Nouveau Driver Beta gérant des vulnérabilités/LeakTests supplémentaires.

Discussion in 'LnS French Forum' started by Frederic, Nov 12, 2004.

Thread Status:
Not open for further replies.
  1. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour à tous,

    Voici un premier driver beta qui permet de détecter les vulnérabilités démontrées par les leaktest PCAudit2, DNSTester et Copycat.
    Notez-bien que ce driver est très expérimental, aucune garantie (bien qu'ayant été testé avec succès sur plusieurs machines), pas sûr que la solution adoptée soit définitive et possible sur des mises à jour futures de Windows.
    A ce stade ce driver est prévu pour Windows 2000-SP4 et Windows XP-SP2, les nouvelles détections ne sont (a priori) pas opérationnelles sur tout autre version de Windows (mais le driver ne doit pas planter si par hasard il était quand même utilisé sur ces systèmes).

    C'est une version beta qui peut amener des plantages, donc si votre système est sensible mieux vaut ne pas l'essayer de suite (même si normalement en cas de problème en revenant au lnsfw1.sys officiel tout doit rentrer dans l'ordre).
    Il est aussi possible que le PC soit ralenti à cause de ce nouveau driver, lors du surf ou autre. Rien de sûr pour l'instant, c'est justement l'objet de ces tests béta que de voir les impacts éventuels.

    Le nouveau driver est disponible en téléchargement ici:
    http://looknstop.soft4ever.com/Beta/lnsfw1/LNSFW1-d1.zip

    Pour l'installer:
    1- renommez c:\winnt\system32\drivers\lnsfw1.sys en lnsfw1.old
    2- dézippez le nouveau driver dans c:\winnt\system32\drivers
    3- Pour activer ces détections, il est nécessaire de mettre quelques entrées dans la base des registres,
    dans [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lnsfw1]:
    "CheckDNSQ"=dword:00000001 => pour la détection de type Dnstester
    "CheckHSRE"=dword:00000001 => pour la détection de type PCAudit2
    "CheckVAEUDTF"=dword:00000001 => pour la détection de type Copycat
    Il faut aussi que dans Look 'n' Stop la fonction "Détecter l'injection de Thread" dans les options avancées soit déjà activée pour que ces 3 entrées soient prises en compte. En revanche la fonction "Contrôler les appels DNS" peut être désactivée (le flag CheckDNSQ est supposé remplacer cette fonction).
    4- rebootez

    Enfin, pour améliorer la détection (et le blocage) de PCAudit2, il peut être nécessaire d'activer aussi la clef suivante (cette clef existe déjà dans les versions courantes, en tant que fonction cachée):
    "ActivatedSoon"=dword:00000001

    En cas de gros soucis avec le nouveau driver, revenir à la sauvegarde lnsfw1.old (à renommer en .sys).
    En cas de petit soucis vous pouvez essayer de désactiver l'une ou toutes les détections en mettant la valeur à 0 (au lieu de 1).
    Pour nous remonter les anomalies:
    - en cas de plantage => nous fournir les logs DrWatson ou les minidumps (si écran bleu)
    - en cas de non détection => nous founir le contenu de la console Look 'n' Stop après avoir appuyé sur le bouton "Driver Logs".

    Merci d'avance à ceux qui prendront le temps de regarder ce que ça donne.

    Cordialement,

    Frédéric
     
  2. Doud

    Doud Guest

    Allez zou, c'est en place. Il n'y a pas de raison pour que ce soit toujours les mêmes qui testent.

    Pour ceux que la modif de la base de registre rebute, il suffit de créer deux fichiers avec l'extension .reg et d'y ajoute les lignes suivantes :

    Le premier crée les clés :

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lnsfw1]
    "ActivatedSoon"=dword:00000001
    "CheckDNSQ"=dword:00000001
    "CheckHSRE"=dword:00000001
    "CheckVAEUDTF"=dword:00000001


    Le second remet tout dans l'ordre :

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lnsfw1]
    "ActivatedSoon"=dword:00000000
    "CheckDNSQ"=-
    "CheckHSRE"=-
    "CheckVAEUDTF"=-


    Une petite remarque concernant la clé ActivedSoon, véerifier la valeur avant de faire la modif. Dans mon cas, elle était à zéro, je la repositionne donc à zéro en cas de marche arrière.

    Et maintenant la question a deux balles : existe-t-il des sites pour tester cette nouvelles protections autres que http://www.firewallleaktester.com ?
     
  3. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Merci Doud pour ces infos.

