Сегодня последний день. Кому надо - не тяните Раздачу уже закрыли.

| Сообщение посчитали полезным: t0ShA

Gideon Vi
>> как с возможностью настроить активность для конкретного процесса с конкретным ip и/или портом?
Да без проблем:


приложение(я)


порты и не только


направление(вход-исход), протоколы, урлы


в последних версиях добавили опцию Guard


до кучи есть встроенный шейпер, запись трафика в файл, ну и логирование, конечно
в установленном виде занимает 4 мегабайта на диске и 15 в памяти

одно плохо - нормально его, вроде, сломали лишь в версии для XP (нужно патчить драйвер), остальные довольствуются сбросом триала

| Сообщение посчитали полезным:

А хорошо. Буду тестировать, спасибо.

| Сообщение посчитали полезным:

gazlan пишет:
Agnitum Outpost - "История любви"

черт, почти как у меня, часть программ также не запускалось.. ладно без БСОДОВ

| Сообщение посчитали полезным:

После той не приятности , описанной выше, чаще задумываюсь об сетевом контрацептиве в виде виртуалки.
Лучше пока не придумали.

| Сообщение посчитали полезным:

Carpe DiEm пишет:
об сетевом контрацептиве в виде виртуалки.
а если на виртуалке нужен интернет?

У меня стоит виртуалка и комодо (например) по умолчанию не трогает трафик с виртуалки.. в итоге все равно лучше фаервола пока нет вариантов..

| Сообщение посчитали полезным:

Dart Raiden пишет:
одно плохо - нормально его, вроде, сломали лишь в версии для XP (нужно патчить драйвер), остальные довольствуются сбросом триала
В триальном режиме он полностью функционален.
Так что достаточно в Task Scheduler поставить .bat, который сбрасывает триал. Сам этим пользуюсь на W7x64.
Так что тоже рекомендую NetPeeker.
Тем более что там отличный http-логгер.

| Сообщение посчитали полезным:

reversecode пишет:
я так и не понял по каким критериям итд проводились тестирования фаерволов в тех таблицах ?
На вышеуказанном мною сайте можно сформировать отчёты-тесты и увидеть по каким критериям оценивались.

Gideon Vi пишет:
outpos+sandboxie+microsoft security essentials либо outpos+sandboxie+bitdefender
Так на компе кроме всего этого еще и работать нужно

p.s. может пора сносить в оффтоп ?

-----
ds

| Сообщение посчитали полезным:

Gideon Vi пишет:
предлагаешь затыкать пальцем?
разници в фаерволах почти нет, выбирай по удобности

DimitarSerg пишет:
На вышеуказанном мною сайте можно сформировать отчёты-тесты и увидеть по каким критериям оценивались.
смотрел, потому и смеюсь

| Сообщение посчитали полезным:

DimitarSerg пишет:
Так на компе кроме всего этого еще и работать нужно

Не поверишь, работаю Прожорливость современных качественных антивирей сильно преувеличена.
Правда, можно и без антивируса, т.к. sandboxie решает.

| Сообщение посчитали полезным:

Не совсем улавливаю, чего так все ухватились за этот Sandboxie, когда он пробивается инжектом полугодовой давности. И позволяет полностью выходить из песочницы, в том числе и на последней версии. И с настройками безопасности не дефолтными, а подкрученными вверх.

| Сообщение посчитали полезным: NikolayD, fire4x

Кому надо тот любой фаэрвол обойдёт,держать антивирь под рукой вполне хватит, а для зашиты ценных данных используйте комп у которого нет выхода в инет плюс шифрование диска.

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: Jaa

Archer пишет:
Не совсем улавливаю, чего так все ухватились за этот Sandboxie, когда он пробивается инжектом полугодовой давности.

