转发ubuntu 的 Comodo Personal Firewall 用KAV6和CPF2揭密pcAudit

enronlove

刚把za卸了 装上了Comodo Personal Firewal 可是发现论坛上关于它的东西比较少,找来找去,觉得这篇文章对大家可能有用,转来让大家看看.

文章如下:


Comodo Personal Firewall 用KAV6和CPF2揭密pcAudit

看到大家讨论pcAudit，特转发一篇我以前写的分析pcAudit的文章，以供参考。虽然用的不是LnS，但是我以为道理都是想通的。

主题：用KAV6和CPF2揭密pcAudit穿透防火墙的原理
作者：ubuntu@12KM
版权声明：本文首发于www.12km.com，版权归ubuntu所有，所有观点都和12KM无关，都是本人自己实践的结论，在互相尊重的前提下，欢迎任何人指正及讨论。本文采用GNUGeneralPublicLicense简称GPL，在遵守GPL，非商用以及保留作者和版权声明的前提下，你可以任意转贴本文。将本文用于商业用途请先联系作者，以获得授权。作者不对读者使用本文中软件造成的损失承担任何责任。
本文作者保留对违反本声明的行为进行法律诉讼的权利。

Comodo Personal Firewall（以后简称CPF）是一款完全功能永久免费的防火墙。目前最新的版本是2.0版，在官方网站可以通过邮箱申请激活码，一旦激活终生免费。暂时没有中文版。本文只介绍CPF在Leaktest中的表现，据说它已经通过所有2006 Firewall Leaktest，我们看看它有什么与众不同的地方。

注：由于本人已搞清楚P2P设置的问题和CPF的防护理念，所以正式向大家推荐CPF2。CPF2一般情况下内存使用在20+M----30+M左右，基本不占用CPU，基本不会影响P2P速度，256M以下内存请慎用。推荐512M内存，对内存有要求的请配合一款定时整理内存软件使用。CPF2用默认设置就可以通过全部Leaktest，基本不用自己写规则，只要选择记住所有允许的操作，设置好所有的dll组件，就可以啦。在使用上是一款极其“傻瓜”的防火墙。比我所见过的所有防火墙都简单。

CPF2 和间谍软件无关。至于以前的版本是有人使用垃圾反间谍软件误报的结果。但是本人不做担保，选择权在你们手里

测试环境： Windows XP SP2，KAV6.0.0.299,CPF 2.0.0.0
pcAudit2来源于http://www.firewallleaktester.com/

pcAudit2 请参考http://www.12km.com/read.php?tid=2594&keyword=pcaudit及访问pcAudit的官方网站

为了避免误会加入pcAudit和pcAudit2的md5sum

CODE:

[Copy to clipboard]

044ab744f4f49f5640766416bc10c8b7   pcaudit.exe(3.0.0.9)
8e3432fc96a1e0a6394dc6b6a1ffaf42   pcaudit2(6.3).exe
本文使用的是 pcaudit2(6.3).exe 为最新版。

CPF的主界面



先简单提一下CPF的防护理念，CPF的程序行为分析有监视进程注入，DLL注入的功能。但是直到有联网动作的时候，它才提示。这是CPF对用户友好的一面，同时也是CPF认为在这之前的提示，应该由PG SSM GSS这类的软件来负责。

QUOTE:
PCAudituses DLL injection to inject it's code (as a DLL)intoauthorized application instead of launching it's aimdirectly.
If the aimed application have full access, pcaudit will go trough without trouble.
To test PCaudit correctly, say "Always" if your firewall will warnyouthat Explorer.exe try to access the Internet. Then try again, andifyour firewall don't show you an alert about pcaudit.exe,itmeans that it is vulnerable...

PcAudit V2 uses a different way than his previous version to bypassDLLprotection of personal firewall (which can blocks the first PCAudit)
上面是FirewallLeaktest对PcAudit的描述。主要的意思是PcAudit对所有信任的程序注入DLL，通过他们穿透防火墙。正确的测试是，测试过程中，无论是Exploer.exe或其它程序访问Intenet，只要提示里没有pcaudit.exe，你就应该放行。所以有很多防火墙，在Exploer.exe访问网络提示里没有和pcaudit.exe有关的信息，就终止pcaudit.exe的执行，是不算通过测试的。

下面看一下KAV6的Proactive Defence和CPF 2的表现。

输入email后，KAV6 的提示：pcAudit对所有进程注入DLL。
pcAudit会在C:\Windows\system32下随机生成一个dll文件，并尝试把它注入所有的进程。本文中是bkootvid.dll
为了测试，我们在KAV6中选择Allow



按提示打开记事本和浏览器输入文字。




pcAudit开始尝试用感染的程序向外发送信息。





简单介绍下，CPF的弹出警告的特点。
右上角1是警告等级，全红代表最高警报 左边红X 5表示建议你选Deny 也就是禁止。相当友好的提示，即使你看不懂文字，也可以做出正确的判断。
2是程序要进行的动作比如连接internet和监听端口。。。
3是程序的详细信息，连接的IP和端口 协议，父程序等。
4是详细的警告信息，通常做为判断的首要标准。还可以查看程序调用的未注册组件
6是你可以操作的地方。Allow允许 Deny禁止 还有个记住操作的复选框。

CFP提示avp.exe尝试作为服务器，并且监听UDP1486端口。原因是：
pcAudit将bkootvid.dll注入avp.exe，通过使用一个全局钩子来记录使用者的键盘输入及偷取使用者的隐私信息。
由于avp.exe还没有访问Internet的动作，为了测试CFP程序行为分析能力，我选择了Allow



pcAudit为了发送隐私信息，开始疯狂的寻找漏洞。

explorer.exe



QQ.exe



DesktopSprite.exe




HprSnap6.exe



终于出现了联网的请求，有IP地址，端口，和协议。下面还有和pcAudit相关的警告。如此详细的提示信息是一般防火墙所没有的，当然选择Deny。

cFosSpeed.exe



CLPTay.exe



notepad.exe



Opera.exe



最后测试通过，没什么说的，令人信服的结果。




通过测试，我们发现CPF的程序行为分析模块是相当强大的，给出的警告和提示也完全符合甚至超出了通过测试所需的要求。通过和KAV6的组合，pcAudit的所有动作全部无所遁形。CPF即使在没有HIPS类软件即系统防护软件的情况下，例如关闭KAV6的ProactiveDefense，也能防住pcAudit，的确使人震惊。

结论： 对付代码注入行为的未知恶意程序，KAV6和CPF2 是一款可以完全信任的组合。


文章到此结束,希望斑竹能给加1分,嘿嘿

leohare

坐沙发
读好文章啊!

enronlove

自己顶一个吧  感觉卸了ZA用这个 确实比以前顺畅了些 内存占用比ZA小大概10M左右吧

准备睡觉了

jimkwok

我也是用这个的，但在用金山词霸的时候不停的弹出窗口，这个比较讨厌了，因为金山词霸要屏幕翻译呀，而且用TM时，打开TM的聊天记录时就会死掉，这是一个BUG了……看了下记录，报警的基本上都局域网的IP地址