PDA

Просмотр полной версии : Обход защиты во многих фаерволах (protection bypass)



drongo
29.10.2004, 13:49
Опубликовано: 28 октября 2004 г.
Источник: 3APA3A
Тип: клиент
Опасность: 5
Описание: Существует практически неограниченное количество способов обойти защиту клиентского ПО.
Затронутые продукты:
CHECKPOINT:VPN-1 R55
MICROSOFT:Windows XP
AGNITUM:Outpost Pro 2.5
ZONELABS:ZoneAlarm Pro 4.5
KERIO:Kerio Personal Firewall 4.0
CHECKPOINT:FireWall-1 R55
AGNITUM:Outpost Pro 2.1
TINY:Tiny Firewall Pro 6.0
ISS:BlackICE PC Protection 3.6
WRQ:ATGuard 3.2
Оригинальный текст: 3APA3A, Presentation: Bypassing client application protection techniques with notepad
Дополнительные файлы: Bypassing client application protection techniques (http://www.security.nnov.ru/advisories/bypassing.asp)

источник: www.security.nnov.ru
по моему , если бы браузеры не были такими дырявыми , этого можно было избежать .

Geser
29.10.2004, 14:04
Мда, весёленькая статья :) Вселяет оптимизм :)))

Geser
29.10.2004, 15:04
Кстати, они там приводят скриптик который обходит защиту. Сейчас у меня стоит SurfinGuard (http://virusinfo.info/index.php?board=28;action=display;threadid=170), так он скриптик этот тут же прибил :)

drongo
29.10.2004, 17:14
можно использовать АналогХ (http://virusinfo.info/index.php?board=25;action=display;threadid=186&start=0) , от файлов с расширением COM (описано в статье)
в отличии от surfin guard , не грузит и не занимает памяти :)

Geser
29.10.2004, 17:18
можно использовать АналогХ (http://virusinfo.info/index.php?board=25;action=display;threadid=186&start=0) , от файлов с расширением COM (описано в статье)
в отличии от surfin guard , не грузит и не занимает памяти :)

Он же будет предупреждать обо всех скриптах, а они на половине сайтов понатыканы. Замучаешся разрешать или запрещать.

drongo
29.10.2004, 17:48
Он же будет предупреждать обо всех скриптах, а они на половине сайтов понатыканы. Замучаешся разрешать или запрещать.


у меня по умолчанию запрещены скрипты в браузере , легко и быстро :)

Geser
29.10.2004, 17:58
у меня по умолчанию запрещены скрипты в браузере , легко и быстро :)

Неудобно. Многие сайты будут криво работать. Скрипты можно и так запретить в браузере.

Участковый
29.10.2004, 20:30
В статье приводятся «Сценарий выгрузки Outpost» и «Сценарий переключения Outpost в "мягкий" режим». Для какой версии это справедливо? Вроде бы Outpost 2.5 даже после выгрузки из памяти блокирует все соединения, и это является одним из главных преимуществ данной версии.

Geser
29.10.2004, 21:17
В статье приводятся «Сценарий выгрузки Outpost» и «Сценарий переключения Outpost в "мягкий" режим». Для какой версии это справедливо? Вроде бы Outpost 2.5 даже после выгрузки из памяти блокирует все соединения, и это является одним из главных преимуществ данной версии.

Выгрузка действительно не поможет для версии 2.5. А вот добавление правила разрешающего весь трафик сработает и для новой версии.

maXmo
29.10.2004, 22:53
мда, ActiveX - великая вещь. Эти SendKeys что, в натуре эмуляция взаимодействия с пользователем?

Geser
29.10.2004, 22:57
мда, ActiveX - великая вещь.

Просто создатели Винды верили в людей. Думали они будут использовать крутейшие возможности для хороших дел, а не для хака ;D

maXmo
29.10.2004, 23:06
помнишь мой скриптик для получения путей в формате 8.3? Скриптик. С гуями! Работает на мощнейшей платформе mshtml. Хотя даже я не знаю, не что способен WMI, могу в скрипте шариться по реестру, по файловой системе, в MulDope, кажется, вычитал, что через ADO можно получить бинарный доступ к файлу.

Geser
29.10.2004, 23:10
помнишь мой скриптик для получения путей в формате 8.3? Скриптик. С гуями! Работает на мощнейшей платформе mshtml. Хотя даже я не знаю, не что способен WMI, могу в скрипте шариться по реестру, по файловой системе, в MulDope, кажется, вычитал, что через ADO можно получить бинарный доступ к файлу.

не хватает инструмента который позволит дать каждой апликации возможность работать только с определёнными папками на диске. Так можно было бы избежать многих проблем.

maXmo
29.10.2004, 23:19
нее, забываешь аксиому, что троян умеет всё, что умеет клиентская программа. Если ие имеет доступ к кукам, то через него...

Geser
29.10.2004, 23:22
нее, забываешь аксиому, что троян умеет всё, что умеет клиентская программа. Если ие имеет доступ к кукам, то через него...

90% троянов давольно левые, и ничего сложного делать не умеют.

maXmo
29.10.2004, 23:25
ленятся вирусописаки, да, собсно, и этого хватает за глаза.

Geser
29.10.2004, 23:27
ленятся вирусописаки, да, собсно, и этого хватает за глаза.

Правильно. Для Линукса и Юникса тоже трояны есть, но поменьше. Написать посложнее :)

Geser
31.10.2004, 15:08
В статье приводятся «Сценарий выгрузки Outpost» и «Сценарий переключения Outpost в "мягкий" режим». Для какой версии это справедливо? Вроде бы Outpost 2.5 даже после выгрузки из памяти блокирует все соединения, и это является одним из главных преимуществ данной версии.

Кстати, установка пароля должна предотвратить добавление правил из скриптов.

drongo
31.10.2004, 21:17
Кстати, установка пароля должна предотвратить добавление правил из скриптов.

предотвращает или нет? где то читал , что пароль у аутопоста обходиться с помощю махинаций с INI файлами ...