Перейти к содержанию
Илья Рабинович

DefenseWall от Ильи Рабиновича

Recommended Posts

TANUKI
Ну а насчёт "интеграции dll в system32"- это вообще бред. Ну записал я dll в system32- и дальше что? Перезаписать существующую dll недоверенный процесс не может, а новая добавится в список на откат. Дальше что?

Жаль, нет подобного пояснения к непройденному тесту в статье, потому что возникает сразу подобный вопрос в надежности программы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Ну, я пытался, на самом деле, но меня не поняли.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Werasy
Жаль, нет подобного пояснения к непройденному тесту в статье, потому что возникает сразу подобный вопрос в надежности программы.

План А: целостность системы недоверенные (всегда всё,что приходит извне + что добавил пользователь) изменить не могут.К "системе" здесь относится всё,что является доверенным:ОС + все пользовательские документы,фотки,видео,даты и пр.

План Б: жмём "откат" и новопоявившееся извне + его производные + производные недоверенных (- вычеркнутое из списка "отката" пользователем) стираются.Совсем.Та dll тоже и подобное с ней,а с ними и их функции,если они вообще смогли себя для этого прописать (см. план А + дополнительное,в чём я не разбираюсь).Остаётся то,что было до этого:чистая система с чистыми пользовательскими файлами,так как их недоверенные изменить не могут.

Появившаясяя в "откате" в систем32 dll вызвала б у меня подозрение.Там пишется,кто и когда из недоверенных создал эту dll.То есть,как и активная недоверенная прога так и её все следы (и в регистри).План Б стёр бы как новопоявившийся исполняемый файл,так и эту его dll (не забывать при этом план А).

Как может dll,созданная прогой Х,повлиять на прогу У?Возьмём простой пример:IE есть недоверенный,но он имеет ту же максимальную защиту,как и доверенные.Разница в данном случае только в том,что он и приходящее через него не могут "приказывать" что доверенным и их менять или стирать.Защиту от изменения там не имеют только находящиеся в списках "не имеющих защиты".Автоматом туда попадает (можно и вручную заносить и выносить) всё,приходящее извне.Если пользователь желает сохранить извне пришедший,тогда стираешь из этих списков и автоматом "это" становится защищаемым по плану А (как "свой") с вариантом,что если оставил в списках недоверенных,то не получает "он" прав на действия согласно плану А как недоверенный,а только получает полную защиту из этого плана от других недоверенных.Тонкости описать не могу,а вышеописанное,наверно,ещё и не весь костяк.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sceptic

Мэй би, пора открыть тему "платные HIPS"?

А пока её нету, вопрос Илье Рабиновичу:

в свете последних событий, все чаще поглядываю на HIPS. Будет ли русскоязычная версия вашей программы?

Куплю сразу.

Изучать ангельский мне уже поздновато. Я подозреваю какой будет ответ, поэтому скажу сразу, что не уважаю русскоговорящих авторов, пишущих программы с чужим фейсом. Хотя вам скорее всего на это наплевать...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Мэй би, пора открыть тему "платные HIPS"?

Думаю, время для этого придёт только после динамического теста.

Будет ли русскоязычная версия вашей программы?

Будет, но только после перехода на новый движок скинирования. Сейчас что-то делать со старым бесполезно- он глюкавый, постоянно падает у людей и у него нет и не будет версии под x64.

поэтому скажу сразу, что не уважаю русскоговорящих авторов, пишущих программы с чужим фейсом. Хотя вам скорее всего на это наплевать...

По результатам продаж русскоязычной версии веток 1.хх мною было принято решение о коммерческой нецелесообразности поддержки рускоязычной версии. Но в дальнейшем я планирую выпуск мультиязычных версий продукта после перехода на новый скиновый движок.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
bse
Так защита от "неизвестных", или полная "замена"?
извините, а Ваше мнение не поменялось? имхо, мнение Лаборатории склоняется ко второму - типичный случай для ее клиентов: сдерживать зловреда поведенческим блокиратором и ждать выпуска лекарства...
RSA-1024 уже ломали в домашних условиях
извините, а кроме Вас это кому-нибудь известно? имхо, Лаборатории с ее всемирными инициативами явно нет...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sceptic
Но в дальнейшем я планирую выпуск мультиязычных версий продукта после перехода на новый скиновый движок.

