DefenseWall от Ильи Рабиновича

[Николай Головко 70]

Быстро проверить, выполняет ли файл опасные действия. Мне как антивирусному консультанту такая вещь была бы полезна

[Илья Рабинович 521]

А возможно сделать не урезанную версию, а род утилиты, что ли, дабы можно было просто пустить в песочницу приложение и почитать, что оно пыталось сделать? По принципу CureIt - on-demand без on-access?

А смысл? Сколько людей сможет этим воспользоваться?

[Николай Головко 70]

Той же CureIt или сканером BitDefender пользуются, и ничего Я, разумеется, ни на чем не настаиваю, - я излагаю свое видение этого вопроса. Лично мне не помешала бы возможность отправить файл на исполнение из контекстного меню и получить отчет о его действиях

[Dr.Golova 55]

> Ты сначала прожку поставь, посмотри, на каких базовых принципах

> она работает, как именно она работает. Так будет правильнее.

Поставил. За 20 дней пользования ниодного ивента. Видимо скромный messadgebox с надписью "can't install driver" должен означать что под 64битной системой сия поделка не работает. Тем не менее ГУЙ стартует, клянчит денег через НАГ, и далее изображает полную работоспособность и постоянную защиту (типа 0 untrusted processes).

Этично ли вселять ложную надежду и уверенность?

А может у меня руки кривые и я чего-то нетак делал?

ЗЫ: Базовые принципы понравились. Если бы они еще работали...

[Илья Рабинович 521]

А может у меня руки кривые и я чего-то нетак делал?

Угу, можно не сомневаться . На сайте же чёрным по белому написано- Win2k/XP/2003. Там есть упоминание о 64 битах? Нет. И пока Мелкософт не сделает патч для легитимной работы с ядерными перехватами (обещали в SP1 для Vista)- и не будет.

ЗЫ: Базовые принципы понравились. Если бы они еще работали...

А они очень даже работают, но только на системах, которые описаны в вписке поддерживаемых на сайте.

[Dr.Golova 55]

> На сайте же чёрным по белому написано- Win2k/XP/2003

> Там есть упоминание о 64 битах?

Запускать гуй, показывать что все замечательно в системе, и клянчить деньги через nag оно почему-то может под 64-bit :-)

Вполне можно было в гуе большими красными буквами проинформировать что основная часть защиты не рабатает, можно только смотреть список процессов и покилять те которые неумеют сопротивляться.

> И пока Мелкософт не сделает патч для легитимной работы с

> ядерными перехватами (обещали в SP1 для Vista)- и не будет.

Проактивка того-же KAV'а почему-то перкрасно работает. Наверно в LK что-то сделали не по мелкосовтовским правилам.

[Илья Рабинович 521]

Вполне можно было в гуе большими красными буквами проинформировать что основная часть защиты не рабатает, можно только смотреть список процессов и покилять те которые неумеют сопротивляться.

При запуске должно возникать сообщение о том, что драйвер не загружен. Иконда также должна быть серойю По-моему- более чем достаточно, чтобы человек (если он не полный идиот) понял, что защита не работает.

Проактивка того-же KAV'а почему-то перкрасно работает. Наверно в LK что-то сделали не по мелкосовтовским правилам.

Я пока что не видел, как именно работает KAV под x64.

[Storm 0]

Я пока что не видел, как именно работает KAV под x64.

Следить надо за конкурентами.

ЗЫ: согласен с доктором Головой. Если лень делать детект винды и показ полноценных сообщений, то хотя бы сделайте чтобы поставить программу можно было только под теми ОС, где она работает. Кстати, возник серьезный вопрос по работе программы (после её установки часть недоверенных приложений перестают видеть сеть). У Вас форум есть?

[Inkogn 0]

Storm,тот форум,где DefenseWall предлагается,на английском.Пиши здесь,и не знающие английский,типа меня,почитают.

[Storm 0]

Storm,тот форум,где DefenseWall предлагается,на английском.Пиши здесь,и не знающие английский,типа меня,почитают.

А смысл? Я просто "обратную связь" пытаюсь организовать. Помочь исправить ошибки. А здесь это оффтопиком будет.

[Илья Рабинович 521]

Следить надо за конкурентами.

А я и слежу- но только в своей нише. В чужие смотреть времени нет.

ЗЫ: согласен с доктором Головой. Если лень делать детект винды и показ полноценных сообщений, то хотя бы сделайте чтобы поставить программу можно было только под теми ОС, где она работает.

Мне не лень. Просто я не могу оттестировать этот код в случае, если я его напишу- у меня нет 64-битного железа. Могу попросить своих пользователей для беты второй версии. Я был более чем уверен, что тех информационных средств, что уже имеются в наличии, более чем достаточно.

