Watch thread injection = poudre aux yeux ?

Hello,

j'ai testé le worm Padabot ou Korgo sur mon PC et il peut se connecter tranquillement à un serveur Irc si explorer.exe est autorisé à communiquer (on pourrait bien entendu imaginer d'autre processus autorisé).

Aucune alerte n'est généré quand la fonction Watch thread injection est activé donc est ce que cette fonction est vraiment opérationel ou alors juste une histoire de marketing peut être ?

 

Slt,

essai le leaktest Thermite et tu verra que ca marche très bien.

Il y a plusieurs formes d'injection de code, et cette fonctionalité de Look'n'Stop ne s'appele pas "bloquer toutes les injections de code".

Si tu injecte un thread qui va se connecter directement à internet, ca marchera.

Malheureusement il y a d'autre forme d'injection que je ne détaillerai pas, et que ton vers doit utiliser.

Si tu as vraiement un problème avec les injections de code en tout genre, ce n'est pas un firewall qu'il te faut mais un logiciel de control applicatif tel que Process Guard.

gkweb.

 

ou pourquoi pas le fameux Tiny personal firewall 5.5 qui semble bloquer tous les leaktest

 

Une sandboxe bloquera en effet n'importe quel leaktest, par des techniques autre que le 'firewalling'.
Tiny est une suite de sécurité qui comporte en effet un firewall, mais ce n'est pas le firewall qui "passe" les leaktests mais bel et bien des techniques de sandboxe.

Il en serait de même avec System Safety Monitor ou Abstrusion Protector qui ne comportent aucun firewall.

A toi de voir si tu veux etre alerté de toute activité suspicieuse (=sandboxe) ou uniquement des connexions réseau illicites (firewall personels).

En tout cas j'ai répondu à ta question, à savoir que cette fonctionalité de Look'n'Stop fonctionne.

gkweb.