DiamondCS ProcessGuard (schützt vor DLL Trojanern)
1.
Ich wurde gelöscht!
2.
Es gibt mich aber noch ... und so schnell wird man mich nicht los
3.
Eigentlich nicht ganz neu, aber wohl noch nicht erwähnt worden ...
Die Mehrzahl aller neuen Trojaner sind DLL Trojaner, d.h. eine Trojaner-DLL wird in ein vertrauenswürdiges Programm (z.B. den Browser) injiziert. Dies hat den Vorteil, dass man den Trojaner nicht im Task Manager sehen kann. Ausserdem lassen sich auf diese Weise Firewalls tunneln, denn diese gewähren ja dem Browser etc. Zugang zum Internet.
Einige moderne Firewalls schützen im begrenzten Umfang vor solchen DLL Injektionen. Die Warnungen sind aber in der Regel nervig und nicht nicht wirklich aussagekräftig.
ProcessGuard ist IMHO besser und macht alle modernen DLL Trojaner mehr oder weniger nutzlos. Dies liegt daran, dass bereits die Injektion der DLL Trojaner verhindert wird. Die Injektion erfolgt über eine undokumentierte Windows-Funktion namens CreateRemoteThread, die legitime Programme in der Regel nicht verwenden. ProcessGuard blockt die Funktion CreateRemoteThread. Ein weiterer Vorteil: Es nutzt dem Angreifer nichts, wenn er seinen DLL Trojaner so modifiziert, dass ihn AV/AT Scanner nicht mehr erkennen können ... denn ProcessGuard verhindert ja bereits die Injektion. Der Trojaner kann somit nicht korrekt gestartet werden.
Ausserdem kann ProcessGuard das Beenden von FWs und AVs durch sog. FW/AV Killer verhindern. Sich selbst schützt ProcessGuard natürlich auch. Die erste Pre-Release Version von ProcessGuard war noch nicht ganz ausgereift und wurde von vielen Security Freaks (zu Recht) schlecht gemacht. Aber das derzeitige Release weisst kaum noch Schwächen auf.
Weitergehende Infos finden sich hier: http://www.diamondcs.com.au/processguard/
Dort lässt sich auch eine funktionsfähige Trialversion downloaden, die aber nur ein einziges Programm schützen kann und durch Nag Screens nervt. ProcessGuard läuft nicht unter Win98.
Eine kostenlose Alternative ist SSM (System Safety Monitor). Die ist aber etwas komplizierter zu bedienen und läuft auf vielen System instabil. ProcessGuard führt dagegen zu vergleichsweise wenig Problemen, wenn man sich die Bug Reports in den entsprechenden Foren anschaut.
Eine weitere (kostenpflichtige) Alternative ist die Tiny Personal Firewall 5.5, die aber für viele deutlich zu kompliziert ist.
Gruss, Jesta
1.
Ich wurde gelöscht!
2.
Es gibt mich aber noch ... und so schnell wird man mich nicht los
3.
Eigentlich nicht ganz neu, aber wohl noch nicht erwähnt worden ...
Die Mehrzahl aller neuen Trojaner sind DLL Trojaner, d.h. eine Trojaner-DLL wird in ein vertrauenswürdiges Programm (z.B. den Browser) injiziert. Dies hat den Vorteil, dass man den Trojaner nicht im Task Manager sehen kann. Ausserdem lassen sich auf diese Weise Firewalls tunneln, denn diese gewähren ja dem Browser etc. Zugang zum Internet.
Einige moderne Firewalls schützen im begrenzten Umfang vor solchen DLL Injektionen. Die Warnungen sind aber in der Regel nervig und nicht nicht wirklich aussagekräftig.
ProcessGuard ist IMHO besser und macht alle modernen DLL Trojaner mehr oder weniger nutzlos. Dies liegt daran, dass bereits die Injektion der DLL Trojaner verhindert wird. Die Injektion erfolgt über eine undokumentierte Windows-Funktion namens CreateRemoteThread, die legitime Programme in der Regel nicht verwenden. ProcessGuard blockt die Funktion CreateRemoteThread. Ein weiterer Vorteil: Es nutzt dem Angreifer nichts, wenn er seinen DLL Trojaner so modifiziert, dass ihn AV/AT Scanner nicht mehr erkennen können ... denn ProcessGuard verhindert ja bereits die Injektion. Der Trojaner kann somit nicht korrekt gestartet werden.
Ausserdem kann ProcessGuard das Beenden von FWs und AVs durch sog. FW/AV Killer verhindern. Sich selbst schützt ProcessGuard natürlich auch. Die erste Pre-Release Version von ProcessGuard war noch nicht ganz ausgereift und wurde von vielen Security Freaks (zu Recht) schlecht gemacht. Aber das derzeitige Release weisst kaum noch Schwächen auf.
Weitergehende Infos finden sich hier: http://www.diamondcs.com.au/processguard/
Dort lässt sich auch eine funktionsfähige Trialversion downloaden, die aber nur ein einziges Programm schützen kann und durch Nag Screens nervt. ProcessGuard läuft nicht unter Win98.
Eine kostenlose Alternative ist SSM (System Safety Monitor). Die ist aber etwas komplizierter zu bedienen und läuft auf vielen System instabil. ProcessGuard führt dagegen zu vergleichsweise wenig Problemen, wenn man sich die Bug Reports in den entsprechenden Foren anschaut.
Eine weitere (kostenpflichtige) Alternative ist die Tiny Personal Firewall 5.5, die aber für viele deutlich zu kompliziert ist.
Gruss, Jesta
