eXeLab
eXeL@B DVD 2017 !

Видеокурс программиста и крэкера 5D 2O17
(актуальность: август 2O17)
Свежие инструменты, новые видеоуроки!

  • 400+ видеоуроков
  • 800 инструментов
  • 100+ свежих книг и статей

УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: deniskore (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› Outpost Security Suite PRO 8 - годовая лицензия бесплатно
<< . 1 . 2 . 3 . 4 . >>
Посл.ответ Сообщение
fire4x

Ранг: 38.4 (посетитель)
Статус: Участник

Создано: 9 марта 2013 23:39 · Поправил: fire4x New!
· Личное сообщение · #1

Сегодня последний день. Кому надо - не тяните Раздачу уже закрыли.

| Сообщение посчитали полезным: t0ShA

Dart Raiden

Ранг: 59.6 (постоянный)
Статус: Участник

Создано: 13 марта 2013 04:33 · Поправил: Dart Raiden New!
· Личное сообщение · #2

Gideon Vi
>> как с возможностью настроить активность для конкретного процесса с конкретным ip и/или портом?
Да без проблем:


приложение(я)


порты и не только


направление(вход-исход), протоколы, урлы


в последних версиях добавили опцию Guard


до кучи есть встроенный шейпер, запись трафика в файл, ну и логирование, конечно
в установленном виде занимает 4 мегабайта на диске и 15 в памяти

одно плохо - нормально его, вроде, сломали лишь в версии для XP (нужно патчить драйвер), остальные довольствуются сбросом триала
Gideon Vi


Ранг: 1035.5 (!!!!)
Статус: Участник

Создано: 13 марта 2013 04:46 New!
· Личное сообщение · #3

А хорошо. Буду тестировать, спасибо.
nevertime

Ранг: 38.1 (посетитель)
Статус: Участник

Создано: 13 марта 2013 09:20 New!
· Личное сообщение · #4

gazlan пишет:
Agnitum Outpost - "История любви"


черт, почти как у меня, часть программ также не запускалось.. ладно без БСОДОВ
Carpe DiEm

Ранг: 38.0 (посетитель)
Статус: Участник

Создано: 13 марта 2013 09:40 New!
· Личное сообщение · #5

После той не приятности , описанной выше, чаще задумываюсь об сетевом контрацептиве в виде виртуалки.
Лучше пока не придумали.
nevertime

Ранг: 38.1 (посетитель)
Статус: Участник

Создано: 13 марта 2013 11:13 New!
· Личное сообщение · #6

Carpe DiEm пишет:
об сетевом контрацептиве в виде виртуалки.

а если на виртуалке нужен интернет?

У меня стоит виртуалка и комодо (например) по умолчанию не трогает трафик с виртуалки.. в итоге все равно лучше фаервола пока нет вариантов..
Nem

Ранг: 0.3 (гость)
Статус: Участник

Создано: 13 марта 2013 11:18 New!
· Личное сообщение · #7

Dart Raiden пишет:
одно плохо - нормально его, вроде, сломали лишь в версии для XP (нужно патчить драйвер), остальные довольствуются сбросом триала

В триальном режиме он полностью функционален.
Так что достаточно в Task Scheduler поставить .bat, который сбрасывает триал. Сам этим пользуюсь на W7x64.
Так что тоже рекомендую NetPeeker.
Тем более что там отличный http-логгер.
DimitarSerg


Ранг: 204.9 (наставник)
Статус: Участник
radical

Создано: 13 марта 2013 11:28 · Поправил: DimitarSerg New!
· Личное сообщение · #8

reversecode пишет:
я так и не понял по каким критериям итд проводились тестирования фаерволов в тех таблицах ?

На вышеуказанном мною сайте можно сформировать отчёты-тесты и увидеть по каким критериям оценивались.

Gideon Vi пишет:
outpos+sandboxie+microsoft security essentials либо outpos+sandboxie+bitdefender

Так на компе кроме всего этого еще и работать нужно

p.s. может пора сносить в оффтоп ?
reversecode


Ранг: 933.2 (! ! !)
Статус: Участник

Создано: 13 марта 2013 11:34 New!
· Личное сообщение · #9

Gideon Vi пишет:
предлагаешь затыкать пальцем?

разници в фаерволах почти нет, выбирай по удобности

DimitarSerg пишет:
На вышеуказанном мною сайте можно сформировать отчёты-тесты и увидеть по каким критериям оценивались.

смотрел, потому и смеюсь
Gideon Vi


Ранг: 1035.5 (!!!!)
Статус: Участник

Создано: 13 марта 2013 12:07 · Поправил: Gideon Vi New!
· Личное сообщение · #10

DimitarSerg пишет:
Так на компе кроме всего этого еще и работать нужно


Не поверишь, работаю Прожорливость современных качественных антивирей сильно преувеличена.
Правда, можно и без антивируса, т.к. sandboxie решает.
Archer


Ранг: 1908.2 (!!!!)
Статус: Модератор
retired

Создано: 13 марта 2013 12:36 New!
· Личное сообщение · #11

Не совсем улавливаю, чего так все ухватились за этот Sandboxie, когда он пробивается инжектом полугодовой давности. И позволяет полностью выходить из песочницы, в том числе и на последней версии. И с настройками безопасности не дефолтными, а подкрученными вверх.

| Сообщение посчитали полезным: NikolayD, fire4x

ClockMan


Ранг: 460.3 (мудрец)
Статус: Участник
оптимист

Создано: 13 марта 2013 12:54 New!
· Личное сообщение · #12

Кому надо тот любой фаэрвол обойдёт,держать антивирь под рукой вполне хватит, а для зашиты ценных данных используйте комп у которого нет выхода в инет плюс шифрование диска.

| Сообщение посчитали полезным: Jaa

Gideon Vi


Ранг: 1035.5 (!!!!)
Статус: Участник

Создано: 13 марта 2013 14:50 New!
· Личное сообщение · #13

Archer пишет:
Не совсем улавливаю, чего так все ухватились за этот Sandboxie, когда он пробивается инжектом полугодовой давности.


вероятно, потому, что в дикой природе этот инжект не встречается? Ибо, ещё не разу ни получилось нарваться. Можно пример?
Archer


Ранг: 1908.2 (!!!!)
Статус: Модератор
retired

Создано: 13 марта 2013 17:04 New!
· Личное сообщение · #14

В дикой природе он ходит уже года 3. Это по паблику только пол года.
И почему считаешь, что не получилось нарваться? Может, очень даже получилось, только ты об этом не знаешь.
Как вариант-погуглить по ShellTray_Wnd. Хотя это и не единственный способ обхода Sandboxie, ибо коряв он.
reversecode


Ранг: 933.2 (! ! !)
Статус: Участник

Создано: 13 марта 2013 17:10 · Поправил: reversecode New!
· Личное сообщение · #15
Alchemistry

Ранг: 92.2 (постоянный)
Статус: Участник

Создано: 13 марта 2013 18:09 · Поправил: Alchemistry New!
· Личное сообщение · #16

Archer

Что-то сомнения есть насчет пробива Gapzом сандбокси. Последняя четвертая версия запускает все процессы песочницы вообще от пользователя Nt Autorithy\Anonymous logon. Ведь сначала надо запихать в проводник шеллкод. А для этого открыть одну из шаред секций на запись, например ShimSharedMemory. Мне лень проверять, кому надо возьмите напишите ликтест https://raw.github.com/0vercl0k/stuffz/master/gapz_code_injection.cpp

И да сандбокси баганутая. Последний зиродей был не так давно и заключался в том что приложение в песочнице получало возможность записать word 0 в произвольную область памяти ядра, что использовалось для отключения проверки цифровой подписи драйверов в х64 системах, либо просто dos.
Gideon Vi


Ранг: 1035.5 (!!!!)
Статус: Участник

Создано: 13 марта 2013 18:12 · Поправил: Gideon Vi New!
· Личное сообщение · #17

Archer пишет:
И почему считаешь, что не получилось нарваться? Может, очень даже получилось, только ты об этом не знаешь.