    Juste une précision: pour ces flags, une valeur à 0 a le même effet qu'une clef absente (ce qui permet de changer le comportement sans avoir à recréer la clef à chaque fois).

    En ce qui concerne les sites, comme il s'agit de Leaktests, et non de scan online, il n'y a pas vraiment de site pour tester ces détections. Il n'y a pas d'autre moyen que de lancer les leaktests considérés sur le PC directement.

    Frédéric
     
  4. Doud

    Doud Guest

    Bonjour à tous.

    Depuis la mise en place de ce nouveau driver, voici ce que j'ai pu constaté :

    - un léger ralentissement au surf, mais au bout de quelques jours on n'y prête plus attention.

    - de temps en temps, j'ai un blocage complet du micro . Le clavier et la souris restent actifs, mais on ne voit pas ce qui se passe à l'écran. Ce gel du micro dure de 10 à 20 secondes puis toutes les actions clavier et souris se jouent. La machine refonctionne normalement jusqu'au blocage suivant (environ 30mn). Ayant fait pas mal de modif sur le micro ces derniers temps et afin de m'assurer que cela vient du driver, je repositionne dans un 1er temps les clés de la BDR à zéro et si le phénomène persiste je reviens à la version précédente du driver. Je vous tiendrais au courant du résultat .... un peu plus vite j'espère.

    - Les trois tests que j'au pu effectuer sur le site http://www.firewallleaktester.com ne sont effectivement pas très parlant.

    Le test PCAudit me dit que j'ai échoué au test et me renvoi à une adresse internet inconnu ( http://%3Chtml%3E%3Cbody%3E%3Cb%3Esorry.%20this%20is%20an%20internal%20error.%3C/b></body></html> ).
    Le test DNStester, si j'autorise par le filtrage logiciel sa sortie, me signale qu'il a réussi à envoyer des requêtes par le service DNS vers le site de Microsoft.
    Le test Copycat est le seul que je n'ai pas pu faire car Kaspersky le considère comme un virus.

    Quelques infos sur ma config : P4 2Ghz - 768Mo Ram - 2x80Go DD - XP Pro SP2 - Kaspersky 5.0.156 - LNS 2.05p2 démarrer per le service LnsSvc - Modem Routeur DG834G - ADSL Tele2 518/128
     
  5. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Merci d'avoir réalisé ces tests.

    Je serais intéressé de savoir si le problème du gel du micro est vraiment du à ce nouveau driver (ça parait un peu suprenant mais bon, on ne sait jamais).

    Pour PCAUdit, avez-vous bien activé le filtrage des DLLs dans les options avancées ? et avez-vous bien ajouté le flag ActivatedSoon ?

    Enfin, pour DNSTester, je n'ai pas compris (c'est normal qu'en l'autorisant il passe...).

    Merci,

    Frédéric
     
  6. cxhx

    cxhx Registered Member

    Joined:
    Apr 19, 2004
    Posts:
    11
    Bonjour,
    Doud j'ai constaté la même chose sur mon pc. J'ai pensé que c'était dû a un programme wwdc et safe xp.J'ai fait un sujet sur la question.
    https://www.wilderssecurity.com/showthread.php?t=40894
    Je crois qu'il y a des services qui ne sont pas compatibles avec lns et que le fait de pousser les protections un peu loin cela commence à bloquer.
    Pour retrouver toutes les fonctionnalités il a fallut que je reformate à l'occasion de la sp2. Car malgré les désinstallations j'ai pas récupéré toute les fonctionnalités, même en surveillant le journal de windows impossible de trouver d'ou provient le problème.
     
  7. JL59

    JL59 Guest

    Re: Driver Beta gérant des vulnérabilités/LeakTests supplémentaires.

    Bonsoir Frédéric,
    Je teste le driver beta depuis le 19/11/2004 avec succès. C-à-d sans écran bleu ni gel du micro comme constaté par d'autres utilisateurs.
    Ma config: Portable Toshiba P4 1.7GhZ, Win XP Pro SP2, Look'n'Stop 2.05p2.
    J'ai également effectué les divers tests sur le site www.firewallleaktester.com et plus particulièrement: PCAudit1 & 2 & DNSTester. Utilisateur de Kaspersky AV 5, je n'ai pu testé Copycat, celui-ci étant considéré comme un virus par KAV.
    Les autres se sont bien déroulés (j'ai refusé la DLL de PCAudit & les connexions), et ma configuration de LnS n' pas été prise en défaut.
    j'espère que mon retour en tant qu'utilisateur vous sera utile.
    Cordialement.
    Jean-Luc
     
  8. Doud

    Doud Guest

    Bonjour à tous.