Илья, ещё не свершилось?

жду..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Илья, ещё не свершилось?

Нет, я ещё не получил проекта приложения с новым скиновым движком. Фрилансер обещал на этой неделе, но сроки уже переносились три раза...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
Нет, я ещё не получил проекта приложения с новым скиновым движком. Фрилансер обещал на этой неделе, но сроки уже переносились три раза...

Может старую версию сделать бесплатной, при выходе новой? ;)

Кстати, как там с новой версией дела обстоят? ^__^

И сколько будет стоить?

Если новая версия будет стоить как старая, будет поддержка x64 и с возможностями старой HIPS, то я без вопросов куплю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Может старую версию сделать бесплатной, при выходе новой? ;)

А смысл? Ну упадут у меня продажи, ну стану я совсем нищим и вынужден буду забросить проект и пойти работать наёмником. Очень будет весело, нечего сказать... Деньги мне нужны, чтобы продолжать работу над проектом, а не на оплату взятого в кредит "Хаммера". :)

Кстати, как там с новой версией дела обстоят?

Всё жду, когда мне в проект HTMLayout вкрутят. Уже четыре месяца вот прошло с тех пор, как мне обещали всё сделать за месяц. :(

И сколько будет стоить?

2.46- столько же, сколько и 2.45. В 2.50 вкручу защиту от несанкционированных сетевых подключений (outbound traffic protection), тогда цена поднимется. Но возможность купить лицензию без outbound protection (basic license) будет, мне бы самому очень не понравилось бы, если вендор начинает втюхивать комбайн с функциями, мне не нужными и брать дополнительную денежку за это.

Если новая версия будет стоить как старая, будет поддержка x64 и с возможностями старой HIPS, то я без вопросов куплю.

За поддержкой x64 нужно обращаться в Microsoft ОАО- из-за их PatchGuard ничего путного в ядре сделать нельзя. А те коллбек-функции, что они предоставляют, явно недостаточны. Всё остальное будет, и даже больше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu

хм ... вроде научились обходить, как мне понится -((

просто для меня уже несколько лет не существует 32битных систем.

Кстати.. вопрос в столовой пришел, если я скачал документ ворд из интернета и запустил в ворде, ХИПС при открытии мною этого документа будет отслеживать действия ворда(т.е. если в документе был злой макрос, то меня защитят? -)) )

p.s.

Почему ваш механизм/принцип защиты еще не купил никто из вендеров?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
хм ... вроде научились обходить, как мне понится

Ну вот, например, гипотетическая ситуация. Предположим, я научился отключать PG версий 1-3 и ставить хуки. Завтра выходит PG версии 4, на котором отключение не срабатывает. Юзверь имеет с этого дела BSOD. Виноватым будет показан мой драйвер. И мне таки надо этот головной боль? Нафиг-нафиг-нафиг.

Кстати.. вопрос в столовой пришел, если я скачал документ ворд из интернета и запустил в ворде, ХИПС при открытии мною этого документа будет отслеживать действия ворда(т.е. если в документе был злой макрос, то меня защитят?

Да.

Почему ваш механизм/принцип защиты еще не купил никто из вендеров?

Потому что они тупые?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Потому что они тупые?

А может потому что этот механизм/принцип защиты - гавно?

Может стоит сначала думать, а потом говорить? А не злиться из-за того, что никто не покупает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
Ну вот, например, гипотетическая ситуация. Предположим, я научился отключать PG версий 1-3 и ставить хуки. Завтра выходит PG версии 4, на котором отключение не срабатывает. Юзверь имеет с этого дела BSOD. Виноватым будет показан мой драйвер. И мне таки надо этот головной боль? Нафиг-нафиг-нафиг.

А если прописать в лицензии, (бла-бла-бла ... для x64 за бсод не несу) и написать большими буквами на сайте, что перед обновлением windows делать точку восстановления?

Простос сейчас уже даже начинают предусанавливать 64х битные ОС. И постепенно все больше и больше пользователей будут работать в "хорошей" битности -))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
А если прописать в лицензии, (бла-бла-бла ... для x64 за бсод не несу) и написать большими буквами на сайте, что перед обновлением windows делать точку восстановления?

А что, кто-то эту лицензию читает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
А что, кто-то эту лицензию читает?