ок, суслик есть, но его нет - матрица. Есть в паблике пример, запускающий блокнот?
Вообще, почитаешь про всякое и реально страшно жить Хорошо, что я ни кому не нужен.
Dart Raiden

Ранг: 59.6 (постоянный)
Статус: Участник

Создано: 13 марта 2013 19:27 New!
· Личное сообщение · #18

>> использовалось для отключения проверки цифровой подписи драйверов в х64 системах

У пользователей x64 и варезной Sandboxie эта проверка, кстати, отключена изначально, ибо патченый драйвер
Dart Raiden

Ранг: 59.6 (постоянный)
Статус: Участник

Создано: 13 марта 2013 19:32 New!
· Личное сообщение · #19

Кстати, все эти руткиты, в основном, заражают MBR. То бишь, использование современных материнок с UEFI + загрузочный раздел с GPT + Windows 7 x64 (только 64-разрядная версия умеет грузиться с GPT) = какая-никакая, а все же защита.
Gideon Vi


Ранг: 1035.5 (!!!!)
Статус: Участник

Создано: 14 марта 2013 03:03 New!
· Личное сообщение · #20

Dart Raiden пишет:
У пользователей x64 и варезной Sandboxie эта проверка, кстати, отключена изначально, ибо патченый драйвер


не отключена, а переведена в тестовый режим - драйвер должен быть само-подписан.

зы. Таки я о своем: есть у кого тест, пробивающий песочницу? А то ходит три/пол года, а теста скомпилированного нет - не порядок. Напоминает историю с вирусами под линь.
Alchemistry

Ранг: 92.2 (постоянный)
Статус: Участник

Создано: 14 марта 2013 08:04 · Поправил: Alchemistry New!
· Личное сообщение · #21

Gideon Vi пишет:
Таки я о своем: есть у кого тест, пробивающий песочницу? А то ходит три/пол года, а теста скомпилированного нет - не порядок


Скомпилируй сам. Линк на исходник инжекта выше.
Весь этот arbitrary code execution с Shell_TrayWnd бесполезен если предварительно нельзя разместить код в проводнике.

Не понимаю, что сложного написать (а тут код вообще есть - скомпилируй) на коленке программу, которая будет будучи сандбокснутой делать следующее:

1. NtOpenSection ( \BaseNamedObjects\ShimSharedMemory, GENERIC_WRITE ) : успех? уже ахтунг
2. baseaddr = NtMapViewOfSection : успех? sandboxie слита
3. memcpy (baseaddr+view_size, shell marker + shell code)
4. NtUnmapViewOfSection
5. h = FindWindow ( Shell_TrayWnd )
6. old = GetWindowLongPtr(h, 0)
7. SetWindowLong(h, addressofshellcode)
8. SendNotifyMessage
9. SetWindowLong(h, old)

В принципе для теста сандбокси достаточно первых двух пунктов.

Если секцию нельзя открыть (1) и/или нельзя получить на нее проекцию (2) максимум что ты получишь от использования трюка с Shell_TrayWnd это исключение и падение проводника.

Лень пилить или нет скилов - ищите файл https://www.virustotal.com/en/file/82a19f2e4c9a1b4295a51df9d23af84aae848a7984c141a0c7f67b3bbb77b271/analysis/ как раз этот самый gapz с этим сплоитом.

Gideon Vi пишет:
Напоминает историю с вирусами под линь.


И что с ними не так? Трояны под пингвин появляются чуть ли не регулярно и в новостях тоже, sshd rookit последний например. Кому это действительно надо все имеют и реверсят.
Carpe DiEm

Ранг: 38.0 (посетитель)
Статус: Участник

Создано: 15 марта 2013 13:35 New!
· Личное сообщение · #22

Проблема с принятием ключа Аутпостом.

Code:
  1. Outpost Firewall Pro
  2. ---------------------------
  3. Введенная информация либо неполная, либо неправильная. Пожалуйста, введите регистрационный ключ снова.


Причем сбщ вылетает в одно мгновение после подтверждения ключа, а не как должно после проверки.
TryAga1n

Ранг: 177.2 (ветеран)
Статус: Участник

Создано: 15 марта 2013 14:10 New!
· Личное сообщение · #23

Ключ не для Outpost Firewall Pro, а для Outpost Security Suite Pro
Carpe DiEm

Ранг: 38.0 (посетитель)
Статус: Участник

Создано: 15 марта 2013 16:20 · Поправил: Carpe DiEm New!
· Личное сообщение · #24

TryAga1n, благодарю не доглядел.

SReg пишет:
Carpe DiEm пишет:
Где вы раньше были , уже не выдают
можете мой юзать
Here is your registration key, please copy-paste to the Outpost registration window:

проверил несколько ключиков - рабочие, стало интересно какова судьба этого, выложенного в паблик.
А этот рабочий оказался, в подтверждение этому - обновление базы.

