Каждый сам для себя решает.. А вообще - Oupost.. )) Только не надо думать, что это даст абсолютную защиту "кампа"..
_CC Я как то попробовал поставить Outpost, в результате это увеличило в 5 раз траффик, так как из строки Accept-Encoding HTTP-запроса Outpost удалял слово gzip. В общем обошлось мне это удовольствие в несколько сотен рублей, что больше чем ущерб от всех вирусов, когда либо живших на моём компе 8)
2Black_mirror: Забавно.. )) Но файер все-таки нужен хотя бы для защиты снаружи; если ты уже что-нибудь подцепил он не поможет..
_CC Кроме оутпоста никакой гадости больше не было, а трафик вырос именно из-за него, так как то что раньше IE получал упакованным, стало приходить в распакованном виде, чтобы этот "фаервол" мог там что-то вредоносное найти. Но самым вредоносным оказался он сам. IceStudent Ну по субъективным ощущениям в 10 8) Что за ключик?
Black_mirror Код (Text): [HKEY_LOCAL_MACHINE\SOFTWARE\Agnitum\Outpost Firewall] "EnableGzipEncoding"=dword:00000001
У меня BlackIce в одиночестве (без каких-либо антивирусов) уже 10 месяцев поддерживает порядок. Никакого левого траффика.
В качестве защиты от троянов ни один фаерволл негоден, а по сумме признаков возможности/удобство/защита лучше всего подходит оутпост, вот я им и пользуюсь. Хотя оутпост обходиться довольно простым кодом.
Black_mirror Спасибо тебе за эту информацию а не мог определить почему у меня данные не в gzip, хотя есть Accept-Encoding: gzip, deflate (null). IceStudent И тебе спасибо Ну а топикстартеру скажу, что зря он создал такую тему, не получит он адекватного ответа на свой вопрос, всё разговоры сведутся к флейму. По сущности вопроса. ZwConnectPort ZwCreateFile ZwCreateKey ZwCreateProcess ZwCreateProcessEx ZwCreateSection ZwDeleteFile ZwDeleteKey ZwDeleteValueKey ZwDuplicateObject ZwLoadDriver ZwLoadKey ZwMapViewOfSection ZwOpenFile ZwOpenProcess ZwOpenThread ZwReplaceKey ZwRequestWaitReplyPort ZwRestoreKey ZwSecureConnectPort ZwSetInformationFile ZwSetSystemInformation ZwSetValueKey ZwTerminateProcess ZwUnloadDriver Эти функции перехватывает зонеалярм, патчем sdt, причем он не перехватывает ntwritevirtualmemory, как агнитум, они что распределили это? Вобще, нет сейчас адекватной системы, в принципе и быть не может.
Уже связался. А он делает хитрее. Он перехватывает ZwOpenProcess и ZwCreateProcess. Чтобы писать в память процесса нужно сначала получить его хэндл, а вот зоналарм хрен даст это сделать. Зоналарм на параноидальных настройках трудно обойти так, чтобы это не требовало перезагрузки компа, но к счастью на этих настройках им совершенно невозможно пользоваться, поэтому шкурка не стоит выделки. А если говорить о обходе зоналарма вобще, то решение проблемы - загрузиться раньше службы зоналарма. Как это сделать я думаю догадается каждый у кого есть мозг.
Ну скажем так - при параноидальных настройках из ринг 3, а что-бы получить ринг0 нужен драйвер (ZwLoadDriver) или работать с \Device\PhysicalMemory ( ZoneLabs перехватывает ZwMapViewOfSection, так, что финт с NtCreateSymbolicLinkObject не пройдет (а такой был в phrack 59-0x10). Обработчик ставит seh-обработчик, проверяет предыдущий режим (_ExGetPreviousMode()) и ZwQueryObject, приводится имя обьекта к одинаковому регистру, после RtlEqualUnicodeString() ) ничего особо не сделаешь Хотя можно установить драйвер, но не стартовать его (т.к. ZwLoadDriver) сразу, а дождаться следущей перезагрузки. Вообще можно долго говорить, что лучше и что хуже, но лучше пойду чаю с молоком попью
Тоесть ZoneAlarm обходится только после перезагрузки системы? А есть ли универсальный метод по блокировки фаелвола программно?
Ты абываешь то, что драйвер можно установить и запустить с помошью SCM. При этом ZwLoadriver будет вызван процессом services.exe который обычно загружает драйвера с типом старта SERVICE_AUTO_START. И тут есть один момент, если в системе есть хоть один драйвер с таким типом старта который стартует позже службы зоналарма, то зоналарм даже не предупредит о попытке загрузки драйвера, а если и предупредит - то юзер разрешит загрузку драйверов системному процессу. Короче говоря, через SCM удается стартануть драйвер сразу в 99% случаев. Если говорить об обхода фаерволла в чистом юзермоде, то можно например прописать длл в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify и эта длл будет загружена раньше сервиса фаерволла. Затем нужно установить хук на ZwCreateThread и при срабатывании (если создается тред в другом процессе) делать инжект в него и устанавливать такой хук и там. Таким образом можно проинжектить код во все службы и пользовательские процессы, ну а дальше делаем перехват connect, и при удачном результате можем отправлять данные из процесса имеющего доступ в сеть. Я реализовал эту методику в юзермодном рутките, и он неплохо уживается с зоналармом. Есть метод обхода зоналарма и без перезагрузки системы, но его приводить не буду, сами догадайтесь. Короче говоря, зоналарм еще не может претендовать на звание непробиваемой изнутри защиты.
Ms Rem Тогда вопрос такого плана: что если юзер залогинился через режим гостя? Можно ли в этом режиме устанавливать серсисы? Если я не ошибаюсь двайверы, как и сервисы ехе можно ставить только в режиме администратора?
В этом случае есть два пути: 1) Повысить привилегии через дырявые сторонние приложения (антивирус Касперского, программы защищенные фемидой или старфорсом и.т.д) 2) Обойти зоналарм в юзермоде с помощью инжекта в довереный процесс, сделать это можно. Статистика показывает, что более 95% пользователей сидят под админом, поэтому повышение привилегий в настоящее время малоактуально (реализуется тяжело, а прибавки к ботнету почти никакой не даст). Так что сидя под гостем можно быть на 90% увереным в своей защищенности.
сидя под гостем можно быть на 90% увереным в своей защищенности т.е. твой руткит, допустим, не запуттится после перезагрузки? Обойти зоналарм в юзермоде с помощью инжекта в довереный процесс, сделать это можно Практика показала, что этот метод отжил И еще вопрос по повышению привилегий. Это делается при помощи SAM-файлов?
Отжили только его реализации, а сам метод живее всех живых и до сих пор позволяет обойти ЛЮБОЙ фаерволл (даже зоналарм). Конечно этот метод ограничен в применении, основное его применение - скачка файлов и отправка каких-либо данных через http. Тоесть это в основном довнлоадеры и парольные трояны. А для более серьезных вещей уже нужны драйвера а значит и права администратора. SAM файлы тут совсем непричем. Тут используются баги в софте. Например антивирус Касперского имеет довольно много разных уязвимостей которые позволяют выполнить код с правами system, достаточно лишь внимательно поискать на багтраке. Также есть различные левые службы и драйвера которые могут содержать уязвимости. Например драйвер протектора Themida открывает любому обратившемуся к нему процессу доступ к IDT, а как это использовать я думаю понятно. Также существует множество программ которые с правами гостя просто не работают, и их приходиться запускать от админа с помощью RunAs. В этом случае перехват CreateProcessWithLogonW (для готорого хватит прав гостя) позволит узнать пароль администратора. Короче к этому делу нужно приложить лишь немножко фантазии, но пока что в этом необходимости нет. Если хотя-бы 20% пользователей будут сидеть с правами гостя, то в троянах быстро появятся механизмы для повышения привилегий.
