Перейти к содержанию
Сергей Ильин

Enhanced Mitigation Experience Toolkit (EMET) v4

Recommended Posts

Сергей Ильин

Microsoft выпустила бета-версию EMET 4 http://www.microsoft.com/en-us/download/de...s.aspx?id=38761

Основные улучшение в новой версии:

EMET 4.0 detects attacks leveraging suspicious SSL/TLS certificates

EMET 4.0 strengthens existing mitigations and blocks known bypasses

EMET 4.0 addresses known application compatibility issues with EMET 3.0

EMET 4.0 enables an Early Warning Program for enterprise customers and for Microsoft

EMET 4.0 allows customers to test mitigations with “Audit Mode”

emet4.PNG

http://blogs.technet.com/b/srd/archive/201...et-v4-beta.aspx

Поддерживаются следующие операционные системы:

Client Operating Systems

• Windows XP service pack 3 and above

• Windows Vista service pack 1 and above

• Windows 7 all service packs

• Windows 8

Server Operation Systems

• Windows Server 2003 service pack 1 and above

• Windows Server 2008 all service packs

• Windows Server 2008 R2 all

• Windows Server 2012

post-4-1366447886_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa

У меня на максималке DEP убивает hiew; скорее всего детект aspack. Добавление hiew в список контролируемых программ с принудительным отключением всех функций не помогает. Но на средних настройках такой трюк прекрасно работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rodocop

СЗОТ

Старый дед игрушку хачил

И hiew'ём её hiew'ячил.

Не сломал игры сией

Устаревшей версией.

(из цикла озорных компьютерных частушек 1996 года)

извините.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT

Приятный обзор EMET 4.1: _http://www.atraining.ru/emet-certificate-pinning/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zzkk

EMET 5.0 Tech Preview release includes new functionality and updates, such as:

- Attack Surface Reduction.

- EAF+.

- Enable the “Deep Hooks” mitigation setting by default.

- Addressed several application-compatibility enhancements.

Please remember that EMET 5.0 Tech Preview requires .NET Framework 4, and in order to protect Internet Explorer 10 on Windows 8 you need to install KB2790907 – a mandatory AppCompat update that has been released on March 12th.

•••

Microsoft реализовала новые механизмы защиты в EMET 5.0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT

Разобрался с проблемой, GPO+EMET+Running EMET+в адресном процесса нет DLL EMET --был включен параметр "Отключение обработчика совместимости приложений". Подробности на картинке со скринами:

EMET.jpg

post-6307-1395761509_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT

EMET 4.1 Update 1 в апреле появился, а 5.0 зафиналенного всё ещё нет.

_http://blogs.technet.com/b/srd/archive/2014/04/30/continuing-with-our-community-driven-customer-focused-approach-for-emet.aspx

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT

v5.1 - обратил внимание на отсутствие несколько раз пиктограммы приложения в трее после загрузки ПК + и EMET_Service - в состоянии остановлена. Длительное наблюдательное ожидание - без изменений. Дальше было лениво разбираться - поставил перезапуск службы с 0 интервалом времени на два сбоя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      В Инфо. указывать не только время создания\изменения файла но и время создания... Пример:  Система Установлена 2018  > Каталог создан в 2020, а файл в каталоге  2021  
    • santy
      как только заработает функция "выполнить запрос по критерию" - все отфильтрованные объекты будут на виду у оператора, и скорее всего, помещены в отдельную категорию. Кстати, всех участников данного форума (помимо проходящих мимо спамеров) поздравляю с Новым 2021 годом!
    • PR55.RP55
      1) Добавить в settings.ini  настройку: "Выделять все неизвестные ЭЦП" Таким образом все ЭЦП которых нет в базе:  wdsl будут на виду. Это  позволит пополнять базу wdsl и сразу акцентировать внимание оператора. 2) Добавить в settings.ini  настройку: Все файлы с неизвестной ЭЦП  помечать, как подозрительные. Или создать отдельную категорию: "Неизвестные ЭЦП" 3) В Инфо. файла помещать информацию типа: Действительна, подписано CAVANAGH NETS LIMITED Найдено файлов: 1 wdsl   [ - ] --------------- Действительна, подписано Mozilla Corporation Найдено файлов: 80 wdsl   [ + ]  
    • PR55.RP55
      1) При срабатывании критерия выделять не всю строку, а только вхождение\результат. Пример: C:\USERS\HOME\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8B4.DLL C:\USERS\HOME\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8B4.DLL 2) Команду: Архивировать Zoo  добавить и  в меню файла. Если оператор работает с одним файлом - ему не нужно будет метаться по всей программе. Когда группа файлов - тогда, да удобно применить одну команду. Но когда файл один... 3) В Инфо. файла прописывать единственный это файл каталога, или нет. Примерно так: FC:  1 > ADNEKMOD8B4.DLL FC:  5 > Uninstall.exe;  Menu.exe;  MenuDLL.dll;  9z.dll;  Com.bat ; 4) При совпадении пути до файла: PROGRAM FILES ; PROGRAM FILES (X86) с одной из установленных программ. Писать в Инфо.:  C:\PROGRAM FILES (X86)\AIMP3\AIMP3.EXE Программа найдена: C:\Program Files (x86)\AIMP3\Uninstall.exe
    • PR55.RP55
      В связи с переходом угроз для: BIOS\UEFI из теории в реальность... Предлагаю создать отдельную программу для: Копирования\Восстановления; Просмотра; Просмотра info; Передачи на V.T; Расчёта SHA1 Замены прошивки на: https://www.anti-malware.ru/analytics/Market_Analysis/SDZ-MDZ-russia-market-overview и интеграцию с uVS    
×