Кстати, возник серьезный вопрос по работе программы (после её установки часть недоверенных приложений перестают видеть сеть). У Вас форум есть?

DW не контролирует сетевые соединения. Соответственно, проблема не в этом. Нужно прислать теневой лог-файл (temp_defensewall_log.log) мне в поддержку (адрес на сайте). И да, форум есть (English only).

[Dr.Golova 55]

> При запуске должно возникать сообщение о том, что драйвер не

> загружен. Иконда также должна быть серойю По-моему- более чем

> достаточно, чтобы человек (если он не полный идиот) понял, что

> защита не работает.

Вопервых, похорошему, сообщение должно возникать уже на стадии установки. Вовторых, этот скомный MassageBox при запуске с одной строчкой ошибки разглядеть сложно. Не помню точно , но помойму там вобще нет нислова про дефензвол - заголовок "error", текст - "driver not loaded". Чей дравер не загрузился, чем мне это грозит - непонятно абсолютно, учитывая что гуй работает без проблем.

А уж какого цвета должна быть нормальная иконка, я как примерная домохозяйка, первый раз поставившая продукт, могу только догадываться

> у меня нет 64-битного железа

Не стыдно такое говорить? уже полтора года как все даже бюджетные железки поддерживают 64бита, а найти чисто 32 все труднее и труднее. А потом окажется что на моей многопроцессорной домашней машине все падает в синьку потому что "нет у меня такого железа", и поэтому мы не отладили межьядерную синхронизацию в драйвере!

> DW не контролирует сетевые соединения.

Тоесть со сплоетами, которые сразу запускаются внутри браузера не дропая ничего на винт мы тоже не боремся? Действительно хорошая замена антивирусу

[Илья Рабинович 521]

Вопервых, похорошему, сообщение должно возникать уже на стадии установки. Вовторых, этот скомный MassageBox при запуске с одной строчкой ошибки разглядеть сложно. Не помню точно , но помойму там вобще нет нислова про дефензвол - заголовок "error", текст - "driver not loaded". Чей дравер не загрузился, чем мне это грозит - непонятно абсолютно, учитывая что гуй работает без проблем.

А уж какого цвета должна быть нормальная иконка, я как примерная домохозяйка, первый раз поставившая продукт, могу только догадываться

Понятно. Хорошо, поправим.

Не стыдно такое говорить? уже полтора года как все даже бюджетные железки поддерживают 64бита, а найти чисто 32 все труднее и труднее. А потом окажется что на моей многопроцессорной домашней машине все падает в синьку потому что "нет у меня такого железа", и поэтому мы не отладили межьядерную синхронизацию в драйвере!

Нет, не стыдно, поскольку нафиг не нужно. Рынок х64 микроскопический, а работы на перетаскивание драйвера на новую платформу- вагон и маленькая тележка. В данный момент времени экономически неоправдано. Плюс- проблема PatchGuard.

Да и вообще- вопрос перехода на х64 не в железе, а в софте.

Тоесть со сплоетами, которые сразу запускаются внутри браузера не дропая ничего на винт мы тоже не боремся?

Это задача для иных видов продуктов.

Действительно хорошая замена антивирусу

А она и не замена.

[Dr.Golova 55]

> Нет, не стыдно, поскольку нафиг не нужно.

В сельские школы поставляете продукт? При опросе моих знакомых 3 из 5 уже имеют 64-битную платформу. Оставшие два ее поставят "када проапгрейдю железку".

Просто это будущее на ближайшие лет 5. и так жестко отказываться от него врядли получится, особенно после выхода висты, которая на новые машины будет ставться в первую очередь имено в 64-битной конфигурации.

> А она и не замена.

>> Так, ещё раз. Для тех, кто не выспался. Для меня, Ильи Рабиновича, лично- замена, для простых пользователей- средство защиты от неизвестных антивирусам зловредов.

В целом все нормально.

Под неподдерживаемыми 64-битами кстати и ГУЙ падает, если на НАГе пару минут помассировать мышкой линки, прога падает с разрушением кучи. Есть скриншот, дампа нет, но могу сделать, падает внутрях gdi32

Просто я смотрел на НАГ, думал как кейген сдалать, а в этот момент мне на мобилу позвонили. Пока говорил, я неспеша гладил форму мышкой и все упало. Потом повторил это без без звонков =)

[Storm 0]

> В сельские школы поставляете продукт? При опросе моих знакомых 3 из 5 уже имеют 64-битную платформу.

Странные у Вас знакомые, про хипс не знают, но про 64х знают

Да, 64х - это будущее, но думаю года через 2-2.5:

1) на висту будут переходить постепенно;

2) для смены проца надо меня еще много железа, выкидывать его жалко;

3) остаются еще ноутбуки 32х, которые апгрейду не подлежат, их тоже не выкинешь;

4) надо еще копить деньги и искать привычный софт, но приспособленный к 64х.

