тест для стены
 

вот тут
есть прога pcaudit - попробовал её запустить, и .. караул, ЗонАларм не удержал ничего.
Какие будут мнения, какая стена с ней справляеися?

A chto, on doljen? Znaesh, eto wse na stolko subjektiwno.

да, нет, тут вроде объективно.
Эта прога использует "чужие" dll's для доступа в интернет, то есть она меняет их и таким образом
обманывает стенку, выходя в инет под видом того-же броузера, отглюга, ворда и т.д.
Выглядит очень наглядно, когда потом тебе показывают на ихнем сайте твой десктоп и логи напечатанного в ворде. :confused:

Если в Norton Internet Security или в Seagate Pers. FW поставить соответствующий крыжик - типа "Следить кто через кого выходит в И-нет", то эта ситуация обнаруживается, но неявно, т.е. стенка вдруг начинает спрашивать: А вот эту программу пустим с таким-то набором dll? На первый взгляд все DLL валидные. Но без приложения рук ни о какой безопасности и речи быть не может.
Кстати, мораль: проще не допустить на комп заразу, чем защититься от последствий.

YK
Эту прогу уже обсуждали в разделе про Аутпост несколько недель назад!

а, сорри, не видел.
Спасибо, посмотрю.

а как настроить zone zlarm 4.5. 538.001 , чтоб энта прога не видела меня. кто знает

как это, чтоб не видела тебя - не пронятно о чем ты говоришь?

Daa, a zadumka kruta ;-).

М-мдя ... впечатляет ... :blin:
У мня отправлял данные (судя по журналу Оутпоста) через IE, TotalCommander и &RQ ... причем я сижу за прокси-сервером, прямого инета нету ... :confused:

Дыры в файрволлах
 

Где-то прочёл о проге PCAudit. Опробовал ее с последним Оутпостом - так тот даже не пискнул... Интересно как будет с другими стенками...

Была такая тема, объединил

К сожалению это общая болезнь всех виндов. Не забывайте что вы САМИ запустили программу.
В этом случае она выполняется с проавами запустившего ее человека и делает все что имеет право делать пользователь включая копирование экрана и передачу этой информации. В данном случае ни какая стенка не поможет. Данную систему передачи используют некоторые вирусы. Вот с ними как раз и надо бороться. Глобально защетьться можно только отключив компьютер от сети.:mad: :mad: :mad:

Крутая прога, мой kerio его спокойно пустил, правдо explorer.exe Блокировал, а остальное нет. А исходники к неё не дают, а то можно классные тряны писать.

хм, это как?
я запускаю прогу которая имеет права запустившего ее пользователя, и которая пытается потушить файр, а у файра то права system

Alexs-B
Прости, но ты не прав. Файерволу должно быть абсолютно по барабану, с какими правами выполняется прога, главное чтобы
1. Ее код соответствовал запомненному
2. Она, протокол и ее порты были в списке разрешены

У меня Norton Personal Firewall 2001 2.5. После запуска pcaudit комп просто повис - через 4 минуты - я так понимаю, что инфа никуда не ушла?
На всякий случай - не забудьте потом удалить файлы, которые остаются после pcaudit:
Новые файлы:
1. C:\Windows\System\aavifile.dll
Длина: 36864, дата: 6 апр 2004 г., время: 2:49:58
2. C:\Temp\res33436.tmp
Длина: 33606, дата: 6 апр 2004 г., время: 2:52:04

это чо админы мои посты правят? или баги какие-то
я вроде к Alexs-B обращался, и это он сказал а не Twinsen

Извини, а кто мешает программе запущенной с правами администратора подменять DLL, выгрузить или остановить фаервол, прерзагрузить компьютер или отформатировать веник? Сколько времени понадобится программисту определить какой из 20-30 наиболее распространенных фаерволов загружен и подпровить его конфиг?

Alexs-B
На нормальном файерволе есть пароль - без него файервол не выгружается. Все остальное - а кто сказал, что надо заходить под правами админа?

Для того что бы задавить - парольне нужен. Даже не имея прав админа.
В данном случае выполняется маскировка под другие программы, используются вызовы функуий стандартных DLL, которым 99.9% на фаерволе все разрешено (наиболее часто используемых). Допустим у меня данная система ничего не покажет, зотя на компе и не установленно фервола. В http://imho.ws/showthread.php?s=&threadid=55670 я писал как с такими вещами бороться.
Правда это и всамом деле параноя, и нужна она только в случае наивысшего требования безопасности.
А так все что могу порекомендовать - юзайте нормальные антивирусы, и будет вам счастье.

