Всем привет...

Вышел новый релиз Outpost Pro. Теперь его пиарят уже ни как файервол, а как проактивную защиту, то бишь HISP-систему... Хотелось бы знать независимое мнение Экспертов по этому поводу...
Особенно меня интересует в чем данный продукт проигрывает или выигрывает по отношению к SnS (пусть даже тестовой 2.5). Здесь бы хотелось услышать мнение Error_Log...

Я прекрасно понимаю, что лучший инструмент компьютерщика это голова и универсальной защиты нет, но если некоторые операции можно автоматизировать, так почему от этого надо отказываться...

| Сообщение посчитали полезным:

Nimnul пишет:
во первых у меня не стоит антивирус и фаервол
а я над другом пошутил: MS06-035 ххх.ххх.ххх.ххх 445 >>enter
и у него система ушла на перезагрузку(BSOD), со 2 сервиспаком в ХР, а вот у кого стоит фаерволл такое не прокатит. Может ты уверен, что Виста неуязвима?
Nimnul пишет:
многие трои лезут через браузеры, IE7 в этом плане понадежнее должен быть
самый страшный эксплойт- это секретарша, запускающая прикольную прожку из только что пришедшего письма... А я не юзаю IE, и запускаю свой браузер с ограниченными правами. Еще не разу не хватал заразу через него.
Nimnul пишет:
драйвер на висте ты просто так не поставишь
Тогда я пожалуй скажу тебе как грузиться в ринг-0 в висте, неподписывая драйвер у микрософта. Это продемонстрировала Джоанна Рутковска (используя документированные в SDK функции!!!). Выделяется память до тех пор, пока не начнут в своп скидываться неиспользуемые драйвера, далее путем прямого доступа к диску он модифицируется, и выполняться будет уже тот код, который туда был вписан. Посмотри ее презентацию. И это далеко не единственная возможность. Пачгуард - это припятствие для официальных контор, но не для руткитописателей.
Nimnul пишет:
ваш SnS против таких троев бессилен
Ты уверен? SnS уже контролирует загрузку драйверов, имейджей (лоадендкеллимейдж), физикалмемори, и прямой доступ к диску контролировать будем тоже... Это не абсолютная защита, но для большинства случаев достаточно. По крайней мере, я проверял на "живых" зверьках.
Nimnul пишет:
у тебя есть данные о том что Defender чем то хуже Если прога не может перехватывать системные функции в ядре и воспрепятствовать простому TerminateProcess? Переубеждать тебя не собираюсь.
И вообще, это мое ИМХО, нравится тебе виста - ставь и юзай а я не буду.

-----
Research is my purpose

| Сообщение посчитали полезным:

Ну уж..... Недавно только поддержка 2к3 введена.... Как появилась бета версия, так она у меня сразу и запахала на 2003 серваке, правда там одна крупная проблема была, но это еще надо оттестить, и если повторится, тогда отписываюсь авторам, пускай разбираются в чем дело....
На счёт того, что 4-ый аут чего-то там блокирует.... Вы чего, его постоянно включенным держите? Не понимаю зачем..... Я включаю его только когда в нете сижу, в прочем времеи, он у меня полностью отрубленный стоит....
Error_Log - а я то уже отписался что прямой доступ к диску не видит.... Хех, винт захерачил засиранием оного мусорными инструкциями на все сектора.....

-----
The blood swap....

| Сообщение посчитали полезным:

Johnson Finger пишет:
Не понимаю зачем..... Я включаю его только когда в нете сижу, в прочем времеи, он у меня полностью отрубленный стоит....
Ну дык комп включен - он в инете Выделенки всякие, адсл...

| Сообщение посчитали полезным:

Johnson Finger Я знаю, я читал твое письмо , спасибо. За прямой доступ - я давно уже бьюсь, но все никак не доведётся до конца. Кстати, насчет PCFlankLeaktest -- у тебя что, svchost в "разрешить любую активность" попал ?

