Перейти к содержанию

Recommended Posts

greenag
Скорость какая торрентов?

Максимальная входящая\исходящая? И сколько максимум соединений в настройках? У меня глюки и тормоза начинались от 1500 и более соединений. А в среднем у меня 5000 и более соединений

скорость до 10мбс а соединений 400-700, я ж говорю, без антишпона - вируса гораздо лучше сейчас

DebugActiveProcess вроде перехватывает

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer

И небольшая просьба к разработчикам: вот все, что я написал, прокомментируйте как нибудь. Ну типа: "Да, сделаем" или "Нет, ерунда полная", ок? А то непонятно, читается это вообще?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer

Не, ребята. Пытался только что поставить Security Suite 7. Снес касперского. Система от сторжевых программ и дров чистая. Понятное дело, ребутнулся, проинсталил сие чудо программерской мысли. Так он даже драйвер свой запустить не смог. Точнее оба драйвера(песочницу тоже не смог:)). Вот радость, думаю. Ладно, собрался сносить. Завис процесс деинсталяции!!!:) Напомню, у меня Win 7 x64 со ВСЕМИ хотфиксами.

P S

Ребят, доделайте свое творение, плз. Это просто кошмар.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Не, ребята. Пытался только что поставить Security Suite 7. Снес касперского. Система от сторжевых программ и дров чистая. Понятное дело, ребутнулся, проинсталил сие чудо программерской мысли. Так он даже драйвер свой запустить не смог. Точнее оба драйвера(песочницу тоже не смог:)). Вот радость, думаю. Ладно, собрался сносить. Завис процесс деинсталяции!!!:) Напомню, у меня Win 7 x64 со ВСЕМИ хотфиксами.

после удаления каспер мог наследить :)

где 7-ку брали, какая версия?

логи установки из папки TEMP отправляйте в BTS

проблемы с незагрузкой дров лечатся полным удалением программы + чисткой реестра (дополнительно можно чистильщиком пройтись) и повторной установкой

из безопасного режима тоже не удаляется?

для справки: песочницы в оутпосте нет, это такое название драйвера

P S

Ребят, доделайте свое творение, плз. Это просто кошмар.

:lol: так ведь это еще не финальная версия ;)

clean64.zip

clean.zip

clean64.zip

clean.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

Win7 x64 - как раз самая проблемная ОС, "вооружена до зубов", API куцый - не встроиться нормально. И MS постоянно накатывают экстравагантные апдейты (см. подкаст DrWeb).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
greenag

На серваке R2 полет нормальный, тока сначала деп отключить

наконец то скачать мжно ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer

Да, еще... В догонку к моему посту по поводу перехватываемых и контролируемых API. Вы перехватываете DebugActiveProcess, но плюс к ней нужно еще хукать попытки проверки глобатьной экспортируемой переменной ядра KdDebuggerEnabled, которая при активном отладчике устанавливается в TRUE, и влияет на обработку исключений.

И контролировать вызов функции NtQuerySystemInformation c классом SystemDebuggerInformation.

Да, еще: основной исполняемый модуль запаковат ASProtect старой(очень) версии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Да, еще... В догонку к моему посту по поводу перехватываемых и контролируемых API. Вы перехватываете DebugActiveProcess, но плюс к ней нужно еще хукать попытки проверки глобатьной экспортируемой переменной ядра KdDebuggerEnabled, которая при активном отладчике устанавливается в TRUE, и влияет на обработку исключений.

И контролировать вызов функции NtQuerySystemInformation c классом SystemDebuggerInformation.

Да, еще: основной исполняемый модуль запаковат ASProtect старой(очень) версии.

Обоснуйте свои предложения. Пока они из серии "слышал звон..."

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer

Это будет препятствовать подключению псевдоотладки, верно?

З Ы

Я не выдаю себя за мега-эксперта, просто предлагаю, вот и все...

А по поводу ASProtect - нет у меня сейчас возможности поставить фаервол и натравить на него PEiD, но насколько я помню - версия была устаревшая. Зачем это надо? Все просто. У нового прота динамическая распаковка в память есть, ВМ еще...

З Ы

А добавите контроль над флагами???

Это будет препятствовать подключению псевдоотладки, верно?

Понамутил я с тегами:)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Это будет препятствовать подключению псевдоотладки, верно?

З Ы

Я не выдаю себя за мега-эксперта, просто предлагаю, вот и все...

А по поводу ASProtect - нет у меня сейчас возможности поставить фаервол и натравить на него PEiD, но насколько я помню - версия была устаревшая. Зачем это надо? Все просто. У нового прота динамическая распаковка в память есть, ВМ еще...

З Ы

А добавите контроль над флагами???

Это будет препятствовать подключению псевдоотладки, верно?

Понамутил я с тегами:)))

Прекращайте жонглирование терминами. В Outpost контролируется подключение отладчика с целью защиты от остановки изолированных процессов, ну и в целом от воздействий.

