Локально все протестировал xp/vista/32b/64b короче везде ловит весь milw0rm.com (включая Ret2libc) Дайте сцылы на троянские сайты, охота покатать в походных условиях (на работе ходить по порносайтам неудобно да и чет невижу я там ничего... набрал на вскидку porno.com ) П.С. Куда пост сунуть не знаю, вроде тема имеет отношение к программированию win32 (писал на си+асм) П.П.С. Планирую написать статью об инжекте во все процессы (много способов (shim,remotethread,apc), но реально у меня используется связка драйвер+2 (два два, на х64 платформах) сервиса) т.к. в существующих статьях во-первых идиотский способ определения создания первого потока в процессе, во-вторых нету 64б, нету висты, несовместим с user-switch (в smss.exe не загрузишь kernel32, к примеру, а у меня хукер ее юзает) глюки во многих программах (к примеру так и не понятая мной несовместимость с Total Commander (я особо хотя не ковырял), это кому-нить еще интересно ?
П.П.П.С. На работе делать нех, сказали "тестируй его"... Багов вроде нет, скукота... Индусы готовы сколь угодно долго отсрочить дату релиза лишь бы не прилепить к нему наконец оффициальный инсталятор... Шаровый продукт, охота уже выпустить его в свет
Есессно обойдут Я сам знаю как его обойти Скоро будет... Главное от существующих защищает, а то .ani exploit порутил всю локалку уже )
Не ловит, еще не добавлял, была мысль похукать сискол, да баги задавили... На днях реализую... Вообще у меня есть зачатки драйвер-бэйзд защиты реализующей совместимый ДЕП, про который кстати пакс -тим сказали мол "нереализуема на системах NT" да все руки не дойдут, может быть в v.2.0. П.С. А де такие шелкоды видел ? Я в основном кидерство с милворма ковырял
Угу http://www.radiodeejay.hr/forum/lang/inexed.htm Случайно запустил дома в полной уверенности что у меня стоит моя последняя версия защиты (дома нет доступа на svn), оказалось в ней не было багфикса отлавливающго динамическую загрузку длл, короч хуки были только на кернеле... пришлось переставлять винду На работе (последняя версия) словила (сейчас серв (на который указывает создаваемый iframe) упал, хз почему...) П.С. Никто ничего не будет продавать, фирма на которую я работую все отдает на шару, типа для "поддержания лица компании", а зарабатывает реально на каких-то сертификатах
Со сплоитами надо бороться не путем установки хуков, а путем установки патчей. Ибо если поциент мертв, то костыли ему не помогут.
Угу А откуда знаешь ? (как в анекдоте про лесбийский чат что-ли "здравствуйте Иван Иванович, вы мне документы занесли ?")
А я умный- умею сложить два плюс два Серьёзно- ты что, взаправду полагаешь, что я не знаю бизнес-модель Комодо? Она проста как два пальца. Правда, не уверен, что в ближайшем будущем компания не изменит бизнес-политику на общепринятую- security, всё-таки, это сервис, а не софт как таковой. Уже скоро поддержка пользователей будет перевешивать по стоимости процесс написания софта- как только программы станут хоть сколь-нибудь популярны. А продажа цифровых сертификатов- очень нишевый рынок. И тут придётся или забивать на поддержку пользователей, или повышать цены на сертификаты. А разработчики не очень подвержены влиянию брендинга- они будут смотреть, где дешевле, ведь разницы, где покупать, нет. Комодо уже делает шаги для повышения привлекательности именно их сертификатов, посмотрим, как оно обернётся в будущем...
Да, этим ("повышением привлекательности сертификатов") занимается мой друг, рядом сидит... А вообще откуда такие сведения, если не секрет ? Коммерческий шпионаж ?
Зачем шпионаж? Голова- она на то и дадена, чтобы крутить ею на 360 градусов, получая информацию из окружающего пространства, анализировать её и делать выводы. Короче- думать. Ну и, конечно, "опыт, сын ошибок глючных". P.S. Интересно, когда они будут покупать sandbox HIPS, купят меня или одного из моих конкурентов? Типа сам себе вопрос задаю...
Покупать нас никто не будет Мы шаровые (президент компании трясется над этим и над златом чахнет... ) Твою так и не заставил бегать на машинах которые попадали мне в руки Дай конфу на которой 100% работает, хочу потестить, у меня есть свой драйвер который юзает тлб трик, принцип обхода "затираний pte" виндой я сделал такой-же как и в своей юзер модной защите, да вот только "они" хотят мол чтоб везде и всегда (vista/xp 32b/64b) пришлось оставить только юзер мод, ее потом может докурю Добавленно: А не стой, работает, пишет мол main event does not exists, please reinstall ... Че делать ? Кстати, писать надо "exist" бо есть does (типа баг-репорт ) Добавленно: потестил еще конкурентов "StackDefender" пишет что работает, но даже свои собственный тесты не ловит (кстати себя его же тестами тестил )
1. Опытным путём выяснено, что на всех процессорах, имеющих NX/XD-бит DefencePlus падает. Да, в общем, и не нужна она на таких процессорах. 2. Это может быть по разным причинам- драйвер не инициализировался правильно, ты запустил GUI не из-под админа... 3. Кому нужна buffer overflow protection на Vista х64, где эта защита включена для всех процессов автоматом + встроенный ASLR?
1. "Забудь об этом" (С) "Донни Браско" Винда отрубает деп на все что ни поподя (проверки на секции аспака, securom, starforce... усцаться, хочу в этот список - увековечим себя в коде kernel32.dll (акция) ) 2. Пускал все из-под админа, у меня все процы с депом... 3. А на 32б процессы ? А ret2libc ?
1. Ну, большинство критичных процессов в любом случае защищены. 2. Вот, видимо, DEP и есть причина. Сейчас выпущу вторую версию DefenseWall и посмотрю на этот свой старенький проект- думаю, там не очень много нужно будет докрутить, чтобы победить BSOD'ы и всё такое. 3. Большинство из них всё равно будут прикрыты DEP, а против ret2libc- встроенный ASLR.
