eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 1 марта!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: crapolin_denis (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› Новый хипс ReHIPS
. 1 . 2 . 3 . >>
Посл.ответ Сообщение


Ранг: 303.7 (мудрец)
Статус: Участник
tPORt Manager

Создано: 7 ноября 2015 21:46 · Поправил: 7 ноября 2015 23:40 Bit-hack New!
Цитата · Личное сообщение · #1

Увидел анонс нового хипса на форуме malwaretips. Поглядел, вроде наши разрабы. Заявляют, что работает совсем без хуков ядра, используя только виндовые возможности из коробки. Сейчас раздают на халяву полную версию на год. Кто-нибудь сталкивался с продуктом?
Сайт: https://rehips.com

| Сообщение посчитали полезным: TryAga1n, Gideon Vi, HandMill



Ранг: 1100.0 (!!!!)
Статус: Участник

Создано: 8 ноября 2015 04:09 · Поправил: 8 ноября 2015 04:11 Gideon Vi New!
Цитата · Личное сообщение · #2

На первый взгляд по ролику с youtube - копия с sandboxie чуть менее, чем полностью.


Ранг: 116.1 (ветеран)
Статус: Участник

Создано: 8 ноября 2015 08:05 New!
Цитата · Личное сообщение · #3

Кому эта фигня нужна сейчас в 2015 году? У продвинутых давно либо линукс, либо сервер с hyper-v и coolpictures.doc.exe они не запускают. Домохозяйкам? У них будет ступор от первого же окошка этой сандбокси.

| Сообщение посчитали полезным: DimitarSerg


Ранг: 231.3 (наставник)
Статус: Участник

Создано: 8 ноября 2015 08:46 New!
Цитата · Личное сообщение · #4


Ранг: 254.5 (наставник)
Статус: Участник
RBC

Создано: 8 ноября 2015 10:19 New!
Цитата · Личное сообщение · #5

В комплекте COMODO Firewall технологии HIPS и песочницы бесплатны, чем оно не лучше?

Ранг: 231.3 (наставник)
Статус: Участник

Создано: 8 ноября 2015 11:12 New!
Цитата · Личное сообщение · #6

Например тем, что камод со своей мегапесочницей, на компе с оперативой <2гб и любым двухядерным процом устраивает просто адовый лагодром.

| Сообщение посчитали полезным: Recrypter


Ранг: 3.6 (гость)
Статус: Участник

Создано: 8 ноября 2015 14:00 · Поправил: 8 ноября 2015 15:09 Recrypter New!
Цитата · Личное сообщение · #7

Всем доброго дня.

Я один из разработчиков данного решения и постараюсь ответить на все вопросы.

> На первый взгляд по ролику с youtube - копия с sandboxie чуть менее, чем полностью.

Это только на первый взгляд Основные особенности ReHIPS:
1. В ReHIPS для каждого приложения можно создать свою песочницу со своими индивидуальными настройками доступа к ресурсам системы и к сети. И этих настроек весьма немало. Настраивается практически всё, но при этом есть режим по умолчанию, где всё уже выставлено как надо
2. ReHIPS максимально использует встроенные механизмы контроля доступа Windows. Никаких ядерных хуков и прочих подобных дырявых и сомнительных вещей
3. Никакой аппаратной виртуализации, невысокие требования к ресурсам компьютера
4. Поддержка всех актуальных версий Windows, включая 10-ку, независимо от их разрядности
5. Есть списки доверенных издателей
6. Есть блокировка камеры и микрофона
7. Совместимость с другими антивирусными средствами
8. Запуск изолированных приложений на отдельных десктопах. В ряде случаев хороший способ побега из песочницы - через некоторые стандартные вещи типа Windows hooks. Помешать этому - хуки с понятными последствиями в 64-х битных системах. Да и вообще это неправильно и никак не препятствует, например, скриншотам. А почему песочницы ползут в гипервизор? PatchGuard - ответ на вопрос. Те же хуки, но с помощью гипервизора. Правда, всё ещё не везде он есть, тормозит и технология та же - ставим хуки на всё, что знаем. Подмена системы безопасности Windows, по сути. С понятными последствиями.

> В комплекте COMODO Firewall технологии HIPS и песочницы бесплатны, чем оно не лучше?