[Dexter 20]

думал как кейген сдалать

Производственное задание или личная инициатива?

[Илья Рабинович 521]

В сельские школы поставляете продукт?

Нет, конечно! Чтобы поставлять ПО в школы нужноь имень хорошие связи в головном министерстве. У меня таких нет...

Просто это будущее на ближайшие лет 5. и так жестко отказываться от него врядли получится, особенно после выхода висты, которая на новые машины будет ставться в первую очередь имено в 64-битной конфигурации.

Ну вот через пару лет и посмотрим... А сейчас рано ещё!

> А она и не замена.

>> Так, ещё раз. Для тех, кто не выспался. Для меня, Ильи Рабиновича, лично- замена, для простых пользователей- средство защиты от неизвестных антивирусам зловредов.

Речь шла про простых домохозяек (см. свой предыдущий пост). Надеюсь, разница между технической подготовкой очевидна?

В целом все нормально.

Под неподдерживаемыми 64-битами кстати и ГУЙ падает, если на НАГе пару минут помассировать мышкой линки, прога падает с разрушением кучи. Есть скриншот, дампа нет, но могу сделать, падает внутрях gdi32

Просто я смотрел на НАГ, думал как кейген сдалать, а в этот момент мне на мобилу позвонили. Пока говорил, я неспеша гладил форму мышкой и все упало. Потом повторил это без без звонков =)

Да, известная проблема с ActiveSkin. НИчего не могу сделать- он теперь не поддерживается, а сменить скин енджин- большая головная боль, которую я себе пока позволить не могу...

[Dr.Golova 55]

> Производственное задание или личная инициатива?

Скорее просто профессиональный интерес - уже есть готовые решения.

[Илья Рабинович 521]

Скорее просто профессиональный интерес - уже есть готовые решения.

Готовое решение для взлома ECC-192? :shock:

[Storm 0]

Готовое решение для взлома ECC-192?

Это только поверхностный поиск:

[Сергей Ильин: прямая ссылка на кряк удалена, если есть желание проинформировать Илью, то лучше сделать это в личку]

А я еще в п2п не смотрел

[Илья Рабинович 521]

Это только поверхностный поиск:

1. Я не думаю, что линки на варез соответствуют правилам форума.

2. Поверхностным был не только поиск, но и исследование данного вопроса. Данный варез содержит крак, который подменяет данные для ECC + ключеделатель под эти новые данные. Это стандартный подход к "взлому" программ, для которых невозможно сделать кейген из-зи использования сильной ассиметричной криптографии.

Don't.Care.A.Fig- подавляющее большинство приведённых ликтестов предназначены для файерволов, а не для HIPS. Ну и список, конечто, не стоило передирать методом copy-past - в нём, кроме совершенно явно отсутствующего CyberHawk, приведена куча утилит типа Secure-It и Amust Defender, которые HIPS не являются вообще!

[SuperBrat 6]

1. Я не думаю, что линки на варез соответствуют правилам форума.

Явного запрета нет.

[Dr.Golova 55]

> Готовое решение для взлома ECC-192?

RSA-1024 уже ломали в домашних условиях, а уж в эллиптике лохонуца это милое дело

На мой взгляд generic патч для публичного ключа это уже решение всех проблем. Простите за нескромность.

Как говорится, если эффект одинаковый, зачем парица больше

ЗЫ: Микрософт тоже использует эллиптику в своих активациях. И как вы знаете, кривые уже подобраны (судя по количеству кейгенов), так что метод взлома зависит в первую очередь от популярности. Бугага, когда же я сдохну

[TANUKI 240]

Илья Рабинович

На Вашем сайте нашел ссылку на статью:

http://thg.ru/network/defencewall_hips/onepage.html

решены ли проблемы двух непройденных текстов? Особенно важным считаю тест на установку dll.

Сергей Ильин

А сообщение с сылками от Don't.Care.A.Fig может прикрепить как-то? Очень полезная вещь, молодец!

[Илья Рабинович 521]

Илья Рабинович

На Вашем сайте нашел ссылку на статью:

http://thg.ru/network/defencewall_hips/onepage.html

решены ли проблемы двух непройденных текстов? Особенно важным считаю тест на установку dll.

И тогда и сейчас MBR всегда защищён (точнее, нельзя модифицировать сектора напрямую). Ну а насчёт "интеграции dll в system32"- это вообще бред. Ну записал я dll в system32- и дальше что? Перезаписать существующую dll недоверенный процесс не может, а новая добавится в список на откат. Дальше что?