Загрузка модуля/приложения

Приложение: SVCHOST.EXE
Модуль/Приложение: C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
----
PCFlankLeaktest report - Your firewall has passed the test

Svchost нельзя в полностью разрешенные добавлять, так как он не только эксплорер может запустить, СнС тогда и команду at не отследит (запуск процесса с правами LocalSystem через планировщик задач), и много чего еще... DisallowRun в правилах было вроде, надо проверить; насчет переименования файлов - будет проверка хеша. Экспорт/импорт правил надо будет докрутить еще, а то неудобно, когда систему переустанвливаешь.

-----
Research is my purpose

| Сообщение посчитали полезным:

То Ara - эх, везунчики я то на мопеде сижу
То Error_Log - гы, а вот никуда свхост и не попадал Он по дефолту вообще в кастом секции находится, ни в каких доверенных он у меня не стоял.... Т.е. грубо говоря, с нуля был поставлен сейф-н-сек, и какие правила были, те и юзались.... На счёт свхоста вообще никаких предупреждений выдано небыло.....
Хотя, честно говоря, я так и не понял в чем прикол.... если говорить с начала, то ослик у меня уже был запущен (т.к. фланк сам просит его запустить), и только потом данные передаются через него....
А на счёт дефолтных правил.... Тут вспоминается ситуация, когда нечто подобное обсуждалось и про аутпост (не здесь), что должны быть четко сконфигурированные правила еще на момент установки приложения, т.к. большинство юзеров не заморачиваются с настройкой, и юзают сразу то, что поставили, поэтому в 2-х аутпостах было все так говенно отконфигурированно, а в 3-ках и 4-ке тем более, дефолтные правила обеспечивают максимальную безопасность без дополнительного копания в настройках с правилами.....
Насчёт DisallowRun я вам небольшой подарок заготовил, постараюсь в ближайшее время отослать.... Плюс, еще классно работает небольшой трюк с подменой кое-чего (отпишусь уже разрабам, а там и ты прочтешь), причем, сейф-н-сек говорит что прога пытается там чего-то сделать, нажимаешь "Запретить", а хрен, прогу не блокирует, действие уже произведено, и система полностью захерена Только реинсталл винды....
P.S. напиши в личку, под каким ником или именем тебя знают в старике.....

-----
The blood swap....

| Сообщение посчитали полезным:

Johnson Finger пишет:
На счёт свхоста вообще никаких предупреждений выдано небыло.....
Хотя, честно говоря, я так и не понял в чем прикол....
Я проходил этот тест на 4-м аутпосте. Он его антиликом отлавливает и говорит, что фланк пытается получить контроль над сетевым приложением (в данном случае это ие) с помощью OLE взаимодействия.

| Сообщение посчитали полезным:

Johnson Finger пишет:
Насчёт DisallowRun я вам небольшой подарок заготовил, постараюсь в ближайшее время отослать.... Плюс, еще классно работает небольшой трюк с подменой кое-чего (отпишусь уже разрабам, а там и ты прочтешь)

Может я чего в жизни не понимаю, но это очень походит на разговор двух людей. Ну или посты Dr.Golova, ака "У меня есть кое-что получше, но я вам не дам". Знаешь что-то интересно, так расскажи всем. А если нельзя, то зачем упомянать

| Сообщение посчитали полезным:

Error_Log пишет:
а я над другом пошутил: MS06-035 ххх.ххх.ххх.ххх 445 >>enter
и у него система ушла на перезагрузку(BSOD), со 2 сервиспаком в ХР, а вот у кого стоит фаерволл такое не прокатит. Может ты уверен, что Виста неуязвима?

я в инете сижу через ВПН, которым я конекчусь к своему в2к3, та к что прямого ip на меня нет.