В пункте выше, в принципе, описал. Основная фича ReHIPS - возможность запуска каждого конкретного приложения в своей собственной песочнице. Во многих других решениях есть одна песочница для всего недоверенного софта. Из этой песочницы открыт доступ на чтение ко всем ресурсам компа, а также к остальным изолируемым приложениям. Часто открыт доступ к сети. Что ещё надо для счастья? А как оно реализовано, тот же wincheck от Red Plait прекрасно показывает. У нас нет хуков ядра и нет обхода PatchGuard-а с помощью аппаратной виртуализации.
Мы делаем упор на документированную безопасность. Сами посудите - механизмы безопасности Windows, на базе которых мы строим наше решение, эксплуатируются много лет, много лет тестируются миллионами, оттачиваются. В них иногда находят баги, которые правятся производителем ОС. А потом вылезает антивирусная компания (любая) и делает свои механизмы - с шахматами и поэтессами. Сколько людей их тестировало? Как? Мы не знаем. По сути, эти механизмы дублируют (в лучшем случае игнорируя, а иногда и отключая механизмы безопасности ОС) тот же дискреционный контроль доступа, который в Windows уже есть достаточно давно. И пишут люди эти решения так, как умеют. Потом вылезают всякие случаи побега из песочниц и эксплуатации их уязвимостей для повышения привилегий. В нашем случае упор делается на документированную безопасность и эксплуатацию встроенных механизмов безопасности Windows, которые оттестированы миллионами пользователей. Свои дополнения тоже есть, но они не являются определяющими.

> Кому эта фигня нужна сейчас в 2015 году? У продвинутых давно либо линукс, либо сервер с hyper-v и coolpictures.doc.exe они не запускают. Домохозяйкам? У них будет ступор от первого же окошка этой сандбокси.

Мир, к счастью, не делится на Продвинутых и Домохозяек Существует гораздо больше категорий как людей, так и организаций. И да, это не сандбокси. Там нет ничего от сандбокси. Кстати, для домохозяек у нас специальная галочка - Режим изоляции. В этом случае coolpictures.doc.exe она не сможет запустить, а работать и развлекаться - вполне себе пожалуйста. Ну и не всегда всё сводится к запуску coolpictures.doc.exe. Бывают ещё и эксплоиты. Потому мы и изолируем в песочницах ряд популярных офисных приложений и браузеров.

PS. Мы раздаём годовую лицензию бесплатно. Единственная просьба - регистрироваться у нас на целевой странице. Это нужно в том числе для статистики.

| Сообщение посчитали полезным: zNob, Bit-hack, TryAga1n, geograph, 4kusNick


Ранг: 2.6 (гость)
Статус: Участник

Создано: 8 ноября 2015 14:18 New!
Цитата · Личное сообщение · #8

Есть возможность запуска драйверов в песочнице
в безопасном режиме?
И логи API\изменений реестра,файлов?
Тогда вещь будет очень..полезная.


Ранг: 1100.0 (!!!!)
Статус: Участник

Создано: 8 ноября 2015 14:20 · Поправил: 8 ноября 2015 14:23 Gideon Vi New!
Цитата · Личное сообщение · #9

Recrypter пишет:
Это только на первый взгляд Основные особенности ReHIPS


Здорово. А все же, что есть в ReHIPS, чего нет в sandboxie?


Ранг: 254.5 (наставник)
Статус: Участник
RBC

Создано: 8 ноября 2015 14:40 New!
Цитата · Личное сообщение · #10

Recrypter
для внимательных юзеров не нужны подобные вещи, есть виртуалки, снимки, бэкапы, клоны, т.е. держать контроллирующее ПО на компе подобно мазохизму, где придется каждые пуки добавлять в правила.

но может кому-то будет и полезно. главное создать адекватные условия для приобретения, заслужить уважение, вот лицуха на год это самое оно, можно было и на полгода, за это время можно нехило подтянуть продукт и потестировать, а там глядишь и покупать будут.

| Сообщение посчитали полезным: Recrypter, negoday



Ранг: 1975.0 (!!!!)
Статус: Модератор
retired

Создано: 8 ноября 2015 14:58 New!
Цитата · Личное сообщение · #11

Насколько я понимаю, софт не только для запуска непонятного софта на основной машинке, что можно сделать и в виртуалке. Но поможет и от пробития сплоитами другого софта, типа дырявого акробата или браузера, когда он в песочнице. Так что внимальным/гикам тоже может пригодиться.
Что касается отличий, заметил отдельные десктопы, чего больше практически нигде не видел. И бОльшую работу с документированными вещами и уже реализованными в винде механизмами, чем в том же сандбокси, который запрещает вообще всё, а потом прямо в драйвере таскает дикую портянку, что можно разрешать, в результате чего периодически ловит дыры и выходы из песочницы.

| Сообщение посчитали полезным: Recrypter



Ранг: 1100.0 (!!!!)
Статус: Участник

Создано: 8 ноября 2015 15:09 · Поправил: 8 ноября 2015 15:10 Gideon Vi New!
Цитата · Личное сообщение · #12

Archer пишет:
И бОльшую работу с документированными вещами и уже реализованными в винде механизмами, чем в том же сандбокси


ну, я конечно знал, что ты крут, но вот так, сходу и без сырков, разобрать что оно там и как делает - сильно.
Мне, правда, так ни кто и не скампилировал работоспособный poc под sandboxie, но это ладно.


