Сегодня мы проведем очередной поединок между троянами-шпионами и файерволами. Это будет более серьезный тест на пробиваемость изнутри файерволов. Более серьезный, чем несколько примитивных тестов проводимых нами ранее. И сейчас вы в этом убедитесь... От имени шпионов-троянов будет выступать утилита AWFT 3.1.
Не волнуйтесь, это не троян и не шпион, это демонстрационный образец, использующий технологии троянов. А как иначе проверить файерволл? Только в условиях приближенных к реальным. Если у вас на компьютере постоянно работает включенный антивирусный монитор, то для чистоты эксперимента проведите соревнования несколько раз: первый раз с отключенным антивирусным монитором, а второй раз с включенным (авось монитор-антивирусник где-то и подстрахует ваш файервол).
Итак, как мы уже говорили, со стороны троянов-шпионов выступает утилита утилита AWFT 3.1. Со стороны файерволов в вашем случае будет выступать ваш файервол, установленный на вашей машине (вот его и тестируйте). Автор этой статьи использовал для тестирования наиболее популярный на сегодняшний день в Рунете файервол Outpost Firewall Pro ver. 2.5.370.4626 (370). На сегодняшний день в борьбе за лидерство, Outpost Firewall Pro пожалуй чуть-чуть обходит предыдущего лидера ZoneAlarm Pro.
Итак, трояны против файервола-лидера, использующего сегодня все передовые технологии защиты. Сразу оговорюсь, что используется файервол "правильный, лицензионный, скачанный с сайта производителя. Настройки оставлены по умолчанию (политика безопасности файервола: в режиме обучения).
Итак, утилита AWFT ... Расшифровывается, как Atelier Web Firewall Tester. Имеет триальную лицензию (работы утилиты ограничена 10 запусками - вам для тестирования хватит этого с головой!). Кстати, мой антивирус в скаченном файле ничего не нашел подозрительного, не заподозрил внутри файлика никаких троянских технологий. Что и говорить, внутренности сего псевдотроянского механизм сделаны весьма добротно.
Обратите внимание, на устаревшей Windows 98 не запустится. И во время тестирования нужно будет соединение с интернетом.
Итак, скачиваем утилиту AWFT 3.1. На всякий случай, если будут проблемы со скачиванием или захотите подробнее почитать об этой программе, то вот производитель: http://www.atelierweb.com/awft/
Итак, инсталлируем и запускаем AWFT 3.1 (разумеется ваш фаерволл и соединение с интернетом также должны уже быть запущены).
Итак, начинаем...
ТЕСТ1
Вроде все готово: файервол запущен и работает в реальном режиме, интернет подключен, утилита AWFT также запущена. На всякий случай, для чистоты эксперимента, в утилите AWFT изменяем адрес загружаемой страницы: www.hackzona.ru
))
Страница успешо загрузилась в окно программы AWFT, а файерволл Outpost Firewall Pro ver. 2.5.370.4626 даже не шелохнулся
Использован прием с загрузкой скрытой копии браузера и перед запуском браузера патчится-изменяется память.
ТЕСТ 2:
Как предупреждают авторы утилиты - это старый и давно известный трюк. Outpost Firewall Pro ver. 2.5.370.4626 немедленно реагирует. Первым вылетает грозное сообщение: сетевой доступ для explorer.exe блокирован, так как его область памяти была изменена другим процессом.
Блокируется доступ к сети для браузера, а затем появляется еще одно окно, предлагающее пользователю принять дальнейшее решение
Выбираем блокирование... И закрываем окно браузера. Для продолжения тестов нам понадобится новое свежее окно.
Тест 3
Фаервол не выдает никаких предостережений, а просто молча блокирует. В окне утилиты AWFT, на счету файервола появляется уже 2 очка.
2 : 1 в пользу фаервола... Правда обольщаться не стоит, третий тест - это тоже старый известный трюк.
Тест 4
Аналогичен первому тесту с запуском скрытой копии браузера и пропатчиванием памяти перед его запуском. На этот раз браузер запускается через Windows Explorer. Outpost Firewall Pro ver. 2.5.370.4626 опять прохлопал ушами и пропустил информацию с компьютера наружу.
Счет становится 2 : 2
Тест 5
Тут есть особенность. Сейчас утилита AWFT будет пытаться дурить нас на ходу, во время серфинга. Нужно запустить браузер, загрузить в него какой-то (любой сайт) и немного подвигать мышью. Затем нажимаем в окне AWFT кнопку пятого теста. И что?
С нашего компьютера и без нашего ведома отправляется наружу запрос и в качестве доказательства несостоятельности нашего файервола, в окно утилиты AWFT нагло загрузилась тестовая страница... В данном тесте AWFT выполняет эвристический поиск установленного у вас на компьютере (или в сети) разрешенного программного обеспечения, имеющего доступ к Internet через порт 80, затем запускает копию разрешенной программы и перед самым запуском патчит память занимаемую этой программой (т.е. AWFT запускает и саму себя в памяти разрешенной программы). Весьма сложный тест для файерволла. Outpost Firewall Pro ver. 2.5.370.4626 проваливается на этом тесте.
За этот тест AWFT начислила себе сразу 3 очка. Итак, трояны лидируют со счетом 5 : 2
Тест 6
Последний тест AWFT. Аналогичен предыдущему пятому тесту. Используется тот же прием с эвристическим поиском установленного софта, имеющего право выходить наружу через порт 80. Только способ взлома сейчас изменен - используется пользовательский запрос. Попутно с этим AWFT пытается прилепить к браузеру хиджек, т.е. левый скрытный тулбар.
Для правильного прохождения теста нужно запустить браузер, загрузить в него какой-то (любой сайт) и немного подвигать мышью. Затем нажимаем в окне AWFT кнопку шестого теста. Что на этот раз?
На этот раз Outpost Firewall Pro ver. 2.5.370.4626 среагировал четко: действия утилиты AWFT были немедленно заблокированы. Поскольку тест считается сложным, то файерволл также получил 3 балла за этот тест.
Итоги:
5 : 5. Веселого мало... Разработчики теста AWFT советуют для начала пройти все тесты с теми настройками файервола, которые используются на вашей машине. Затем, в случае неудач, измените настройки файервола на самые жесткие - и снова пройдите все тесты. В крайнем случае, если проблемы с безопасностью остаются, то подумайте о смене файервола на другой.
Дополнительно также можете провести тестирование и с включенным антивирусным монитором вашего антивируса.
http://www.izcity.com/