Hi,

um Sinn und Unsinn von Desktop-Firewalls wird ja immer wieder gestritten, aber darum solls hier gar nicht gehen. Vor allem die DFw ZoneAlarm ist vielgescholten und gilt als besonders unsicher. Es heißt auch, dass ZoneAlarm sich leicht abschiessen lässt. Ich hab dies mal mit der neuesten Freeware-Version ausprobiert und kann dies nicht bestätigen, bin allerdings auch kein Experte.

Wenn ich ZA's True Vector Service VSMON mit einem Prozess-Killer abschiesse, dann ist kein freier Internetverkehr mehr möglich, sondern bei jedem Versuch auf das Internet zuzugreifen wird man auf eine ZoneLabs-Warnseite umgeleitet. Auch Programme können keine freie Verbindung mehr nach aussen aufbauen. So wars zumindest auf meinem PC.

Dies sollte aber jetzt kein Posting für ZA sein.

Gruss
dietlmann

Hmmm...könnte sein, dass das nach dem Prinzip vom 0190-Warner arbeitet. Kenne die ZA-Verasionen zwar nicht, aber beim 0190-Warner ist es so, wenn dessen Hauptprogramm abgeschossen wird, kann keine DFÜ-Verbindiung hergestellt werden, weil er die dafür notwengigen DLLs durch eigene ersetzt hat, es wird dann nur ein Warnfenster angezeigt, was mitteilt, dass keine Verbindung möglich ist, wenn das Hauptprogramm nicht im Hintergrund läuft.

Gruss Janerik

Software-Firewalls hören Standardmäßig die Winsock-API ab, diese wird vom Betriebssystem zur Verfügung gestellt um anderen Programmen den Zugang zum Internet zu ermöglichen, ohne das jedes Programm für sich die Prozeduren der API mit sich 'herumschleppen' muss.

Ein Programm, dass seinen eigenen Code mitbringt und damit direkt das Modem / die Netzwerkkarte anspricht kann von keiner Software-Firewall entdeckt oder gehindert werden, Zugriff zum Internet zu erhalten.

Software-Firewalls verhindern nicht, dass du schädlichen Code ausführst oder schädlicher Code automatisch durch Krankheiten wie ActiveX ausgeführt wird. Aber genau das ist der Punkt: Malware, die einmal läuft kann _alles_ mit deinem Rechner machen. Deswegen mußt du alle Maßnamen ergreifen, die verhindern, dass schädlicher Code ausgeführt wird, alles andere wäre blödsinn und wirkt sich in den meisten Fällen sogar kontraproduktiv aus.

</font><blockquote>Zitat:</font><hr /> Ein Programm, dass seinen eigenen Code mitbringt und damit direkt das Modem / die Netzwerkkarte anspricht kann von keiner Software-Firewall entdeckt oder gehindert werden, Zugriff zum Internet zu erhalten. </font>[/QUOTE]Haben nicht Leaktests wie 'Yalta', 'Outbound', 'mbtest', sowie Tools, die Raw Sockets nutzen, gezeigt, dass die meisten aktuellen PFWs eben _doch_ auf niedrigerer Ebene filtern und den entsprechenden Datenverkehr unterbinden können?

Oder hast du noch etwas anderes im Sinn, WarpMan?

Ausserdem bläht so ein Teil die Malware natürlich extrem auf, wenn der noch seine eigenen Verbindungsroutinen mitbringt...

</font><blockquote>Zitat:</font><hr />Haben nicht Leaktests wie 'Yalta', 'Outbound', 'mbtest', sowie Tools, die Raw Sockets nutzen, gezeigt, dass die meisten aktuellen PFWs eben _doch_ auf niedrigerer Ebene filtern und den entsprechenden Datenverkehr unterbinden können? </font>[/QUOTE]Möglich, aber es gibt noch andere nette Methoden eine Software-Firewall auszutricksen:
http://perso.wanadoo.fr/jugesoftware...eweb/test.html
(Man beachte die Ergebnisse des WallBreakers)

Mal abgesehen vom Problem, welches man prinzipiell hat wenn Malware auf dem eigenen Rechner läuft (siehe letzten Absatz meines letzten Beitrags) wird es immer eine Möglichkeit geben, PFs zu umgehen. Und allein darauf zu vertrauen, dass ein Virenprogrammierer diese Möglichkeiten nicht nutzt hat nichts mit Sicherheit zu tun.

</font><blockquote>Zitat:</font><hr />Original erstellt von dietlmann:
Hi,


Wenn ich ZA's True Vector Service VSMON mit einem Prozess-Killer abschiesse, dann ist kein freier Internetverkehr mehr möglich, sondern bei jedem Versuch auf das Internet zuzugreifen wird man auf eine ZoneLabs-Warnseite umgeleitet. Auch Programme können keine freie Verbindung mehr nach aussen aufbauen. So wars zumindest auf meinem PC.

Gruss
dietlmann </font>[/QUOTE]Mag sein wenn du mit einen Prozess Viewer daran gehst... Die Malewarecoder schlafen aber auch nicht.... Teilweise löschen Trojaner Server die kompletten Registry einträge vonm FW Produkten.....
Ich werde den Versuch mal mit Windows 98, der neusten ZA Version und Optix 1.32 unternehmen.Dafür hab ich ja VMWare

Ergebnis:
Beim ersten starten des Servers kam die beschriebene Umleitung auf die Zonelabs Seite.Nach einen Neustart jedoch nicht mehr.Teilweise hängt sich das System komplett auf!