вероятно, потому, что в дикой природе этот инжект не встречается? Ибо, ещё не разу ни получилось нарваться. Можно пример?

| Сообщение посчитали полезным:

В дикой природе он ходит уже года 3. Это по паблику только пол года.
И почему считаешь, что не получилось нарваться? Может, очень даже получилось, только ты об этом не знаешь.
Как вариант-погуглить по ShellTray_Wnd. Хотя это и не единственный способ обхода Sandboxie, ибо коряв он.

| Сообщение посчитали полезным:

:-D он что ли?

| Сообщение посчитали полезным:

Archer

Что-то сомнения есть насчет пробива Gapzом сандбокси. Последняя четвертая версия запускает все процессы песочницы вообще от пользователя Nt Autorithy\Anonymous logon. Ведь сначала надо запихать в проводник шеллкод. А для этого открыть одну из шаред секций на запись, например ShimSharedMemory. Мне лень проверять, кому надо возьмите напишите ликтест https://raw.github.com/0vercl0k/stuffz/master/gapz_code_injection.cpp

И да сандбокси баганутая. Последний зиродей был не так давно и заключался в том что приложение в песочнице получало возможность записать word 0 в произвольную область памяти ядра, что использовалось для отключения проверки цифровой подписи драйверов в х64 системах, либо просто dos.

| Сообщение посчитали полезным:

Archer пишет:
И почему считаешь, что не получилось нарваться? Может, очень даже получилось, только ты об этом не знаешь.

ок, суслик есть, но его нет - матрица. Есть в паблике пример, запускающий блокнот?
Вообще, почитаешь про всякое и реально страшно жить Хорошо, что я ни кому не нужен.

| Сообщение посчитали полезным:

>> использовалось для отключения проверки цифровой подписи драйверов в х64 системах

У пользователей x64 и варезной Sandboxie эта проверка, кстати, отключена изначально, ибо патченый драйвер

| Сообщение посчитали полезным:

Кстати, все эти руткиты, в основном, заражают MBR. То бишь, использование современных материнок с UEFI + загрузочный раздел с GPT + Windows 7 x64 (только 64-разрядная версия умеет грузиться с GPT) = какая-никакая, а все же защита.

| Сообщение посчитали полезным:

Dart Raiden пишет:
У пользователей x64 и варезной Sandboxie эта проверка, кстати, отключена изначально, ибо патченый драйвер

не отключена, а переведена в тестовый режим - драйвер должен быть само-подписан.

зы. Таки я о своем: есть у кого тест, пробивающий песочницу? А то ходит три/пол года, а теста скомпилированного нет - не порядок. Напоминает историю с вирусами под линь.

| Сообщение посчитали полезным:

Gideon Vi пишет:
Таки я о своем: есть у кого тест, пробивающий песочницу? А то ходит три/пол года, а теста скомпилированного нет - не порядок

Скомпилируй сам. Линк на исходник инжекта выше.
Весь этот arbitrary code execution с Shell_TrayWnd бесполезен если предварительно нельзя разместить код в проводнике.

Не понимаю, что сложного написать (а тут код вообще есть - скомпилируй) на коленке программу, которая будет будучи сандбокснутой делать следующее:

1. NtOpenSection ( \BaseNamedObjects\ShimSharedMemory, GENERIC_WRITE ) : успех? уже ахтунг
2. baseaddr = NtMapViewOfSection : успех? sandboxie слита
3. memcpy (baseaddr+view_size, shell marker + shell code)
4. NtUnmapViewOfSection
5. h = FindWindow ( Shell_TrayWnd )
6. old = GetWindowLongPtr(h, 0)
7. SetWindowLong(h, addressofshellcode)
8. SendNotifyMessage
9. SetWindowLong(h, old)

В принципе для теста сандбокси достаточно первых двух пунктов.

Если секцию нельзя открыть (1) и/или нельзя получить на нее проекцию (2) максимум что ты получишь от использования трюка с Shell_TrayWnd это исключение и падение проводника.

Лень пилить или нет скилов - ищите файл https://www.virustotal.com/en/file/82a19f2e4c9a1b4295a51df9d23af84aae848a7984c141a0c7f67b3bbb77b271/analysis/ как раз этот самый gapz с этим сплоитом.

Gideon Vi пишет:
Напоминает историю с вирусами под линь.