Ранг: 254.5 (наставник)
Статус: Участник
RBC

Создано: 8 ноября 2015 15:11 New!
Цитата · Личное сообщение · #13

Archer
ну тебе как никому бы оказать помощь в тестировании, ты авастовскую песочницу пробивал судя по слухам


Ранг: 1975.0 (!!!!)
Статус: Модератор
retired

Создано: 8 ноября 2015 15:11 New!
Цитата · Личное сообщение · #14

Просто смотрел где-то год-полтора назад, как этот продукт, так и некоторые другие. Сейчас уже что-то может и поменялось. Тогда было так, как и написано. Сомневаешься-сам погляди. В сандбокси вообще в драйвер утащили что можно и что нельзя, даже парсинг xml, руки за такое отрывать надо.
Авастовская песочница такая песочница, там хуков за 100 штук стоит, почему и хромает на х64. Долгое время пробивалась даже старой технологией инжекта через shell traywnd. И сандбокси 3 версии, кстати, тоже.
Что касается POC под sandboxie, ну дык бесплатно да, такие вещи не раздают. Но вполне были такие, хоть changelog их поглядеть http://www.sandboxie.com/index.php?VersionChanges типа
NtGetNextProcess can be used to alter processes outside the sandbox and will now be blocked
или
A security problem reported by a user has been fixed: hard links could be created outside the sandbox
Искать просто надо и думать, тогда и можно найти.


Ранг: 1100.0 (!!!!)
Статус: Участник

Создано: 8 ноября 2015 15:32 · Поправил: 8 ноября 2015 15:32 Gideon Vi New!
Цитата · Личное сообщение · #15

да-да, ты злой, все уже поняли.
По сабжу - понравился режим глобального контроля всех запускающихся приложений (т.е. именно hips-составляющая). В sandboxie мне такого не хватает.

Ранг: 3.6 (гость)
Статус: Участник

Создано: 11 ноября 2015 21:56 New!
Цитата · Личное сообщение · #16

ProstoAndreyX пишет:
Есть возможность запуска драйверов в песочнице
в безопасном режиме?
И логи API\изменений реестра,файлов?


Драйвера в безопасном режиме не запускаем. Логи доступа к ФС и реестру... Теоретическая возможность есть, но есть масса софта, который это делает: Process Monitor, FileSpy и т.д. Не видим особого смысла в этом...

Archer пишет:
Просто смотрел где-то год-полтора назад, как этот продукт, так и некоторые другие. Сейчас уже что-то может и поменялось. Тогда было так, как и написано.


В этом плане ничего не поменялось. Были серьёзные изменения в GUI, добавлены минифильтры ФС и реестра, добавлено копирование пользовательских настроек, что полезно для софта, которого нет в базе первоначальных настроек, добавлены режимы защиты и блокировка камеры и микрофона. Плюс, конечно, много более мелких доработок.

| Сообщение посчитали полезным: Bit-hack, ProstoAndreyX


Ранг: 39.8 (посетитель)
Статус: Участник

Создано: 14 ноября 2015 21:52 New!
Цитата · Личное сообщение · #17

Recrypter Все таки подумайте над тем что бы хранить логи хотя бы на 2-3 сессии, даже не логи а хотя бы пути по которым программа пыталась создать\распаковать файлы, записаться в реестр это было бы очень полезно если кто то всё же пролезет, будет видно что и куда скопировано и записано в реестр

Ранг: 370.2 (мудрец)
Статус: Участник

Создано: 15 ноября 2015 04:17 New!
Цитата · Личное сообщение · #18

Интересный продукт, но ИМХО опоздал. С выходом 10ки винда умерла как безопасная система, софт для безопасности под нее становится неактуален.


Ранг: 85.1 (постоянный)
Статус: Участник

Создано: 15 ноября 2015 15:51 New!
Цитата · Личное сообщение · #19

Опа, а чего я пропустил? Почему умерла винда после 10 и что не так с безопасностью?


Ранг: 254.5 (наставник)
Статус: Участник
RBC

Создано: 15 ноября 2015 17:09 New!
Цитата · Личное сообщение · #20

Apocalypse
https://exelab.ru/f/index.php?action=vthread&forum=7&topic=23472

Ранг: 3.6 (гость)
Статус: Участник

Создано: 2 декабря 2015 13:18 · Поправил: 2 декабря 2015 13:19 Recrypter New!
Цитата · Личное сообщение · #21

Мы тут сгруппировали пожелания пользователей ReHIPS 2.1.0 Beta и выложили их здесь: https://forum.rehips.com/index.php/topic,827.0.html. Если есть что добавить и прокомментировать, милости просим. Также можно отписаться на почту (support@rehips.com) или здесь в личку.


Ранг: 1002.1 (!!!!)
Статус: Участник

Создано: 2 декабря 2015 13:33 New!
Цитата · Личное сообщение · #22

opensource

Ранг: 3.6 (гость)
Статус: Участник

Создано: 7 июня 2017 14:19 · Поправил: Recrypter New!
Цитата · Личное сообщение · #23

Мы с гордостью представляем Вам релиз ReHIPS 2.2.0 https://rehips.com/ReHIPSSetup%202.2.0.zip Релиз несколько затянулся, всегда казалось, что некоторые вещи можно сделать лучше. Но изменений очень много. Если же прошлая версия, которую Вы видели, была 1.x, то изменилось вообще практически всё, кроме основного концепта и некоторых базовых вещей.

P.S. Не забудьте удалить прошлые версии со всеми настройками.

Я бы хотел выразить свою глубочайшую и искреннюю благодарность бета-тестировщикам и другим людям, которые тестировали, сообщали о проблемах, высказывали пожелания и действительно помогли исправить множество вещей и сформировать ReHIPS таким, какой он есть сейчас. Спасибо Вам всем огромное, я очень это ценю.

Наслаждайтесь этим релизом. И, как обычно, если возникнут какие-то вопросы или предложения, пишите.

С Уважением, fixer.

| Сообщение посчитали полезным: zNob


Ранг: 256.4 (наставник)
Статус: Участник

Создано: 7 июня 2017 19:23 New!
Цитата · Личное сообщение · #24

Recrypter

Заресерчу на следующей недели и опишу обходы этого ав. Будите наслаждаться.

> И, как обычно, если возникнут какие-то вопросы или предложения или появятся какие ошибки, пишите

Ты же авер, ваши ошибки публикуют и эксплуатируют, а не описывают что бы пофиксить, очнись.


Ранг: 116.1 (ветеран)
Статус: Участник

Создано: 7 июня 2017 20:52 New!
Цитата · Личное сообщение · #25

Recrypter
Шел 2017 год, они продолжали пилить ненужное.

Ранг: 3.6 (гость)
Статус: Участник

Создано: 7 июня 2017 21:41 New!
Цитата · Личное сообщение · #26

difexacaw пишет:
Заресерчу на следующей недели и опишу обходы этого ав. Будите наслаждаться.


Ловим на слове

Ранг: 256.4 (наставник)
Статус: Участник

Создано: 11 июня 2017 19:19 New!
Цитата · Личное сообщение · #27

Посмотрел поделку, она не ядерная. Это юзермод костыли. Как и все факав создаёт гуем видимость активности.

Ранг: 115.5 (ветеран)
Статус: Участник

Создано: 11 июня 2017 19:48 · Поправил: VOLKOFF New!
Цитата · Личное сообщение · #28

difexacaw пишет:
Посмотрел поделку, она не ядерная. Это юзермод костыли.


Посмотрел главную страницу оффсайта



пришел к тем же выводам.

Ранг: 256.4 (наставник)
Статус: Участник

Создано: 11 июня 2017 20:09 New!
Цитата · Личное сообщение · #29

VOLKOFF

Любой сервис может быть вызван напрямую, а значит это не защита. Есть один способ, не использовать сервисные фильтры, но он слишком сложен. Это очередной факав.

Ранг: 3.6 (гость)
Статус: Участник

Создано: 11 июня 2017 23:45 New!
Цитата · Личное сообщение · #30

Да ладно Вам, зачем лукавить, так честно и скажите, обойти не смог ;)
. 1 . 2 . 3 . >>
 eXeL@B —› Софт, инструменты —› Новый хипс ReHIPS

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS