Jump to content

Firewall + HIPS

Callisto
 Share

Препоръчан пост

tanganika Новобранец

tanganika

Публикувано
Публикувано

Мерси,че ме светна :giggle: но предпочитам друго. Изгледах ти филмчето http://forums.softvisia.com/index.php?showtopic=8931&view=findpost&p=87678 и да ти кажа съм удивен,че не си наясно с доста неща.Всяка стена поставена в интерактивен режим ще те пита при опит за връзка,Outpost и KAV WKS директно ще блокират изхода в интернет за програми които не са им създадени правила.Така че ще черпиш поголовно всички :giggle: Ето например с KIS 2009 как съм се справил

 

 

post-5346-12607131283822_thumb.jpg

 

Всички приложения,които са в недоверената зона,иначе казано с някакви ограничения просто нямат права за стартиране пък да не говорим за връзка с интернет. Торент клиента ми си е зелен не е и жълт дори :)

 

post-5346-12607133152735_thumb.jpg

 

И от снимката се вижда,че съм и в стелт

 

post-5346-12607137046389_thumb.jpg

 

 

http://i48.tinypic.com/fu3xbn.jpg

 

Още малко упътване какво да направиш за да не се объркаш отново :hesthebest:

 

http://i45.tinypic.com/nz13k5.jpg

Link to comment
Сподели другаде
  • Отговори 1.1k
  • Създадена
  • Последен отговор

ТОП потребители в тази тема

Популярни дни

ТОП потребители в тази тема

Популярни дни

Публикувани изображения

tanganika Новобранец

tanganika

Публикувано
Публикувано

Да знам преди време писа че стелтването на портовете не е важно.Новата версия на DefenseWall 3 успява да скрие само 4-5 порта на този тест за останалите изписва че са затворени,като Иля Рабинович също казва че стелтването на портовете няма никакво значение за сигурността ( по-важно е да са затворени ) т.е. не я повишават.

В случая имам предвид сканирането само на отворения порт за входящ трафик на торент-клиента.

 

Едно много кратко клипче за nikssi какво да направи след това да покаже различен резултат при Касперски и ще го черпя.

 

Да не вземеш да се измъкваш nikssi

Link to comment
Сподели другаде
isaakhim Новобранец

isaakhim

Публикувано
Публикувано

За първи път успях да се заразя с доста коварен рууткит при наличието на защита от страна на Comodo Firewall 3.13.120417.573. Зловредния код се внедри във флашка. Бях наясно, че е там, защото ползвах флашката на заразена система с въпросния рууткит. Имах си копие на Windows XP SP3 направено с Acronis и затова не се притеснявах. При вкарването на флашката в USB-то се отваря този прозорец:

post-8967-1260847153461_thumb.png

Активира се при кликване в/у горната папка. Ако се кликне в/у долната, Autorun не се задейства и заразата не се осъществява. Също се задейства и като се отвори флашката през My Computer и двоен клик в/у нея.

Стартирах заразата и Comodo при параноични настройки въобще не се обади. Вече си имах рууткит и след рестарт на системата не можех да влизам в антивирусни сайтове. Също опитах без успех да обновя дефинициите на Malwarebytes Anti-Malware и SUPERAntiSpyware Free. Не се виждаха и скритите папки и файлове, поради промяна на този ключ в регистрите (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue), който по подразбиране е 1, а рууткита го е променил на 0 и всеки опит да се видят води до неуспех. Премахнах заразата чрез GMER и реших да инсталирам начисто Comodo, за да не се влияе от правилата, които съм му създавал. По подразбиране Defense+ е на Safe Mode. Така и го оставих и стартирах рууткита. Отново Comodo остана безмълвен и си имах пак гост. Видях какво е причинило проникването му. Comodo автоматично прoменя настройките на rundll32.exe, като доверено такова, всичко на Allow освен достъпа до Protected Files/Folders.

Върнах се на изходно положение и наново. Този път включих на Paranoid Mode. Естествено вече имаше реакция и при достъп до паметта и регистрите въпросите започнаха. На всички дадох съответно Block и... бинго. Не бях се заразил. Исках да разбера с кое правило преди това, съм разрешил достъп на rundll32.exe до паметта. Понеже следя за ъпдейти на системата, при опит да вляза за първи път в настройките, съм бил попитан и съответно съм разрешил достъпа до svchost.exe, което се оказва фатално, доколкото разбрах. Ако оставя достъпа до паметта на Block, бутона за активиране на ъпдейтите, които съм скрил не е активен.

post-8967-12608411274214_thumb.png

Така и не проверих дали се теглят и инсталират нормално ъпдейти, защото нямаше нови. Така или иначе в началото е нормално всеки да остави програмата на Safe Mode или Training Mode, за да не бъде засипан с въпроси и тя съответно сама да си създаде правила за сигурните приложения. Само да се премине през опцията с ъпдейтите и достъпа на rundll32.exe до паметта е налице.

Въпреки всичко ми стана странно, защо Comodo не се обажда при достъп до заразения файл! Реших да инсталирам по-стара версия 3.12.111745.560, която работеше много стабилно. Оставих я на Safe Mode и стартирах зловредния код. Веднага се обади за достъп до jwgkvsq.vmx, който в случая е виновника. След блокиране на достъпа до него всичко приключва и вече може да се отвори флашката, само че не с двоен клик, а с десен бутон на мишката -> Open. Тогава не се стартира рууткита и може да се работи с файловете в нея. Пробвах и последната версия до момента, а именно 3.13.121240.574, като се надявах да е оправен проблема, но уви не е.

Реших да пробвам и с други известни стени с HIPS. Първо разбира се деинсталирах Comodo и почистих. Сложих последната версия на PC Tools Firewall Plus. Вдигнах защитата на максимум и стартирах флашката. Без никакви въпроси от страна на стената се заразих. Вярно, че не съм много запознат с нея откъм настройки, но нали уж е на 1-во място с Comodo в тестовете на matousec.com, та реших да пробвам. Може и да има начин да се блокира заразата, но едва ли обикновения потребител ще е толкова наясно, както и аз в началото не можах да се справя със задачата. Разкарах я и сложих Privatefirewall 6.1 Free. Вдигнах нивото на защита докрай и изключих тренировъчния режим. Стартирах инфектираната флашка и отново без никакви въпроси от страна на програмата се заразих. С други HIPS приложения от дългия списък на matousec.com не съм пробвал. Ако някой му се занимава да прави тестове, с удоволствие ще му предоставя рууткита. :haha:

 

Последната ми надежда беше DefenseWall v2.56, която благодарение на линка предоставен от Night_Raven, си изтеглих безплатно за 100 години напред. :yeah: Инсталирах я без да пипам нищо по настройките (то май няма и нужда). Стартирах флашката по обичайния начин в очакване да се заразя, но въпреки изненадата ми нищо не се случи. Флашката се отвори нормално все едно няма зловреден код на нея. Пробвах с двоен клик, от папката, по няколко пъти, но безрезултатно. Рууткита така и не успя да се стартира успешно. :D Без никакви усилия от моя страна бях СПАСЕН. Чак сега оцених донякъде програмата. При работа с Windows XP твърдо оставам с нея.

 

От любопитство реших да пробвам, как ще стои въпроса при Windows 7 X64 без никаква налична защита. Както и очаквах, отворих флашката без да има никакви последствия за системата. Все едно, че бях с DefenseWall. :giggle:

 

П.П. Всички тестове съм ги правил при липса на антивирусна! При наличието на такава сигурно въпросният рууткит щеше да се засече, защото при изпращане за анализ на jwgkvsq.vmx във Virus Total беше отчетен от всички антивирусни за зловреден, а Autorun от 28.

 

Поздрави на всички! :peace:

Link to comment
Сподели другаде
Night_Raven Изследовател

Night_Raven

Публикувано
Публикувано

Сладурчето, с когото сте си играли заедно на катерушките и пързалката, е било червейчето Conficker (още известно като Kido и Downadup), което по едно време беше навсякъде.

Не съм особен фен нито на продуктите на Comodo (а собственикът на компанията пък може да се каже, че ми е адски противен), нито на PC Tools, но съм изненадан, че продуктът на първата се издънва на същите настройки, на които по-старата й версия се справя успешно, и че продуктът на втората не се справя въобще. Половината от това се отнася и за Privatefirewall. Не половината, че не съм фен, а половината, че съм изненадан, че не се справя. :)

Накратко: и трите програми разполагат с достатъчно добри HIPS механизми и би трябвало да се справят. Всъщност почти всяка сносна HIPS програма би трябвало да може да пресече въпросната гадинка.

 

Така че изявявам желание да ми бъде предоставена въпросната гадинка, за да се занимая с нея на виртуална машина. Готов съм да инсталирам VirtualBox само заради нея. Разбира се колкото за теста, после ще се деинсталира. :giggle:

 

DefenseWall се справя, защото по подразбиране всички USB устройства за съхранение на данни са в списъка с недоверените входни точки и всичко, което се копира от тях или стартира директно бива стартирано в изолирана и строго контролирана среда с минимално количество свобода на действие. Conficker няма достъп до критични за него системни ресурси и просто не може да направи нищо.

Колкото до Windows 7, мисля, че тя не е уязвима на червея и затова не си се заразил. Трябвало е да тестваш с Vista, макар че благодарение на UAC не би трябвало да се стига до заразяване. :)

Link to comment
Сподели другаде
tanganika Новобранец

tanganika

Публикувано
Публикувано

Мдаа последните версии на Комодо са ги о...ли не случайно подписа ми води към тази стара версия която и в режим http://i45.tinypic.com/27y8nt0.jpg ще спре заразата.

Добре че новата версия 4 ще има „сандък” и всеки непознат/нов файл ако бъде стартиран ще е в изолирана среда.

 

Isaakhim,също бих искал да ми предоставиш рууткита.

Link to comment
Сподели другаде
-TEN4O- Новобранец

-TEN4O-

Публикувано
Публикувано

Извинявайте че се намесвам но от горните постове разбрах че някои от вас са навити да експериментират-така че бихте ли провели и още един експеримент покрай другото.

 

Става въпрос за Autorun Eater и по-точно за тази и функция ==>>post-11963-12608706329617_thumb.png

 

Благодаря на този който се заеме.

 

 

 

Link to comment
Сподели другаде
isaakhim Новобранец

isaakhim

Публикувано
Публикувано (Редактиран)

Трябвало е да тестваш с Vista, макар че благодарение на UAC не би трябвало да се стига до заразяване. :)

С Vista бях кратко време и не сметнах за нужно да я архивирам с Acronis. Нямах желание само за спорта да я инсталирам наново.

Ето и въпросното червейче. Предупреждавам, че във файла, който се опитвате да свалите има зловреден код!

 

 

 

Забравих да добавя, че проблема с KMPlayer, който съм изтъкнал в това мое мнение, не съществува при Windws XP SP3.

Редактиран от isaakhim
Link to comment
Сподели другаде
tanganika Новобранец

tanganika

Публикувано
Публикувано

С Vista бях кратко време и не сметнах за нужно да я архивирам с Acronis. Нямах желание само за спорта да я инсталирам наново.

Ето и въпросното червейче. Предупреждавам, че във файла, който се опитвате да свалите има зловреден код!

 

 

 

Забравих да добавя, че проблема с KMPlayer, който съм изтъкнал в това мое мнение, не съществува при Windws XP SP3.

http://i49.tinypic.com/2923bzn.jpg

Link to comment
Сподели другаде
lordergf Новобранец

lordergf

Публикувано
Публикувано
За да си стелт означава да не могат да те уцелят.Това означава да си стелт.Ако те виждат ще те уцелят а ако те уцелят не си стелт.Иначе армята нямаше да създава стелт бомбардировачи.Ето защо трябва да си стелт NIGHT RAVEN..................
Link to comment
Сподели другаде
Night_Raven Изследовател

Night_Raven

Публикувано
Публикувано
Аз знам какво е stelath технологията по принцип. Аз не разбирам защо всички си мислят, че т.нар. stealth-нати портове са за предпочитане от доста хора пред стандартните затворени.
Link to comment
Сподели другаде

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гост
Отговори на тази тема

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   Не можете да качите директно снимка. Качете или добавете изображението от линк (URL)

Loading...
×
 Share
Иди на предишната тема
×
×
  • Създай ново...