И что с ними не так? Трояны под пингвин появляются чуть ли не регулярно и в новостях тоже, sshd rookit последний например. Кому это действительно надо все имеют и реверсят.

| Сообщение посчитали полезным:

Проблема с принятием ключа Аутпостом.



Причем сбщ вылетает в одно мгновение после подтверждения ключа, а не как должно после проверки.

| Сообщение посчитали полезным:

Ключ не для Outpost Firewall Pro, а для Outpost Security Suite Pro

| Сообщение посчитали полезным:

TryAga1n, благодарю не доглядел.

SReg пишет:
Carpe DiEm пишет:
Где вы раньше были , уже не выдают
можете мой юзать
Here is your registration key, please copy-paste to the Outpost registration window:

проверил несколько ключиков - рабочие, стало интересно какова судьба этого, выложенного в паблик.
А этот рабочий оказался, в подтверждение этому - обновление базы.

Странно что не забанили, но Вы потрите, жалко будет если отберут.

| Сообщение посчитали полезным:

Carpe DiEm пишет:
Странно что не забанили, но Вы потрите, жалко будет если отберут.
Проверим этот ключ через месяц

| Сообщение посчитали полезным:

nevertime
>> а если на виртуалке нужен интернет?
>> У меня стоит виртуалка и комодо (например) по умолчанию не трогает трафик с виртуалки.. в итоге все равно лучше фаервола пока нет вариантов..
Если я ничего не путаю, то вариант "сетевой кабель воткнут в комп на котором стоит виртуалка" не прокатит. Ибо виртуалка выступает в роли файерволла, а файерволл должен быть между сетью и защищаемым компьютером. А тут выходит наоборот - физическая машина между сетью и виртуалкой.

Я похожую историю наблюдал лет 8 назад. Попросила одна симпатичная блондиночка помощи в настройке роутера. Мол интернеты не работают, просто беда. Мне больших усилий стоило не расхохотаться, когда увидел, чего она навертела. После расспросов, как она дошла до жизни такой, выяснилось, что бедной девушке кто-то поведал, что "роутер хорошо защищает от вирусов и хакеров". А материнская плата компьютера имела 2 ethernet входа. Дама подумала-подумала, да и воткнула сетевой кабель провайдера в один разъем, а роутер в другой Windows бодро получила сетевой адрес по DHCP от роутера, проигнорировала DHCP провайдера, и интернеты пропали.

| Сообщение посчитали полезным:

Dart Raiden это был лишь повод

Ключик ещё пашет, менять пока не буду.
Кстати не очень понятно по какой причине после возобновления сеанса Аутпост не загружен и запустить его нельзя ибо прав нет.

А acs висит в памяти и толку от него особо нет - не работает и не завершить.

| Сообщение посчитали полезным:

Carpe DiEm пишет:
Кстати не очень понятно по какой причине после возобновления сеанса Аутпост не загружен и запустить его нельзя ибо прав нет.
Может у вас метод запуска в настройках - фоновый?

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

Dart Raiden пишет:
Ибо виртуалка выступает в роли файерволла
это разные вещи
Dart Raiden пишет:
Я похожую историю наблюдал лет 8 назад.
Найди 10 отличий

фактический самая безопасная машина без инета(не важно виртуалка это или нет), и об это уже говорилось выше. (если кто не понял)

а так офтоп пошел)

| Сообщение посчитали полезным:

Поюзал сабж недельку, купил безлимитку, относительно годный продукт. Заметил некоторые баги - обо всех недавно отписал в их саппорт, посмотрим как у них с реакцией. Спасибо за наводку топикстартеру, а то я перестал верить а агнитум, когда они испортили свой оригинальный фаер, теперь смотрю во многом исправились, дам им второй шанс чтоли.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

года 3 назад смотрел какойто фаер, сечас не вспомню может и outpost

увидев что в sys драйвере юзаются boost-овские regexp
удалил его нафиг )))
это к чему? читая всякие описания продукта о прокативных защитах и http фильтрации
сразу вспоминаю этот лол с регеспами
так что имхо все эти фаеры сначала нужно изучать
прежде чем ставить из за удобных менюшек или красивых экранчиков

| Сообщение посчитали полезным: hors