Программа предназначена для защиты от эксплойтов (атак на уязвимости компонентов операционной системы, либо прикладного программного обеспечения) различной природы. Многоуровневая система защиты Anti-Cracker Shield предохранит Вас:

от всех видов атак ("ret","call esp/jump esp","return-to-libc" etc ...) на локальную память (стек) исполняемого потока (логических действий программ Вашего компьютера),

от всех видов атак на переполнение программной кучи (области локальной памяти процесса). Также Anti-Cracker Shield не позволит эксплойт-червям (саморазмножающимся программам-паразитам типа Code Red, Slammer, LoveSun и Sasser, не заражающим другое программное обеспечение)
атаковать компьютер,
использовать Ваш компьютер для собственного размножения.

Использование Anti-Cracker Shield для защиты Вашей сети позволяет устанавливать "заплаты" (более свежие версии программ), латающие уязвимости на серверах и рабочих станциях в сети без авральной спешки. Это происходит потому, что компьютеры с установленным Anti-Cracker Shield не могут быть взломаны, и на каждом их них без ущерба для безопасности сети можно провести тестирование заплат на предмет корректности.

Программа предназначена для установки и совместного использования вместе с антивирусами и сетевыми экранами (файерволами
Программа Anti-Cracker Shield предназначена для защиты как обычных компьютеров, так и серверов. Для защиты обычных компьютеров используется стандартная версия программы, а для защиты серверов - версия "SERVER EDITION".

Различия между версиями:

Стандартная версия работает на уровне защиты "Высокий", защищаются все приложения.

Серверная версия работает на уровне защиты "Низкий", защищаются только те приложения, которые выбирает системный администратор. Выбранные системным администратором приложения имеют "по умолчанию" уровень защиты "Ультра". Таким образом, Вы можете защитить свой Веб-Сервер (IIS, Apache и так далее) без всяких проблем.
Нашел интересную программу. www.softsphere.com - сайт компании SoftSphere Technologies

Программа может и хорошая, но нет trial версии, для работы программа требует регистрационные данные, которые можно получить только при покупке прграммы. 40$ за неизвестно что, какая-то странная маркетинговая политика

Наши, что ли? ТАК можно перевести только с русского, украинского и белорусского. Теоретически возможен и польский, но поляки люди гордые, национальность и гражданство не скрывают, даже подчёркивают. Да и украинцы сейчас не стали бы маскироваться.

Программа может и хорошая, но нет trial версии, для работы программа требует регистрационные данные, которые можно получить только при покупке прграммы. 40$ за неизвестно что, какая-то странная маркетинговая политика

А нажать в инсталляторе кнопочку Next не пытался? Там полноценный триал 30-дневный триал. Ладно, специально для тебя уберу из программы этоу форму.А то, как я вижу, путаются люди...

2 pig.
А ты таки правильно догадался. Ну, как мог....

А нажать в инсталляторе кнопочку Next не пытался? Там полноценный триал 30-дневный триал. Ладно, специально для тебя уберу из программы этоу форму.А то, как я вижу, путаются люди...


Формачку лучше оставить, но если регистрационные данные не введены, то кнопку Next переименовывать в Trial, а если введены то Next и оставить.

Очень хорошая программа, даже слишком для моей системы оказалась:
1. Сразу после перезагрузки обнаружила переполнение в ADInf, заблокировала что-то в результате сканер обнаружил что у меня удалены 148000 файлов.
2. Outpost 2.5 выдал report об ошибке с длинным длинным dump-ом и завис.
3. И тут наконец загрузился монитор антиивруса и тут началось..., кто ставил DrWeb и AVP меня поймут

Пришлось в безопасный режим уходить и убирать программу. Я что-то не так сделал?

1. Сразу после перезагрузки обнаружила переполнение в ADInf, заблокировала что-то в результате сканер обнаружил что у меня удалены 148000 файлов.
2. Outpost 2.5 выдал report об ошибке с длинным длинным dump-ом и завис.
3. И тут наконец загрузился монитор антиивруса и тут началось..., кто ставил DrWeb и AVP меня поймут

Пришлось в безопасный режим уходить и убирать программу. Я что-то не так сделал?


1. ADinf- старая программа. Вполне может быть, что она делает что-то не правильно. Я её посмотрю. Кроме того, её запросто можно ставить на уровень "low"- всё должно работать как и прежде.