    Suite de mes tests....

    Malgré la désactivation des options du nouveau driver, j'ai tjs mes blocages du micro. Néanmoins ceux-ci sont moins fréquent (environ 1 par jour) et moins long (moins de 5 s). Je rejoins l'analyse de cxhx : le fait d'être plus restrictif avec LNS serait le révélateur d'un autre pb antérieur à ce nouveau driver.
    Mais étant têtu par nature, je repositionne les valeurs à 1 et advienne que pourra ....
    Pour info, j'ai été dans l'obligation d'installer ce week-end les correctifs .NET Framework 1.1. Avec un peu de chance cela peut régler le pb.


    Concernant les tests, j'ai tout recommencé :

    PCAUDIT 1 & 2 : le filtrage des DLL devait être désactivé dans les options avancées lors de mon premier test. Pour les suivant et après vérification du paramètre, j'ai dans un premier temps refusé la DLL proposée (jamais la même) et ensuite refusé les connections.

    DNSTESTER : lors du lancement du prog, un premier message me demande si je veux continuer : je répond OUI
    Un second message en provenance de LNS (filtrage logiciel) me demande si j'autorise le prog à se connecter.
    - Si j’autorise DNSTester à aller sur le Net, j’ai effectivement en retour un joli message qui me dit que j’ai échoué au test.
    - Si j’interdit, le filtrage logiciel fait son boulot et je reçoit un message Error in DNS Query.
    Une dernière précision et de taille : afin de savoir qui à poser la question de l’autorisation de sortie (fonctionnalité du nouveau driver ou le filtrage logiciel), j’ai refait le test en positionnant les clés de la BDR à 0 et le résultat est le même : j’ai tjs ce message de LNS me demandant si j’autorise le prog à se connecter sur le NET. J’en déduis que c’est le filtrage logiciel qui fait le boulot.

    COPYCAT est tjs refuser pas KAV

    Lors de mon dernier post j’ai oublié certain élément concernant ma config. Je les rajoute donc

    Quelques infos sur ma config : P4 2Ghz - 768Mo Ram - 2x80Go DD - XP Pro SP2 - Kaspersky 5.0.156 - LNS 2.05p2 démarrer per le service LnsSvc - Modem Routeur DG834G - ADSL Tele2 518/128 – Navigateur Maxthon 1.1.067 Unicode – Naviscope 8.70Fr – Spyboot S&D 1.3 avec SDHelper et TeaTimer activés
     
  9. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Merci à tous pour vos essais :cool:
     
  10. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Je n'ai pas bien compris cette remarque, le nouveau driver étant bien celui du filtrage logiciel...
    A noter que de nouvelles clés dans la BDR ne prennent effet qu'au prochain reboot et pas en direct.

    Frédéric
     
  11. Doud

    Doud Guest

    Bjr,

    Pour faire simple : que les clés de la BDR soit à zéro ou à 1 et avec un reboot entre chaque changement, LNS réagit tjs de la même manière cad qu'une fenêtre de LNS filtrage logiciel s'ouvre me demandant si j'autorise DNSTester à se connecter. J'ai poussé le vice jusqu'à réinstaller l'ancien driver et c'est tjrs le même comportement
    D'ou ma conclusion, peut-être un peu attive : c'est le filtrage logiciel qui fait le boulot.

    Doud
     
  12. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Ok.

    Disons que, dans votre cas, le Filtrage Logiciel faisait déjà le boulot avec l'ancien driver.

    Cela peut être du au fait d'activer ou non le service DNS de Windows.
    C'est possible que la vulnérabilité démontrée par DNSTester n'est présente que si ce service est activé (car dans ce cas tous les accès DNS sont centralisés via svchost/services, qui sont obligatoirement des applications à autoriser). Quand ce service n'est pas actif, c'est chaque appli qui fait sa requête DNS et donc elle est correctement vue de base sans le nouveau driver.

    Frédéric
     
  13. Doud

    Doud Guest

    Effectivement, j'ai désactivé le service "Client DNS"

    Doud
     
  14. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    Je confirme, c'est exactement cela.

    L'idée est que si ce service n'est pas actif, un trojan pourrait simplement l'activer avant de faire la requête.
    Une fois le service activé, la requête est censée passer par celui ci et echapper au firewall.

    gkweb.
     
Thread Status:
Not open for further replies.