Alexs-B
Выгрузить и задавить - разные вещи. Выгрузить без пароля невозможно (я не говорю про оутпост). Задавить тоже, многие файерволы не выпускают pcaudit.
Антивирусники не панацея - а как вообще код вируса попадает в антивирусные компании? Сколько компьютеров по всему миру уже заражены, когда выходит апдейт для антвирусника?

Пример в студию
Смотря в какую.
Многие антивирусы реагируют не только на голый код, а на действие пограммы независимо от кода.
Например Тренд давит программы типа Cain за попытку снуфирения сети. Не удивлюсь если через пару патернов и РСaudit будет распознаваться как вирус.

Outpost mozno zama4it i bez parola :))) on ne soprotivlaetsa a ZoneAlarm i Sygate ne zamo4it nikak.... 4to s parolem oni 4to bez...

Добавлено через 6 минут:
Alexs-B
многие файерволы не выпускают pcaudit.
--------------------------------------------------------------------------------


Пример в студию

ZoneAlarm Pro

Alexs-B

Пример в студию

EZ, Kerio, Look 'n' Stop, McAfee, Outpost... (c) PC Flank
Причем я точно зню, что от настройки тоже зависит, пройдет враг или нет :)

Провел небольшой эксперимент. Поставил сквид на соляру с самбой. Авторизация через AD. Как не странно но PCAudit не проходит ни в каком виде ни с одной машины. Как я понял у него проблемы с авторизацией возникают (в этом ражиме каждый пакет маркируется).

Разберусь какие - отпишу.:cool:

Покопался более детально, всамом деле пакеты не походят из за отсутствия авторизации.

а теперь по-русски, пожалуйста, эт что такое?

Сквид - прокси сервер такой.
Соляра - Solaris операционка от SUN (UNIX)
SAMBA - Свободно распространяемый пакет для связи систем Windows и UNIX. Позволяет даже эмулировать домен контролер и получать информацию из AD.

Подобные сцепки очень удобно применять как раз для проксиков конторы где компы под виндой и нужен производительный прокси.

У меня Outpost 2.1 pcaudit отлавливает
 

:rolleyes: Сначала тоже не прошел тест, но потом удалил все правила нафиг и создал всё вручную - как результат успешный тест PCAudit!

Alexs-B>
У тебя SQUID через Самбу авторизовал юзеров на выход?

Reindeer
А в это время бежали програмки которыми ты обычно в интернет выходишь? Если нет, то так не считается :)

Да. Именно так.
При этом тдя теста запустил все чтот только можено.

Тогда кредишиансы от юзера должны быть одни и те же - что для браузера, что для пакетов от трояна. Или все-таки юзеры набирают пароль для прохода в и-нет?

Нет, ничего не набирают, честно говоря сам удивлен. Возможно причина как раз в том что UNIX в отличии от винды понимает регистр в котором прописан домен, а софтина долбит в одном. (она же виндовая) :)

а что такое explorer.exe? правда у меня написано иначе Explorer.EXE в таск менеджере :рупор:

Mitri4, explorer.exe - это сама оболочка виндоуса пуск, панель задачь, рабочий стол и т.д.

все проги были запущены
 

все было в нормальном режиме

Tiny Personal Firewall с включённым модулем Windows Secutiy
засекает все действия проги... и когда она пытается создать dll
тут же тебя предупреждает.. есессно для тэтста я разрешаю..
а иначе бы Deny и пипец ;)
А вообще смешно.. со времён "чернобыля" я 10 раз подумаю прежде чем
запустить какой то файл.
На самом деле это не плохой рекламный трюк... там если дальше читать FAQ
то есессно есть вопрос: А как же быть,как же за@#$титься?
Ну и тут на помощь приходит их продукт :)

Да вещь прикольная. Особенно начало мне понравилось, как в Винде прям: "откиньтесь на спинку кресла и наслаждайтесь как отдыхают ваши антивирус (кстати причём здесь он?), корпоративный и персональный файрволы. Далее ломится по списку допущеных (стандартных программ, через оперу кстати не пробовал -странно): аська, браузер и т.д. везде ему нет. Но последняя строчка явно написана нашими: "хотите посмотреть отчёт?" :ржать: и что вы думаете грузится? Блокнот - нет. Браузер, который опять пытается что-то отправить. Тестировал на Kerio (первый раз лопухнулся на отчёте, второй всё ОК).

amnon10
А вообще смешно.. со времён "чернобыля" я 10 раз подумаю прежде чем
запустить какой то файл.

Так ведь утилитка проверяет только часть защиты. Не обязательно запускать что-то ручками, иногда может и "само"