Was ist ein LSP und warum sollte ich das wissen?

[Funkenzupfer]

Layered Service Providers (LSP) sind kleine Programme, die von Drittanbietersoftware dem Windows TCP/IP Protokoll hinzugefügt bzw. in dieses eingebaut werden können. Bösartiger Software ist es möglich, mit LSP's Daten, die über das TCP/IP Protokoll übertragen werden, zu beliebigen Zieladressen (z.B. im Internet) umzuleiten, ohne daß der Anwender hiervon etwas mitbekommt.

Deshalb ist es sinnvoll zu wissen, welche LSP's sich auf dem Rechner befinden. Um das nachzusehen, bietet Windows keine hauseigene Möglichkeit außer dem Blick in die Registrierung. Dort verstecken sie sich aber in unhandlichen HEX-Strings (PackedCatalogItems in WinSock2), sodaß es ziemlich zeitraubend ist, sich einen vollständigen Überblick zu verschaffen.

Mit LSP-View, erhältlich bei Zonelabs unter http://download.zonelabs.com/bin/free/beta/downloads/ , kann man sich die aktuell auf dem Rechner vorhandenen LSP's einfach in der Dos-Box auflisten lassen.

Programm in das angegebene Verzeichnis (C:\ lspview ) auspacken, Dos-Box öffnen und eintippen: lspview -p.

Man kann die Ergebnisse natürlich auch in eine Textdatei umleiten:
lspview -p >> dateiname.txt


Grüße
Funkenzupfer.

[Stedd]

moin moin Funkenzupfer,
o.k. wäre schön, wenn du noch die "ungefährlichen" mal postest.

Denn ich denk mal 90% von uns können hier nicht sicher
zwischen gut und böse unterscheiden.
(und das Bösewichter sich nach Windows klingende Namen zulegen, ist ja auch nix neues mehr)

Ich hab ja hier einen Vergleich mit einer frischen virtuellen Maschine,
aber das hat nicht jeder...

Stedd

[Funkenzupfer]

Ungefährlich!?

wrklich ungefährlich sind da keine, das muß man sich im Einzelfall ansehen. Zumindest erhält man einen Überblick, was da überhaupt läuft. Danach kann man dann die vorhandenen LSP's einzeln unter die Lupe nehmen.
Wie Du schon selbst schreibst, nur weil sich ein LSP z.B. mit dem Namen McAfee meldet, muß das noch keine Komponente eines Virenscanners sein.

Schon mehr als verdächtig wäre so ein Eintrag auch von McAfee (um beim Beispiel zu bleiben) mit Sicherheit jedenfalls dann, wenn man gar keine Software von denen installiert hätte... DAS genau kann aber jeder hier checken...

hab ja hier einen Vergleich mit einer frischen virtuellen Maschine

Dann mal frisch drauflosgepostet: Was läuft denn auf so einem "nackten" Windows an LSP's?

Grüße
Funkenzupfer.

[Stedd]

Dann mal frisch drauflosgepostet: Was läuft denn auf so einem "nackten" Windows an LSP's?

na klar...hätte ich gleich machen können... ops:

Also so sieht es bei einem taufrischen Win XP home aus:

Winsock 32-bit Catalog:
=======================
1001 - MSAFD Tcpip [TCP/IP]
1002 - MSAFD Tcpip [UDP/IP]
1003 - MSAFD Tcpip [RAW/IP]
1004 - RSVP UDP Service Provider
1005 - RSVP TCP Service Provider
1006 - MSAFD NetBIOS [\Device\NetBT_Tcpip_{B9638E80-66DA-41D1-8F33-707DC6F5C29C}] SEQPACKET 0
1007 - MSAFD NetBIOS [\Device\NetBT_Tcpip_{B9638E80-66DA-41D1-8F33-707DC6F5C29C}] DATAGRAM 0
1008 - MSAFD NetBIOS [\Device\NetBT_Tcpip_{B736B885-9FDD-47A3-BCAF-BDC103E84FDE}] SEQPACKET 1
1009 - MSAFD NetBIOS [\Device\NetBT_Tcpip_{B736B885-9FDD-47A3-BCAF-BDC103E84FDE}] DATAGRAM 1
1010 - MSAFD NetBIOS [\Device\NetBT_Tcpip_{0F4A0A91-E613-42FD-AB21-868FD1559A68}] SEQPACKET 2
1011 - MSAFD NetBIOS [\Device\NetBT_Tcpip_{0F4A0A91-E613-42FD-AB21-868FD1559A68}] DATAGRAM 2

Stedd

[Funkenzupfer]

Danke Stedd!

Weitere Recherchen veranlassen mich dazu, meine ursprüngliche Aussage

bietet Windows keine hauseigene Möglichkeit außer dem Blick in die Registrierung

zu revidieren. XP bietet diese Informationen auch ohne das genannte Zusatztool an. Man bekommt sie zu sehen wenn man unter

Start-->Ausführen "msinfo32" eintippt und dort den Zweig Komponenten-->Netzwerk-->Protokoll auswählt.

Da werden die ganzen LSP's mit allen Details gelistet. Auch Win2000 kennt diese Methode bereits.



Und als weitere hauseigene Alternative bietet Windows den Befehl

netdiag /test:winsock

an. Diese Möglichkeit gibt es aber erst, nachdem man die Support-Tools aus dem Verzeichnis "\support\tools" von der XP-CD installiert hat.


Grüße
Funkenzupfer.