[Rika]

1. Du willst also anmerken, dass DTFs dumme User vor Fehlbedienungen bewahren können? Das können sie ja eben nicht - das ist doch der Knackpunkt. Ich erninnere nur mal an den Melissa-Wurm - den konnte auch eine DTF nicht stoppen, weil einfach das der Firewall vertrauenswürdige Programm (in diesem Falle Outlook) einfach ausgebeutet wurde. Du überschätzt die Fähigkeiten von so einem Stückl Software.

Es gibt keine einfache Lösung gegen Dummheit der User, ud auch DTFs sind nicht mal ansatzweise eine solche Lösung.

2. Und Stealth ist Pain in the Ass, macht nur Ärger ist nicht RFC-konform, sorgt für unnötig lange Wartezeiten und vergeudete Bandbreite. Und vor allem packt die Lösung das Übel nicht an der Wurzel, sondern versucht die Symptone zu kaschieren. Was bei so einer Architektur rauskommt nennt sich Internet Explorer.

3. Bei schlechter Konfiguration nach diesem Schema ist auch eine Firewall nutzlos. Was gecrackt werden kann sind offene Dienste, und die sind offen, weil sie auch in der DTF freigegeben wurden.

4. Es dauert nicht mal Sekunden!

5. Es ist prinzipiell unmöglich, einen Prozess im User-Space gegen's Gekillt-Werden zu schützen. Jeder, der sich heilwegs mit Betriebssystemarchitektur auskennt, weiß das. Frag doch mal bei Microsoft nach, die wissen es nämlich besser - müssen sie auch, sie haben das Betriebssystem programmiert!

6. Es recht kannst du es nicht damit rechtfertigen, dass einer obskuren Technologie ein noch viel obskurerer und vor allem inhaltlich bedeutungsloser Name gegeben wurde.

7. Zum wiederholten Male reißt du das Wort "Hacker" total aus dem Zusammenhang. Hacker haben absolut nicht das Geringste mit gefährlichen Einbrüchen zu tun. Wenn ZA behauptet, dass Hacker sowas tun würden, beweisen sie damit eigene Inkompetenz.

8. Deine Berichte sind ja wohl noch inhaltloser Humbug. Wenn ich ein Schloss testen will, indem ich mit 'ner Büroklammer drin rumstochere, dann sagt das genausowenig aus. Werbemüll zitieren kann ich auch.

@Dimension:
Wenn du erstmal Kernel bist, dann hast du Ring0. Und dann geht die Sau ab. Dann wird einfach alles im User-Mode, was dir nicht gefällt, einfach entfernt.

Daraus lässt sich auch ganz klar ableiten, dass wer Kernelfunktionen für's Prozessmanagement nutzen kann, auch problemlos Prozesse in Ring3 killen kann - egal wie sie sich auch zu wehren versuchen. Kernel ist Meister, Admin ist Gott befehlend den Meister.

BTW, GDT und LDT sind ab dem Pentium1 etwas umfangreicher was die Descriptoren angeht. Und man kann sie auch füllen und dann in den Realmode zurückschalten - Base und Limit bleiben für den ersten Descriptor erhalten ud werden auch umgesetzt (mit Base 0 Limit 4GB ist das der brühmt-berüchtigte Big Real Mode).

Dieser Beitrag wurde von Rika bearbeitet: 06. Februar 2004 - 23:40

[Dimension]

Zitat (Rika: 06.02.2004, 23:33)

@Dimension:
Wenn du erstmal Kernel bist, dann hast du Ring0. Und dann geht die Sau ab. Dann wird einfach alles im User-Mode, was dir nicht gefällt, einfach entfernt.

Das schon, aber die GDT (zumindest in Systemen die nicht mit Segmenting arbeiten) hat damit nix zu tun, das System wird durch Interrupts gesteuert ... ich würde mal folgendes vorschlagen:

CLI
LIDT $0
JMP WhateverYouWant

@simcard: Wie Rika schon erwähnt hat, ein Hacker installiert keine Schädlinge

Dieser Beitrag wurde von Dimension bearbeitet: 06. Februar 2004 - 23:47

[Rika]

1. Schon mal an die Leute gedacht, die vorher deine dyn-IP hatten und einen Server betrieben haben? Jetzt kommen Leute und wollen auf diesen Server zugreifen... der DNS-Eintrag zeigt aber noch auf deinen Rechner.