но на сайте большими буквами прочитают. Я например ЗА использовать на таких условиях. И ждать с обновлением win, пока не обновится HIPS, поддерживающий обход нового PG -))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
А не злиться из-за того, что никто не покупает.

Сделай для начала что-нибудь своё, а потом посмотрим, как у тебя это будут покупать.

но на сайте большими буквами прочитают.

Прочитают и забудут. Поверь мне- это не выход.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu

хм ... т.е. вы предпочитаете, просто забыть о растущем рынке? -((

жаль, ведь я больше не собираюсь возвращаться на 32х битные системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
хм ... т.е. вы предпочитаете, просто забыть о растущем рынке? -((

Слухи о его росте сильно преувеличены. Пока что массовой миграции не наблюдается. В любом случае, пока я не пойму, как мне работать с x64 так, как мне надо для обеспечения настоящей безопасности своим пользователям, ничего не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Сделай для начала что-нибудь своё, а потом посмотрим, как у тебя это будут покупать.

Илья, выпячивать что это твое детище не вижу смысла.

Можно сделать много чего своего, но если не обладать дополнительными навыками рекламиста/пиарщика/продажника, то нечего и лезть.

Лучше нанять стоящих людей, которые в этом понимают больше. Не в обиду :)

Ну, а как бы хуки в SSDT поставить и правила написать - много ума не надо. Это к вопросу о тупых вендорах.

P.S. Насчет x64 согласен. Пока там есть PG, то ловить особо нечего. Колбэки и нотифаи - отстой. Разве что фильтр-драйвер фс, да реестр, ну и по-мелочи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Илья, выпячивать что это твое детище не вижу смысла.

Хорошо. Объясняю ещё раз. Я очень не люблю, когда различные "теоретики", никогда не имевшие опыта своего собственного дела, начинают учить меня как мне вести мой бизнес. Для начала, сделай что-то нужное и важное другим людям и попробуй это продавать. Посмотрим, как оно получится и какой опыт ты из этого предприятия вынесешь.

Можно сделать много чего своего, но если не обладать дополнительными навыками рекламиста/пиарщика/продажника, то нечего и лезть.

Напоминает мне отмазы Олега Рагозина в соседней ветке. Практически слово в слово. Может, я не открою Америку, но ты знаешь, любые навыки приходят с практикой. Ты ведь программировать не в утробе матери научился, не так ли? :D Или, может, пиарщиками рождаются? :lol:

Ну, а как бы хуки в SSDT поставить и правила написать - много ума не надо. Это к вопросу о тупых вендорах.

Ню-ню. Очередное теоретизирование на тему. Я тоже так думал, когда начинал проект DefenseWall. Я ошибался. Очень сильно ошибался.

Кстати, не все вендоры тупые. Есть и умные, но небогатые. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww

Ясно все с тобой Илья, не зря тебя EP_X0FF&Co чморили на SysInternals. Считаю дискуссию оконченной :)

"Свое дело", "я самый умный - все остальные идиоты", "попробуй продай". Мда-с...

Как будто я драйверов не писал :) Удачи тебе в твоем нелегком деле.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

@ Илья Рабинович

На wilderssecurity вы говорите:

"Adobe Clipboard Hijack" is about Adobe Flash security model problem. No HIPS can protect against it.

Теперь Adobe это пофиксила, если не ошибаюсь. Мне было бы интересно узнать вам известные подобные механизмы, против которых HIPS НЕ МОЖЕТ защищать. Спасибо.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Пока что, вроде больше я о таком не знаю. Но, с точки зрения практики, от нелигитимных действий, крайне похожих на легитимные, защитить или невозможно, или чрезвычайно сложно.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Пока что, вроде больше я о таком не знаю. Но, с точки зрения практики, от нелигитимных действий, крайне похожих на легитимные, защитить или невозможно, или чрезвычайно сложно.

Дабы не засорять другие топики, где ваша программа тоже обсуждалась: у вас на сайте надо бы либо исправить либо убрать ссылку на

Comparative test by Tech Support Alert (highest protection level) (ранее _http://www.techsupportalert.com/security_HIPS.htm). Ссылка не работает из-за того, что сайт переехал. Просто жалко, так как это как раз первая ссылка. Нехорошо смотрится. Я пытался искать результаты этого теста, но похоже, что там теперь только бесплатные продукты продвигают. Поэтому не совсем офф-топ получился. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×