Странно что не забанили, но Вы потрите, жалко будет если отберут.
fire4x

Ранг: 38.4 (посетитель)
Статус: Участник

Создано: 16 марта 2013 02:45 New!
· Личное сообщение · #25

Carpe DiEm пишет:
Странно что не забанили, но Вы потрите, жалко будет если отберут.

Проверим этот ключ через месяц
Dart Raiden

Ранг: 59.6 (постоянный)
Статус: Участник

Создано: 17 марта 2013 04:08 · Поправил: Dart Raiden New!
· Личное сообщение · #26

nevertime
>> а если на виртуалке нужен интернет?
>> У меня стоит виртуалка и комодо (например) по умолчанию не трогает трафик с виртуалки.. в итоге все равно лучше фаервола пока нет вариантов..
Если я ничего не путаю, то вариант "сетевой кабель воткнут в комп на котором стоит виртуалка" не прокатит. Ибо виртуалка выступает в роли файерволла, а файерволл должен быть между сетью и защищаемым компьютером. А тут выходит наоборот - физическая машина между сетью и виртуалкой.

Я похожую историю наблюдал лет 8 назад. Попросила одна симпатичная блондиночка помощи в настройке роутера. Мол интернеты не работают, просто беда. Мне больших усилий стоило не расхохотаться, когда увидел, чего она навертела. После расспросов, как она дошла до жизни такой, выяснилось, что бедной девушке кто-то поведал, что "роутер хорошо защищает от вирусов и хакеров". А материнская плата компьютера имела 2 ethernet входа. Дама подумала-подумала, да и воткнула сетевой кабель провайдера в один разъем, а роутер в другой Windows бодро получила сетевой адрес по DHCP от роутера, проигнорировала DHCP провайдера, и интернеты пропали.
Carpe DiEm

Ранг: 38.0 (посетитель)
Статус: Участник

Создано: 17 марта 2013 23:14 · Поправил: Carpe DiEm New!
· Личное сообщение · #27

Dart Raiden это был лишь повод

Ключик ещё пашет, менять пока не буду.
Кстати не очень понятно по какой причине после возобновления сеанса Аутпост не загружен и запустить его нельзя ибо прав нет.

А acs висит в памяти и толку от него особо нет - не работает и не завершить.
4kusNick


Ранг: 705.0 (! !)
Статус: Участник
bytecode!

Создано: 18 марта 2013 00:55 New!
· Личное сообщение · #28

Carpe DiEm пишет:
Кстати не очень понятно по какой причине после возобновления сеанса Аутпост не загружен и запустить его нельзя ибо прав нет.

Может у вас метод запуска в настройках - фоновый?
nevertime

Ранг: 38.1 (посетитель)
Статус: Участник

Создано: 18 марта 2013 22:20 · Поправил: nevertime New!
· Личное сообщение · #29

Dart Raiden пишет:
Ибо виртуалка выступает в роли файерволла

это разные вещи
Dart Raiden пишет:
Я похожую историю наблюдал лет 8 назад.

Найди 10 отличий

фактический самая безопасная машина без инета(не важно виртуалка это или нет), и об это уже говорилось выше. (если кто не понял)

а так офтоп пошел)
4kusNick


Ранг: 705.0 (! !)
Статус: Участник
bytecode!

Создано: 18 марта 2013 22:37 · Поправил: 4kusNick New!
· Личное сообщение · #30

Поюзал сабж недельку, купил безлимитку, относительно годный продукт. Заметил некоторые баги - обо всех недавно отписал в их саппорт, посмотрим как у них с реакцией. Спасибо за наводку топикстартеру, а то я перестал верить а агнитум, когда они испортили свой оригинальный фаер, теперь смотрю во многом исправились, дам им второй шанс чтоли.
reversecode


Ранг: 933.2 (! ! !)
Статус: Участник

Создано: 18 марта 2013 22:55 New!
· Личное сообщение · #31

года 3 назад смотрел какойто фаер, сечас не вспомню может и outpost

увидев что в sys драйвере юзаются boost-овские regexp
удалил его нафиг )))
это к чему? читая всякие описания продукта о прокативных защитах и http фильтрации
сразу вспоминаю этот лол с регеспами
так что имхо все эти фаеры сначала нужно изучать
прежде чем ставить из за удобных менюшек или красивых экранчиков

| Сообщение посчитали полезным: hors

<< . 1 . 2 . 3 . 4 . >>
 eXeL@B —› Софт, инструменты —› Outpost Security Suite PRO 8 - годовая лицензия бесплатно

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS