Кстати, важный момент, если работаешь с учетной записью админа, то проникшие вирусы легко обходят встроенный брандмауэр винды, сами создавая для себя правило доверенного приложения
Тут как раз и поможет сторонний файрвол, вроде Аутпоста.
Про Outpost уже наверно на каждом "хакерском" сайте валяются проги и статьи по обходу этого файрвола. А, скажем, в исследовании, проведённом matousec.com этот файрвол был вообще дисквалифицирован! Поскольку он базируется на юзер-модном перехвате функций (впрочем, наверное, это Вам ничто не говорит - в общем, такой перехват нетрудно обойти). В общем, на том же сайте подробно написано, что и как.
Теперь Kerio. Я думаю, по следующей цитате всё станет понятно: (перевод) ".. Если мы скажем, что в Kerio P FW защита отсутствует, то мы недалеко уйдем от истины. Структура защиты бесполезна... Мы думаем, что, с точки зрения безопасности, трудно ещё более плохой файрвол".
ИМХО, Kaspersky Internet Security 6.0 - самый лучший на сегоднящний день файрвол. Его обход требует применения немалых знаний и специальных технологий. Тем более что в новой, 7-й версии защита ещё усилена (я сужу по бете).
Впрочем, на него я бы не стал тоже полагаться. Как я уже писал в другой ветке форума, кроме файрвола нужно иметь и специализированную анти-руткит утилиту. Например, русская и бесплатная AVZ. Для вируса обойти ВСЕ возможные анти-руткиты практически невозможно. Тогда Вы можете быть практически уверены в защищённости своего компьютера.
Просто смысл ставить файрвол, который можно обойти, просто погуглив и скачав готовый текст программы?
Но насчет Аутпоста не согласен, драйвер Аутпоста FILTNT работает в кернел режиме и перехватывает, в частности вызов функции NtWriteVirtualMemory. Или я чего-то не понимаю?
| QUOTE (maxdiversexnarod1 @ 15.04.2007 - время: 23:44) |
| Ну блин я вообще не понимаю, кто Вам сказал что Outpost или Kerio - это хорошие файрволы? Про Outpost уже наверно на каждом "хакерском" сайте валяются проги и статьи по обходу этого файрвола. А, скажем, в исследовании, проведённом matousec.com этот файрвол был вообще дисквалифицирован! Поскольку он базируется на юзер-модном перехвате функций (впрочем, наверное, это Вам ничто не говорит - в общем, такой перехват нетрудно обойти). В общем, на том же сайте подробно написано, что и как. Теперь Kerio. Я думаю, по следующей цитате всё станет понятно: (перевод) ".. Если мы скажем, что в Kerio P FW защита отсутствует, то мы недалеко уйдем от истины. Структура защиты бесполезна... Мы думаем, что, с точки зрения безопасности, трудно ещё более плохой файрвол". ИМХО, Kaspersky Internet Security 6.0 - самый лучший на сегоднящний день файрвол. Его обход требует применения немалых знаний и специальных технологий. Тем более что в новой, 7-й версии защита ещё усилена (я сужу по бете). Впрочем, на него я бы не стал тоже полагаться. Как я уже писал в другой ветке форума, кроме файрвола нужно иметь и специализированную анти-руткит утилиту. Например, русская и бесплатная AVZ. Для вируса обойти ВСЕ возможные анти-руткиты практически невозможно. Тогда Вы можете быть практически уверены в защищённости своего компьютера. Просто смысл ставить файрвол, который можно обойти, просто погуглив и скачав готовый текст программы? |
хехе... забавненько
если уж мы ссылаемс на матушек,то мож посмотрим на реальные результаты
тестов ?
http://www.matousec.com/projects/windows-p...sts-results.php
и вдруг оказывается,что каспер там занимает,тока 5ое место,согласен оно
повыше чем 12ое Аутпоста,который однако же не был дисквалифицирован
и вобщем был оценен на "хорошо",да и Керио,находящийся еще пониже,
хоть и определяют,как слабенький,но всеж не совсем бесполезный.
самое занятное - почему не упомянуты Comodo и Jetico,признанные
однозначными победителями и удостоенные оценки "безупречно" ?
В основном, борьба развернулась из-за этого теста -
Unhooking
Personal firewalls commonly use so-called hooks to implement their protection mechanisms. There exist two major types of hooks - kernel mode hooks and user mode hooks. If the self-protection mechanisms are not implemented well by the firewall it may be possible to unhook its hooks. As a result, some or all protection mechanisms of the firewall are disabled.
Trojans that use this technique: Unknown
Leak Tests that emulate this technique: FPR
Тут Аутпост прошёл 15 тестов из 38.
Но, кстати у них же написано: Trojans that use this technique: Unknown
Интересные выводы.
Но всё же мне кажется таких реально крутых вирусов руткитов не так много, надо его ещё к тому-же запустить себе на машину.
Как-то невериться, такой хороший за бесплатно... Сходил на сайт производителя, посмотрел - правда бесплатно раздают, плюс даже поддержка русского языка есть...
И ещё: Kaspersky Internet Security действует по принцип Outpost, но в силу того, что появился он позже, превзойти Агнитума он пока так и не смог...
| QUOTE (barrakuda @ 16.04.2007 - время: 21:39) |
| Да, интересно получается, из их тестов выходит, что Комод самый устойчивый и непробиваемый. Как-то невериться, такой хороший за бесплатно... Сходил на сайт производителя, посмотрел - правда бесплатно раздают, плюс даже поддержка русского языка есть... |
Comodo - бесплатный?!? {удивился я и пошёл искать сайт производителя}
Может кто-нибудь юзал?
Итак, защиту (качественного) файрвола можно разделить на две части: фильтрация трафика и защита путём перехвата функций.
Ну, с фильтрацией трафика всё понятно. Единственное, что стоит сказать по её поводу: если вражеская программа оказалась в ядре, т.е. получила привилегии SYSTEM (которые, для справки, выше администраторских), то ничто уже не помешает ей эту фильтрацию попросту отключить, чтобы отослать свой трафик. Впрочем, это требует достаточно больших знаний в теме. Правда, есть и более простой способ, с другого конца. Мы просто имитируем клавиатурно-мышиный ввод: разворачиваем окно файрвола, "нажимаем" ALT, спускаемся по меню, открываем настройки... в общем, понятно. Чтобы пресечь этот метод, нужно перехватывать ряд функций Windows API. Что мы можем увидеть? Что только KIS и ZoneAlarm перехватывают все опасные функции (собственно, это в таблице значится под именем SSDT GDI hooks). Таким образом, ко всем остальным файрволам за ~ 30 минут мы можем написать эмуляцию ввода.
Ну ладно, идём дальше. Трафик запрещается для одних программ и разрешается для других. Если мы сможем инжектироваться (т.е. занести свой код) в доверенное приложение, то вся сложная система фильтрации полетит к чёрту. Что мы видим в таблице? В графе "DLL injection control" у всех стоят плюсы. Однако половина файрволов не перехватывает NtWriteVirtualMemory. Как такое может быть? Да очень просто. Здесь вступает в действие т.н. "контроль целостности". Даже если мы инжектируем свою DLL в чужой процесс, она окажется засвеченной в списках системы, и для файрвола наступает блаженство. Но стоит ли расслабляться? Если мы введём что-нибудь поумнее, чем LoadLibrary ("наша_супер_крутая_инжект_DLL"), то можно загрузить свой код, не засветив его ни в каких списках. Так, например, Comodo не перехватывает даже NtWriteVirtualMemory. Остальные лидеры с этим худо-бедно справились.
Дошли до перехвата функций. Как видно из таблицы, все лидеры используют достаточно современную технологию патчинга SDT, но у всех она реализована на разном уровне. Что мы можем увидеть, если мы внимательно изучим представленные списки перехваченных функций? То, что кроме KIS, во всех остальных можно спокойно загрузить свой собственный драйвер, который спокойненько восстановит SDT, и "ослепит" файрвол. Хорошо ещё, что многие перехватывают LoadDriver(). Как это ни странно, но KIS её не перехватывает - и это серьёзная брешь в его защите. Правда, по-моему в новой версии он всё-таки её будет перехватывать.
Так что, если не учитывать эту функцию, то в борьбе с KIS приходится подниматься на новый уровень: восстанавливать SDT путём хитрого и трудоёмкого трюка, с помощью одной недокументированной функции NT API, к тому же содержащей ошибку.
Теперь, что мы получим, если всё-таки сможем загрузить свой драйвер в систему? Да всё! Отключить защиту, вырубить файрвол или потихоньку залезть в чужой процесс и отсылать данные в сеть из него.
По поводу leak-test'ов.
(Для тех, кто не понял, таблица результатов в конце этой страницы - это не окончательная таблица; ищите на другой странице :) Прохождение leak-тестов - это ещё далеко не всё)
Про Outpost читаем: "Outpost Firewall PRO 4.0 (971.584.079) was convicted of such cheating. ... This means that Outpost Firewall PRO cheats to be very strong against leak-tests but in fact it is very weak against real malware". Лично я расцениваю это как дисквалификацию. Если файрвол исправно проходит тесты (которые, кстати, находятся в открытом доступе в Интернете), но при этом содержит кучу недоработок и сразу сваливается на специальном тесте Fake Protection Revealer...
Про победителей в этой категории: Comodo и Jetico - см. пост сначала.
Я думаю, те, кто дочитал мой пост до конца, поняли, почему лучшие - это KIS и ZoneAlarm :)
Меня не удивляет, что каспер лучше справляется с руткитами, ведь это его назначение - вирусы отлавливать. Лично я использую файрвол в первую очередб для простой фильтрации трафика, для чего собственно они и создавались. А вирус нужно ещё запустить в систему. Если пользователь чайник то его никакой супер-пупер файрвол не спасёт. К примеру, схавает эксплойт какой-нить для ИЕ, сработает троян-загрузчик, установит дурацкое BHO какое-нибудь на ИЕ, и что? Ну вякнет файрвол, что компоненты изменились, а толку? Поймет чего-нибудь чайник в этом? И будет себе висеть троян в системе и трафик генерить через браузер.
Для чайника выбирать файрвол можно только по внешнему виду :)
Ну а авторы этих тестов - конечно, очень компетентные люди. Просто они выкладывают в открытый доступ лишь "верхушку айсберга" - малую долю информации. За подробную информацию нужно платить денежки. Да и всё равно итоговые результаты примерно соответствуют истине.
пока отчетливо углядел одно - совершенно не по-детски прожорлив сцуко
заметил за ним еще одну хрень - есть у мну честно хакнутая прожка,
при ее запуске как раз и происходит коде инжект,так вот скажем
Керио замечая это при запуске,попросту не давал ей дальше работать
и честно выдавал об этом сообщение,а комод же блокирует молча,
выскакивает какбы системное сообщение о корупте файла и все,
самое странное,что сообщение продолжало выскакивать даже после
шатдауна комода
щас сморю фривэрный вариант Джетико - несколько аскетично;
пришлось внушать ему,что ВПН блокировать не надо;на инжект
реагирует хорошо - замечает,но спрашивает,че с этим делать.
вобщето задает пожалуй многовато вопросов,но вцелом впечетление
хорошее
| QUOTE (central @ 23.04.2007 - время: 20:27) |
| а я вообще никаким не пользуюсь фаером, Вистовский устраивает, кстати молодцы парни с мелкософта, постарались на славу с фаером. |
Ой, ну это ты зря. Насколько я знаю, фаерволл там никакой...
| QUOTE (vertigo1 @ 23.04.2007 - время: 21:38) | ||
Ой, ну это ты зря. Насколько я знаю, фаерволл там никакой... |
Ну так если как и раньше, по-старинке, сидеть с правами админа тут конечно не поможет. Всмысле входящий левый трафик рубить будет, но любой нормальный вирусняк вырубит его нафиг, как и брандмауэр в ХР.