Error_Log пишет:
самый страшный эксплойт- это секретарша, запускающая прикольную прожку из только что пришедшего письма... А я не юзаю IE, и запускаю свой браузер с ограниченными правами. Еще не разу не хватал заразу через него.

Ну секретарши у меня нет, а сайтец на ктором тусуется жена я тоже урезал.

Error_Log пишет:
Тогда я пожалуй скажу тебе как грузиться в ринг-0 в висте, неподписывая драйвер у микрософта.

ну как бы для этого нужны админские права...


Error_Log пишет:
Ты уверен?

Чесно сказать уверен, посколько описанный тобой способ не прикрыт в СнС, да и не описанные тоже. Есть куча багов в ядре ХП, через которые можно пролесть. А вы все эти быги не обнаружите и не прикроете т.к. не хватит вам мощи


Error_Log пишет:
Если прога не может перехватывать системные функции в ядре

ыы, тогда почему крупнейщие антивирусо креаторы требуют от МС api дефендера? не думаю что просто так, а то что ты процесс выключил, ну и флаг тебе вруки, ты выключил только гуи, а остальное в ядре.
 

-----
have a nice day

| Сообщение посчитали полезным:

AirSpirit пишет:
Я проходил этот тест на 4-м аутпосте
Аутпост в этом плане вроде получше будет... но СнС запуск IE через svchost тоже ловит.
Nimnul пишет:
Есть куча багов в ядре ХП, через которые можно пролесть
и ты думаешь, багов не будет в висте?
Nimnul пишет:
описанный тобой способ не прикрыт в СнС
потому-что бэта
Nimnul пишет:
я в инете сижу через ВПН
ну не у всех же так, по локалке частенько такие приколы бывают.

-----
Research is my purpose

| Сообщение посчитали полезным:

Error_Log
аутпоста 4го в сети как грязи. А снс смахивает на небезысвестного джо...

| Сообщение посчитали полезным:

По моему мнению, тут спор идет не о чем. Ни outpost 4 ни sns на самом деле нафиг не нужны.
Единственное что нужно для защиты - это фаерволл с контролем сетевой активности. Всякая проактивная защита абсолютно не нужна, и ее успешно заменают 3 простых правила.
1) Никогда не использовать IE.
2) Запускать весь подозрительный софт (кряки/кейгены) исключительно в wmvare
3) Запускать сетевые приложения от специально настроеного для этого юзера.
При этом уровень защищенности будет многократно выше, чем с кучей различный пассивных, активных, проактивных и еще хер пойми каких защит.

В качестве фаерволла рекомендую юзать исключительно outpost 3.5, но только после некоторой настройки. Чтобы оутпост работал быстро, качественно и безглючно, нужно сделать следующее.
1) Удалить лишние модули (оставить можно только баннерорезку и днс кеш, остальное нафиг не нужно).
2) Отключить нафиг контроль компонентов.
3) Отключить нафиг контроль инжектов.
4) Отключить к чертовой матери ведение журнала, ибо это ускоряет обработку сетевых соединений в несколько раз.
5) Удалить из app_init_dlls дллку оутпоста (не знаю нафиг она нужна, но явно без нее будет лучше, ибо нефиг систему гавном всяким засорять).
После этого мы получим легкий фаерволл, который прекрасно справляется со всеми возложеными на фаерволл функциями, не плодящий глюков системы и работающий быстро.
Если хочеться тонкого тюнинга, то надо еще пропатчить драйвер оутпоста, чтобы он не хукал ZwWriteVirtualMemory/ZwTerminateProcess, а то достает, что нельзя прибить процесс оутпоста, если он зависнет (а такое редко, но бывает).