2. Outpost, Насколько я знаю, защищён AsProtect. Если его версия меньше 1.32- всё должно быть плохо.

3. А что это за антивирус интересный такой? У меня стоит последний DrWeb - всё путём.

C AdInf справился.
Outpost стоит версии 2.5.370.4626 и при запуске вылетает окно с отправкой сообщения об ошибке, которое тут же "зависает". Насчет антивируса погорячился, это outpost вместе с собой Explorer иногда утягивает. С антивирусом живет в мире и согласии (VBA).

1. Скажи мне название процесса у ADinf, я его сразу буду автоматом выставлять на "low", чтобы больше никто не парился.

2. Посмотрел я на Outpost. К сожалению, у них либа opst_ui.dll запакована старым AsProtect, а он с моей прогой не дружит. Ничего не могу сделать со своей стороны- так его написал Солодовников. В версии 1.32 он клятвенно мне пообещал совместимость. Поэтому нужно, чтобы господа из Агнитум перепаковались с AsProtect 1.32. Тогда всё будет в норме. Либо снимать с либы AsProtect вручную.

3. Посмотрел я тут поделку от Каспера 5.0. Это что-то с чем-то! Они вставляют в kernel32.dll джамп на свой драйвер, располагающийся по адресам 0xB0XXXXXX! Прямо из третьего кольца! В обход всей подсистемы безопасности NT! Я фигею!

1. Скажи мне название процесса у ADinf, я его сразу буду автоматом выставлять на "low", чтобы больше никто не парился.


Насколько я помню рандомальное имя.

Насколько я помню рандомальное имя.

Очень может быть, у меня ошибку вызывает TQXVYSOE.exe

Очень может быть, у меня ошибку вызывает TQXVYSOE.exe

Понял. Буду разговаривать с Диалог-Наукой- скажу, чтобы поправились.

Очень может быть, у меня ошибку вызывает TQXVYSOE.exe

Кстати, скачал и посмотрел ADinf. У меня работает нормально. У тебя какая ОС?

Windows XP SP2 Rus, срабатывает при начале осмотра диска, у них в программе есть несколько "неуловимых" багов, вызывающих остановку программы с сообщением "Повреждение файловой системы", может реагирует на них?

Windows XP SP2 Rus, срабатывает при начале осмотра диска, у них в программе есть несколько "неуловимых" багов, вызывающих остановку программы с сообщением "Повреждение файловой системы", может реагирует на них?

Разобрался я с ADinf. В общем, ситуация такая. Там количество запускаемых при сканировании потоков зависит от количества лог. дисков. Каждый поток занимает под свой стек 16 метров памяти (вместо стандартного метра). В результате, если на машине с одним диском мы имеем 6 потоков и (6*16=96 метров защищённой памяти), то на 6 лог. дисков имеем 10 потоков (10*16=160 метров защищённой памяти), а лимит по умолчанию- 128 метров. Вот мы и имеем срабатывание по исчерпанию защищённой памяти. Соответственно, реальное решение- установка процесса на уровень "low".

А имя там действительно рандомное.

Спасибо, так и сделал, а программа действительно хорошая, будем ждать перепаковку Outpost.

Outpost 2.5.375.374 (http://dl2.agnitum.com/OutpostProInstall.exe)

Outpost 2.5.375.374 (http://dl2.agnitum.com/OutpostProInstall.exe)

azza, спасибо. С новой версией конфликтов не возникает, продолжаю тестирование. Где моя VS?

Поднимает тревогу при запуске ReGet Deluxe 4.1 (build 242), перенес программу в Low - все нормально.
Вот лог.

=========Start of the attack log============

01.12.2005 20:48:02

Anti-Cracker Shield v1.31

Process
C:\Program Files\ReGetDx\regetdx.exe
version 4,1,0,242
(module base 00500000)

was under attack at module
<Not available>
(module base <Not available>)

by address <Not available>
with "SEH corruption" attack type

Module at eip is
<Not available>
(module base <Not available>)

OS version:5.1, build 2600,Service Pack 2

Process registers:

EAX=00000000, EBX=011B0000,

ECX=77CFF038, EDX=00000000

ESI=011D0000, EDI=77CFF040,

ESP=77CFF014, EBP=77CFF040

EFLAGS=00010246, EIP=011E05CC

CS=001B, DS=0023,

ES=0023, SS=0023


Dump of the exploit:



=========End of the attack log=============

Outpost 2.5.375.374 тоже поднимает тревогу в Medium режиме, в Low все тихо.