А зачем контролировать получение статуса отладчика, большая загадка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer
Прекращайте жонглирование терминами. В Outpost контролируется подключение отладчика с целью защиты от остановки изолированных процессов, ну и в целом от воздействий.

А зачем контролировать получение статуса отладчика, большая загадка.

Что бы видеть подключение отладчика не только локального, но и удаленного.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Что бы видеть подключение отладчика не только локального, но и удаленного.

Экзотика невероятная.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer

Lfладно. У меня эта экзотика почти постоянно запущена на вирт. машине.

Да, кстате, хотелось бы у вас узнать... Как вы относитесь к тестам на http://www.matousec.com ? Верить им или нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ильгиз

Killer, этот вопрос просто так или с целью указать на не очень блестящий результат 6.7.3?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer
Killer, этот вопрос просто так или с целью указать на не очень блестящий результат 6.7.3?

И то и то.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
указать на не очень блестящий результат 6.7.3

А как вам эти результаты: ;)

http://www.matousec.com/projects/proactive...level.php?num=1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer
Экзотика невероятная.

Да и вообще, что значит "экзотика"?:) А разрушить указатель в стеке и направить его на свой код - это не экзотика??? Однакож есть эксплоиты, есть хакеры, которое это делают. Продукт, который должен защитить компутер должен быть готов ко всему. И к попыткам разрушения своего драйвера, адресного пространства, хоть файловой системы.

Я не понимаю вашу логику.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Продукт, который должен защитить компутер должен быть готов ко всему. И к попыткам разрушения своего драйвера, адресного пространства, хоть файловой системы.

:blink: вы о каком продукте говорите? :wacko:

Я не понимаю вашу логику.

ваша тоже не совсем понятна

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer

Например о Firewall. Ну что мы спорим? Я же не навязываюсь... Я предложил - вы бы сказали: "Ок, исправим" или "Нет, не исправим" и делов то... Что спорить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ильгиз
А как вам эти результаты:

http://www.matousec.com/projects/proactive...level.php?num=1

это же результаты 1-го уровня, я правильно понимаю? А в таблице, о которой я говорил http://www.matousec.com/projects/proactive...nge/results.php

72-а процента.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Да и вообще, что значит "экзотика"?:) А разрушить указатель в стеке и направить его на свой код - это не экзотика??? Однакож есть эксплоиты, есть хакеры, которое это делают. Продукт, который должен защитить компутер должен быть готов ко всему. И к попыткам разрушения своего драйвера, адресного пространства, хоть файловой системы.

Я не понимаю вашу логику.

Ссылку в личку на конкретику, пож-та. А то Вы говорите так, будто имеете дело с продукцией Eset, самозащита которой равна нулю при выключенном on-access.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
это же результаты 1-го уровня, я правильно понимаю? А в таблице, о которой я говорил http://www.matousec.com/projects/proactive...nge/results.php

72-а процента.

Ждем релиза 7.0, там будем обсуждать. Автораны, хоть и не главное, сильно попортили картину.

А public vulnerability - вещь громкая, но вот насколько реальная... Еще в 2007ом разносили его в блоге за подобные же вещи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer

Автораны это действидельно не главное, но важное. Но по мне НАМНОГО более попортило картину это http://www.matousec.com/projects/proactive...level.php?num=9

И это http://www.matousec.com/projects/proactive...level.php?num=7

Вот посмотрите в архиве всему противостоять можете? Пароль - 123

[вырезано как ссылка на вирус]

Да, еще: а вы исправите авотраны и другие проблемы? По тесту?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Вот посмотрите в архиве всему противостоять можете? Пароль - 123

4 из 6 определяются как трояны. за распространение вредоносов можно по рукам сильно получить.

ушло в вирлаб

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      Microsoft  в Win11 ( на канале Dev.) - добавила новую функцию, позволяющую получить полный список приложений, которые в последнее время запрашивали доступ к конфиденциальной информации, включая камеру, микрофон и контакты. Новая функция также отслеживает программы, получившие за последнюю неделю доступ к данным местоположения, телефонным звонкам, переписке и скриншотам. https://www.comss.ru/page.php?id=10641 Возможно функция (  или её дальнейшее развитие ) будут полезны.      
    • Vvvyg
      Ну, хоть что-то полезное на форуме появилось ) Почистил.
    • akoK
      А куда все разбежались? Зашел, а тут все спамом затянуто.
    • PR55.RP55
      По всей видимости uVS не всегда может получить доступ к: Hosts Нужно чтобы в Лог писалась информация: "Нет доступа  к Hosts " Вроде сейчас uVS  соответствующих записей не создаёт?
    • PR55.RP55
      " 12 апреля 2022 года компания Microsoft опубликовала информацию о новом вредоносном ПО под названием Tarrask. Угроза использует баг планировщика Windows, чтобы избежать обнаружения. " " Tarrask удаляет значение дескриптора безопасности (Security Descriptor, SD) задачи в реестре Windows, что приводит к исчезновению задачи из планировщика задач и из инструмента командной строки. " https://www.comss.ru/page.php?id=10384    
×