Jetzt hockt der arme andere User zwei Minuten lang bis zu einem Timeout... statt kurz und bündig eine Ablehnung zu bekommen.

Von den ewig vielen Forenbeiträgen zu Konfigurationsproblemen mit ZA aufgrunde der Stealth Ports mal ganz abgesehen...

2. Auch nicht mit 'ner DTF zu retten. Ha!

3. Ja, und wer es freigibt und in der DTF freigibt ist eine genauso großes Opfer wie einer der es ohne DTF freigibt. Eine DTF schützt vor grundlegenden Bedienfehlern nicht.

4. Noch mal falsche Verwendung: Hacker

5. Der Kernel darf alles, er läuft auf Ring0. ZA läuft auch Ring3. Da zwingt der Prozessor höchstpersönlich! Lerne Prozessorarchitektur! Was ZoneLabs da behauptet, entspricht nicht den Tatsachen - egal wie oft sie es behaupten. Egal wie viele ihnen nachplappern.

6. siehe 5.

7. Er könnte sehr wohl.

8. Noch a bissl mehr...

CLI
XOR EAX,EAX
PUSH EAX
POPFE (zum Löschen des VI-Flags)
LIDT $0
OUT 70h,00h
IN 71h,AH
AND AH,10000000b
OUT 70h,00h
OUT 71h,AH (löscht NMIs)
JMP Whateveryouwant

Aber wenn man ohnehin Admin-Rechte hat und jede Funktion invoken kann...

Dieser Beitrag wurde von Rika bearbeitet: 06. Februar 2004 - 23:56

[Rika]

1. Du hast die Diskussion gemäß den Laws schon längst verloren und beendet, wolltest aber trotzdem weiterdiskutieren.

2. Wenn du micht gehackt hast, dann kaufe ich ZA. Wenn nicht, dann beweist das, dass es nicht nötig ist.

Die Grundannahme ist übrigens, dass es NICHT nötig ist und dass es erst BEWIESEN werden muss, DASS ES BENÖTIGT WIRD.

3. Du bringst keine Argumente in die Diskussion, schlußfolgerst nicht logisch und kommst ständig mit fetter Schrift. Werfe mir nicht vor, dass ich die Diskussion ruinieren würde!

4. Wenn ZA gekillt wird, dann
4.1. bleibt das Icon so lange bestehen, bsi du mal mit dem Mauscursor drüberfährst.
4.2. kann die Malware dir jederzeit das Icon wieder dahinsetzen, wo du es vermutest.
4.3. hat die Malware längst deinen Rechner vereinnahmt und dann nützt dir auch ein Neustart nix mehr.

5. Zum allerletzten Mal: Das es mit ZA geht beweist nicht im Geringsten, dass es benötigt wird. Dass es ohne geht beweist, dass es nicht benötigt wird.

Dieser Beitrag wurde von Rika bearbeitet: 07. Februar 2004 - 00:15

[Stulle]

Zitat (simcard: 06.02.2004, 22:50)

Wieso Werbeversprechen? Das ist hundertfach bewießen!
Ich fange jetzt nicht wieder an, alles aufzuzählen, dass mache ich dann wenn du meinen PC gehackt hast                 

Das heißt, Du forderst Rika auf, Straftaten zu begehen!!! und machst Dich damit selbst strafbar.

Rika ist etwas schlauer als Du, also laß die Diskussion, die eh zu nix führt.

[Stulle]

Zitat (simcard: 07.02.2004, 10:56)

Zitat

Das heißt, Du forderst Rika auf, Straftaten zu begehen!!! und machst Dich damit selbst strafbar.
Rika ist etwas schlauer als Du, also laß die Diskussion, die eh zu nix führt.

Schleim weiter
Ich fordere den "schlauen" Rika zu garnix auf!
Im Gegensatz zu ihm, bin ich belehrbar und bleibe nicht Stur auf meiner Anti-Firewall Haltung!

simcard

Du bist ermüdend.

GÄÄÄÄÄÄÄÄÄÄÄÄHHHHHHHHHHHNNNNNNNN.