=========Start of the attack log============

01.12.2005 21:04:34

Anti-Cracker Shield v1.40

Process
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
version 2.5
(module base 00400000)

was under attack at module
<Not available>
(module base <Not available>)

by address <Not available>
with "SEH corruption" attack type

Module at eip is
<Not available>
(module base <Not available>)

OS version:5.1, build 2600,Service Pack 2

Process registers:

EAX=040F5C9D, EBX=041A465C,

ECX=00000000, EDX=032A5C08

ESI=041103BC, EDI=041209D8,

ESP=77D3E9F0, EBP=77D3EA60

EFLAGS=00010217, EIP=032A8AFB

CS=001B, DS=0023,

ES=0023, SS=0023


Dump of the exploit:



=========End of the attack log=============

P.S. Dump - это возможность "на вырост" или нужно как-то настроить программу для сохранения дампов?

Outpost 2.5.375.374 тоже поднимает тревогу в Medium режиме, в Low все тихо.

P.S. Dump - это возможность "на вырост" или нужно как-то настроить программу для сохранения дампов?


1. Проверка цепочки SEH производится ТОЛЬКО в режиме High. В принципе, это всё из-за AsProtect. Вчера посидел вечерок и приделал распознаватель AsProtect к программе. В следующей версии ACS(думаю, это будет 1.45) всё будет в норме и с Outpost, и с ReGet.

2. Дело в том, что не всегда возможно снять дамп с эксплойта. Это вполне реально при атаке на стек, но очень затруднительно при хиповых эксплойтах. Соответственно, программа иногда имеет возможность снять и тотбразить дамп эксплойта, а иногда- нет. И, как ты понимаешь, это не главная чель программы. Главное- чтобы эксплойт НИКОГДА не получил управления на себя.

На странице программы написано, что текущая версия 1.45, а ссылка для скачивания указывает на 1.40.

На странице программы написано, что текущая версия 1.45, а ссылка для скачивания указывает на 1.40.

Ты понимаешь, получилась дурацкая ситуация. Я успел залить инсталляторы и часть страничек на сайт, после чего деньги за Инет кончились и меня отрубило. Соответственно, я не успел залить часть страниц и переписать трансляционный файл для скрипта загрузки. Сейчас всё доделал. Можно скачивать.

Программа перехватила очередную атаку и закрыла Explorer ;).
Вот лог.

=========Start of the attack log============

01.21.2005 19:02:23

Anti-Cracker Shield v1.45

Process
C:\WINDOWS\Explorer.EXE
version 6.00.2900.2180
(module base 01000000)

was under attack at module
<Not available>
(module base <Not available>)

by address <Not available>
with "dinamic heap overflow" attack type(free)

Module at eip is
<Not available>
(module base <Not available>)

OS version:5.1, build 2600,Service Pack 2

Process registers:

EAX=00000000, EBX=00000000,

ECX=00000000, EDX=065E0608

ESI=0170FD08, EDI=065E0000,

ESP=77F3EAF4, EBP=77F3EBB0

EFLAGS=00010203, EIP=273BAE22

CS=001B, DS=0023,

ES=0023, SS=0023


Dump of the exploit:



=========End of the attack log=============

В связи со всем этим, появилась идея, может добавить запрос к пользователю с описанием атаки перед блокированием программы, а то последствия блокировки могут случаться разные, у меня, например, Word заблокировало при очередной "Недопустимой операции".

Программа перехватила очередную атаку и закрыла Explorer ;).

В связи со всем этим, появилась идея, может добавить запрос к пользователю с описанием атаки перед блокированием программы, а то последствия блокировки могут случаться разные, у меня, например, Word заблокировало при очередной "Недопустимой операции".


Проблема с Explorer, скорее всего, была вызвана ошибкой в 1.45, которая была мною исправлена. Сейчас на сайте лежит исправленная версия 1.45.

Архитектура программы такова, что на некоторые вещи такую вещь прикрутить можно, а на некоторые- нет.

Тут ещё такая вещь, что Ворд пока лучше ставить на уровень "low", поскольку там есть вызовы обработчиков оконных сообщений, которые размещены в стеке. Я как могу это всё эмулирую, но, как на днях выяснилось, не до конца. Могут быть недопустимые операции при выходе из Ворда. Я сейчас копаю в этом направлении, но это может быть долгой историей (к сожалению), поскольку без исходников программы тяжело понять, что именно она делает так, что у меня оно работает не так, как надо.