Вот еще несколько советов по повышению безопасности и безглючности системы:
1) Отключить нафиг все ненужные службы windows. Тут надо руководствоваться правилом, что если ты не представляешь, для чего тебе может понадобиться служба, то ее лучше отключить.
2) Если установлен антивирусный монитор, то обязательно снести к чертям собачим. Ничего хорошего от них не бывает, одни глюки только.
3) Если стоят дрова от игр защищенных старфорсом, то снести нахрен такие игры, а потом и дрова старфорса. И никогда больше не подпускать такие игрушки к компу на расстояние пушечного выстрела.
4) Проверить список установленых дров, и проверить утилитой SDTRestore какие функции SDT похуканы. Если система юзается давно, то наверняка на этом этапе найдется куча говна оставшегося от разных антивирей, антируткитов и прочего утиля. Все найденое снести нафиг.

Я всегда настраивал систему вышеприведенным образом, и еще не было ни одного случая попадания ко мне вредоносной программы. Поэтому настрой систему и живи спокойно, а всякие sns и 4е оутпосты оставим тупым секретаршам.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem пишет:
Никогда не использовать IE
так и делаю
Ms-Rem пишет:
Запускать сетевые приложения от специально настроеного для этого юзера
А как насчет утилиты DropMyRights ?
Ms-Rem пишет:
Запускать весь подозрительный софт (кряки/кейгены) исключительно в wmvare
своим то можно доверять, насчет кейгенов - что скажешь, если запускать через "запуск от имени" с флажком "защитить от несанкционированных действий" ? Но все же ВМВаре для это юзать не очень удобно, да и не факт, что пропатченный файл не содержит зловреда. Или может в инсталл проги кто-то запихнет какую-то бяку типа адвары...
Ms-Rem пишет:
Проверить список установленых дров, и проверить утилитой SDTRestore какие функции SDT похуканы
ИМХО лучше SVV, так как и сплайсинг можно определить, а не только подмена адресов в SDT.

7cf1_06.10.2006_CRACKLAB.rU.tgz - DropMyRights.rar

-----
Research is my purpose

| Сообщение посчитали полезным:

Error_Log пишет:
А как насчет утилиты DropMyRights ?
Нафига утилита, если я могу создать юзера и настроить ему права стандартными средствами винды.
Вобще, рекомендую по возможности избегать использования security утилит, если все можно сделать штатными средствами.

Error_Log пишет:
что скажешь, если запускать через "запуск от имени" с флажком "защитить от несанкционированных действий"
Скажу, что это обходиться. Да и от уплывания паролей это не спасет (т.к. права на чтение файлов остаются). Так что лучше не стоит в основной системе запускать ничего подозрительного вообще.


Error_Log пишет:
ИМХО лучше SVV, так как и сплайсинг можно определить, а не только подмена адресов в SDT.
Во-первых, речь шла не о поиске руткитов (предполагается, что при наличии прямых рук их не будет), а о поиске различных остатков антивирей и прочего говна.
Во-вторых, svv это весьма кривая хрень, работающая очень нестабильно.
В-третьих, от хорошего руткита svv не поможет (заточеный под svv обход пишется за минуты, универсальный обход за день (но его написание уже требует применения мозга ).

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

То AirSpirit - я уже видел, что в 4-ке это пофиксили, хотя есть мысль, что может это чисто для этого ликтеста сделано, а прочие проги, но использующие подобную технологию, могут пройти.... Просто был одно время скандал, основанный на том, что аутпост на самом деле почему проходит все ликтесты, потому что они доступные, и он блокирует именно их, и создает иллюзию надежного файерволла.... Вот так....
То Gideon Vi - если ты на счёт подарка, то не советую, т.к. этот подарок полностью грохает реестр, и система восстановлению уже не подлежит.... На счёт подмены, инфа достаточно специфична, и интереса особого не представляет.... Поэтому только разрабам....
То Error_Log - вот скажи мне, ты Фланк запускал при выключенном осле, или он у тебя работал? Т.к. когда я запускал Фланк, осел у меня был включен, хотя сайтов там небыло, чисто запущен просто.... потому как я понимаю, вся фишка в том, чтобы отправить данные при уже запущенном осле.... А если свхост запускает осла, то тогда понятно что сейф-н-сек это ловит.... Но теоретическая ситуация рассматривает тот вариант, что ты сидишь в сети, заходишь на сайт, с размещенным на нем зловредным скриптом, который загружает тебе на машину spyware использующим эту технологию, и запускает его.... А пока ты серфишь, вся приватная инфа благополучно уже ушла....
Но или другие вариации на эту тему....
Повторяю, свхост в доверенных у меня не был, были спользованы правила по умолчанию....

-----
The blood swap....

| Сообщение посчитали полезным:

З.Ы. утилиту DropMyRights хорохо заменяет виндовая утилита runas. А права доступа при этом можно задавать очень гибкие для каждого юзера.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem пишет:
Ни outpost 4 ни sns на самом деле нафиг не нужны.
Единственное что нужно для защиты - это фаерволл с контролем сетевой активности.
Золотые слова !
Остальное в топике промоушн СнС

| Сообщение посчитали полезным:

То Ms-Rem - гы, твой хайд тулз не дает устанавливаться сейфу Установка проходит, но сервис и гуи не запускается, как не трудись....

-----
The blood swap....

| Сообщение посчитали полезным:

Ms-Rem Я за утилиту написал, потому-что при запуске через RunAs теряются настройки, избранное и т.д надо переносить вручную, да и она всего одну привилегию оставляет, даже SeShutdown нету. К тому же это утилита от микрософта и с исходниками
Ms-Rem пишет:
речь шла не о поиске руткитов
речь шла не о поиске руткитов. речь шла о том, что нет гарантий, что китайским программистам не взбредет в голову написать софтину, которая будет хукать не через SDT.
Ms-Rem пишет:
В-третьих, от хорошего руткита svv не поможет
Это я знаю . SVV можно обойти, например, просто подменив результат чтения файлов. Это я прекрасно понимаю. Что касательно поиска рукитов, то софта, способного отлавливать "хорошие" руткиты помойму вообще нет, может в привате у кого-то и есть такое...
Johnson Finger будем разбираться

-----
Research is my purpose

| Сообщение посчитали полезным:

Error_Log пишет:
софта, способного отлавливать "хорошие" руткиты помойму вообще нет, может в привате у кого-то и есть такое...
Степень невидимости руткита напрямую зависит от уровня его приватности. Борьбо поиск/скрытие в ринг0 никогда не закончиться победой одной из сторон. Для того, чтобы обойти антируткит, мне нужно знать способ его работы (а значит иметь его копию). Скрыться от неизвестных методов обнаружения нельзя. Найти руткит о методах работы которого ничего незвестно, тоже нельзя. Поэтому все зависит от степени приватности руткита/антируткита. (хотя если применаются общеизвестные технологии, то от приватности не будет никакого толку).

Johnson Finger пишет:
То Ms-Rem - гы, твой хайд тулз не дает устанавливаться сейфу Установка проходит, но сервис и гуи не запускается, как не трудись.
Сейчас проверю. Если это баг, то будет исправлено.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

А у меня Опера падает при использовании её через "запустить от имени - галка на "защитить компьютер от несанкционированных действий"". И при использовании DropMyRights то же падает.

| Сообщение посчитали полезным:

Gideon Vi
Создай ярлык со строкой
C:\DropMyRights\DropMyRights.exe "C:\Program Files\Opera\Opera.exe" N
у меня не падает

-----
Research is my purpose

| Сообщение посчитали полезным:

N = run as normal user (default)

А какой смысл запускать с правами нормального юзера?

| Сообщение посчитали полезным:

Gideon Vi посмотри в ProcessExplorer -> вкладка Properties - Security и сравни с и без
Или запусти тот же TotalCommander и попробуй куда-то записать что-то... кроме своего профиля с доками

-----
Research is my purpose

| Сообщение посчитали полезным:

Error_Log пишет:
посмотри в ProcessExplorer -> вкладка Properties - Security и сравни с и без

ну да, результат на лице

зы. Жутко сегодня интересно на краклабе, да же спать уходить не хочется

зыы. К стати, советую тем, кто ещё не пробовал, заюзать Proxomitron http://www.proxomitron.ru/board/viewtopic.php?t=703&start=40 . Пы ссылке сборка, затачивающаяся под ру-нет.

| Сообщение посчитали полезным:

Ms-Rem пишет:
2) Запускать весь подозрительный софт (кряки/кейгены) исключительно в wmvare

Да, но ведь есть ещё кейгены, генерирующие на основе ID компа. И не мало ещё слабых компьютеров, на которых запускать вирт. компьютер ради каждого кряка - редкое садо-мазо (я и сам совсем недавно с такого слез).

| Сообщение посчитали полезным:

Gideon Vi пишет:
Да, но ведь есть ещё кейгены, генерирующие на основе ID компа
Тогда не стоит вобще такие запускать. Или запускать только после предварительной проверки на вмваре, и то только от пользователя не имеющего даже доступа на чтение куда-либо.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem пишет:
Тогда не стоит вобще такие запускать
Правильно. И вообще самый надежный способ защиты - не включать комп вообще
Ms-Rem пишет:
Или запускать только после предварительной проверки на вмваре
Не все смогут разобрать, что там есть какая-то зараза или нет. К тому же, если это сплойт в картинке, то его не обязательно открывать даже, один был у меня, так даже запуск проводника в том месте, где он лежал вызывал запуск калькулятора (это демка была). Так что не факт ;). Да и если зловред детектит ВМварь, он может бездействовать (а сдетектить ее - раз плюнуть, ты сам вкурсе).

-----
Research is my purpose

| Сообщение посчитали полезным:

Ага. Все срочно ставим sns, для того чтоб запускать кейгены...

Error_Log пишет:
К тому же, если это сплойт в картинке, то его не обязательно открывать даже
Ну так апдейты то тоже надо вовремя ставить.

Как бы то ни было, а я не пользуюсь ни антивирусом, ни (бог меня упаси) проактивной защитой (всем сплюнуть через левое плече), и до сих пор почему-то ничего не подцепил.
Если кто-то не имеет ни капли мозга, то sns ему ничем помочь не сможет, поскольку он сам разрешит кейгену делать что угодно, лиж бы наконец получить серийник к программе. Если же человек тупой не совсем, и не ставит каждый день по десятку новых программ, то и без антивиря ему ничего не угожает.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem пишет:
Все срочно ставим sns
Каждый ставит то, что ему нравится. Вы точно все помешались. Раз так, обещаю - больше ни слова с моей стороны про СнС, просьба не спрашивать. Вижу, что сделал глупость. Почему-то все считают, если человек работает в какой-то компании, у него нет своего мнения. Ms-Rem пишет:
а я не пользуюсь антивирусом действительно, антиврус я тоже никогда не поставлю, ресурсов он жрет чрезмерно, а толку - 0. Уж лучше вовремя апдейты ставить (хотя я этого тоже не делаю). И запускать все только в вмваре тоже не буду (зачем такой гемор). Каждый остается при своем мнении.

-----
Research is my purpose

| Сообщение посчитали полезным:

Ms-Rem пишет:
Тогда не стоит вобще такие запускать. Или запускать только после предварительной проверки на вмваре, и то только от пользователя не имеющего даже доступа на чтение куда-либо.
а откуда такое недоверие к патчам/кейгенам ?
разве настолько часто в них попадаются трои ?
сейчас по-моему проще подцепить с легальным софтом, ad-ware всякого прям кишит.
припоминаю только несколько случаев троев в кейгенах, да и те были приклеены умельцами с форумов, изначально в релизах не было.

-----
in search of sunrise

| Сообщение посчитали полезным: