means that it is vulnerable...
PcAudit V2 uses a different way than his previous version to bypass DLL protection of personal firewall (which can blocks the first PCAudit)
上面是Firewall Leaktest对PcAudit的描述。主要的意思是PcAudit对所有信任的程序注入DLL,通过他们穿透防火墙。 正确的测试是,测试过程中,无论是Exploer.exe或其它程序访问Intenet,只要提示里没有pcaudit.exe,你就应该放行。所以有很多防火墙,在Exploer.exe访问网络提示里没有和pcaudit.exe有关的信息,就终止pcaudit.exe的执行,是不算通过测试的。
下面看一下KAV6的Proactive Defence和CPF 2的表现。
输入email后,KAV6 的提示:pcAudit对所有进程注入DLL。
pcAudit会在C:\Windows\system32下随机生成一个dll文件,并尝试把它注入所有的进程。本文中是bkootvid.dll
为了测试,我们在KAV6中选择Allow