[Stulle]

Zitat (simcard: 07.02.2004, 12:47)

Zitat

simcard

Du bist ermüdend     

GÄÄÄÄÄÄÄÄÄÄÄÄHHHHHHHHHHHNNNNNNNN.    

DANN LESE ES DIR NICHT DURCH!!!!
Ich möchte nicht wissen, was du für ne Firewall hast!
wohl garkeine!

Noch habe ich Norton Internet Security 2004 drauf, werde diese aber deinstallieren, wenn ich die unnötigen Dienste abgeschaltet habe bzw unnötige Programme deinstalliert habe.

[Rika]

1. Er hat recht. Du hast mich zum Begehen einer Straftat aufgefordert, egal ob beabsichtigt oder nicht. Rede dich nicht raus!

2. Wie ich bereits sagte: Du willst gar nicht mit Argumenten diskutieren, sondern nur Zeug nachplappern.

3. Ich habe jetzt einige Methoden zusammengestellt, die ZA ebenfalls zuverlässig killen:
3.1. Priority Realtime beschaffen :-)
3.2. Systemtreiber installieren und ZA beim Start von Windows entfernen :-)))
3.3. komplette Prozessstruktur beenden :-)
3.4. Reboot mit Deaktivieren von RPC, Restart-Time auf 0 setzen und anschließendenem RPC-Prozesskill :-)
3.5. Invoken sämtlicher Prozessmanagementfunktionen von NTDLL :_)
3.6. eingener TCP/IP mit Inbound-Kommunikation

4. Wenn dich erst das Auschalten rettet, sind a) deine Daten erstmal hinne und B) bist du damit kein bissl besser dran als mit DTF.

5. Sie ist weder totsicher noch unkillbar. Wieviel Code, wieviele Specs willst du denn noch? Wennn du nicht mal bereit bist nachzulesen, wie x86-Prozessoren und Betriebssysteme funktionieren, wie willst du denn da kapieren, dass absolut nix unkillbar ist? Erst recht unter Windows... Das ist ein Faktum. Du ignorierst das?

6. Was verstehst du an "ICH HABE CODE GESCHRIEBEN, DER ERFOLGREICH DIE AKTUELLE VERSION VON ZONEALARM MIT MEHREREN DIESER METHODEN GEKILLT HAT." nicht verstanden?

7. Die Codes gehen und funzen einwandfrei. Soll ich dir noch mehr Code für andere Methoden geben? Der ASM-Code funzt sogar perfekt. Nurt weil du dich zu dumm anstellst...

8. Es versagt de fakto und du ignorierst das fleissig.

9. Fette Schrift ist das typische Argument von Argumentlosen.

10. Deine Bemerkungen sind frei von logischer Schlussfolgerungen, entsprechen nicht den Tatsachen und tragen nicht im Geringstens zur Diskussion bei. Was du veranstaltet ist ein Flamewar, der deine Inkompetenz beweist und dich eindeutig zu einem DAU degradiert.

11. Du fordest Leute auf, es dir gleich zu tun, ohne zu begründen, warum sie es tun sollten. Ebenso kannst du sie auffordern, von einer Klippe zu springen.

Du fordest sie ferner dazu auf, Probleme nicht zu lösen, sondern nur die Symptonme des Problems zu kaschieren. Sowas bezeichnet man als Scheinsicherheit!

Bevor du nun also irgendetwas anderes postet, schnappe dir ein ASM-Tutorial und finde raus, wo der Unterschied zwischen Ring0 und Ring3 ist. Dann weisst du, warum sich kein User-Prozess, auch nicht ZoneAlarm, gegen einen Descriptor-Kill von seiten eines Kernel-Treibers wehren kann. Kernel Gott, User nix.

12 und letztens: Du schließt diesen Thread immer wieder und postest dann selbst noch was. Wenn du nicht bereit bist zu diskutieren, dann ist diese Diskussion beendet. Wenn du dich wie ein typisches Kiddy benehmen möchtest undauch so textest, dann tue das bitte woanders.

Damit ist diese Diskussion beendet!

Dieser Beitrag wurde von Rika bearbeitet: 07. Februar 2004 - 14:41