Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
В бесплатной версии нет антикейлоггера, майл\веб гуардов и части некритичных настроек. Не нашел контроля компонентов (расширенного контроля приложений).
Попытка посмотреть перехваты с помощью AVZ (с avzpm):
1. Поиск RootKit и программ, перехватывающих функции API
>> Опасно ! Обнаружена маскировка процессов
1.1 Поиск перехватчиков API, работающих в UserMode
Не найдена таблица экспорта. Поверка остановлена
Не найдена таблица экспорта. Поверка остановлена
Не найдена таблица экспорта. Поверка остановлена
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка в работе антируткита [Access violation at address 00403D14 in module 'avz.exe'. Read of address 00058F60], шаг [14]
2. Проверка памяти
Количество найденных процессов: 24
Количество загруженных модулей: 248
Подозрительно: c:\windows\system32\ntdll.dll - заблокирован доступ к файлу
Подозрительно: c:\windows\system32\user32.dll - заблокирован доступ к файлу
Подозрительно: c:\windows\system32\kernel32.dll - заблокирован доступ к файлу
Интересно было бы посмотреть тесты для фильтрации пакетов
Кстати сентябрьские многочисленные уязвимости перехвата функций во многих антивирусах/брандмауэрах, в том числе и Online Armor Personal Firewall 2.0 http://securityvulns.ru/news/Firewals/SSDT.html
Еще нашел отзывы на руборде:
" Потестил вчера OnlineArmor_Setup_AV-Plus_Trial.exe 2,1,0,11 - впечатления приятные - порадовало что индустрия HIPS набирает обороты
из замеченых минусов:
- без онлайн регистрации прога не работает
- тупит иногда по страшному - добавлял правило для punto switcher - так виртуалка у меня на пару минут подвисла
- подменил explorer.exe - даже не пикнул
- встроеный касперский в триал режиме у меня работать не захотел
При попытке запустить ворд 2003 один из модулей сабжа начал грузить процессор на 100%. Значит, все же проблемы имеются."
Последний раз редактировалось SDA; 11.11.2007 в 20:40.
из замеченых минусов:
- без онлайн регистрации прога не работает
- тупит иногда по страшному - добавлял правило для punto switcher - так виртуалка у меня на пару минут подвисла
- подменил explorer.exe - даже не пикнул
- встроеный касперский в триал режиме у меня работать не захотел
При попытке запустить ворд 2003 один из модулей сабжа начал грузить процессор на 100%. Значит, все же проблемы имеются."
Хм... Значит, из бесплатных версий альтернативы Комодо таки пока нет
Интересно было бы посмотреть тесты для фильтрации пакетов
Не плохой, но: У меня в Комодо на пакетном уровне такие правила:
TCPOut: разрешить ВСЕ (конечно, на уровне приложений есть уточнение что и куда) UDPOut: разрешить только по 2 DNS-адресам моего провайдера удалённый порт 53 Блокировать ВСЕ IP туда, сюда.
Такое в Armor нельзя делать. Также нельзя блокировать отдельные адреса. P.S.: При удалении он оставляет по крайне мере 2 скрытых драйвера!!! Paul
брр, поставил соседу эту штуку.
Для новичка в принципе сойдёт, но багов довольно прилично
Нашёл несколько критичных багов, как обход начисто файрвола. Никаких алертов, а приложение выходит в интернет (авто-пропуск доверенных запрещён.)
Также довольно глючно работает веб-антивирусами.
Стоит KAV 7, HIPS там примитивный жутко и совместно с KAV глючный, вырубил (выключается только после перезагрузки %))
Как сказал p2u - пакетный уровень тоже примитивен, нельзя составлять гибкие правила.
С лупбаком тоже траблы, по заявлениям разработчиков их нет в платных версиях.
А я все таки перешел на Online Armour Firewall с Comodo 2.4 надоели вечные вопросы, да еще периодически окошко что в комоде обнаружена ошибка и приложение будет закрыто. Правда при этом Comodo не закрывается, но это нервирует. Кстати переустановка фаервола не помогает, все равно рано или поздно опять выскакивает это окошко. 3ю верию комодо не могу настроить из за незнания английского. А вот Online Armour Firewall то что надо. Очень он мне понравился. Примерно два дня я ему давал разрешения на запуск программ и для выхода в интернет и теперь работает как часы. Кстати у меня версия Online Armor Personal Firewall 2.1.0.119
А вот и тест где упоминается как раз эта версия: http://www.matousec.com/projects/fir...ge/results.php
Этот файрвол, эмм, как бы сказать, не настоящий, если проследить хотя бы этот тест, то становится понятно что идёт полноценная подгонка под ликтесты.
А обломиться он может на простейшей вещи, лично наблюдал, как этот файрвол не мог заблокировать сетевую активность какого-то приложения. О чём можно говорить )
Этот файрвол, эмм, как бы сказать, не настоящий, если проследить хотя бы этот тест, то становится понятно что идёт полноценная подгонка под ликтесты.
А обломиться он может на простейшей вещи, лично наблюдал, как этот файрвол не мог заблокировать сетевую активность какого-то приложения. О чём можно говорить )
Вполне возможно, только жаль что Comodo Firewall 2.4 такой сырой а 3я версия увы сложна для меня в настройках. C другой стороны версия 2.1.0.119 только появилась и там могли многое исправить. Или я могу вам просто не поверить, так как у вас личное предвзятое мнение. А говорить что идёт полноценная подгонка под ликтесты, что же вполне может быть а может и нет.
Подведем итог, я больше верю тестам чем вам. Хотя может со временем я изменю свое мнение.
Вообще говоря, это довольно мерзко - судя по отзывам, очень много программ, направленных на обеспечение информационной безопасности, "затачиваются" исключительно на проход тестов. Прохождение всякого рода ликтестов НЕ должно быть самоцелью для разработчиков защитного ПО. Хотя, как говорится, "ничего личного - это бизнес", так что тут, видимо, ничего нельзя поделать: PR - есть PR.
Вообще говоря, это довольно мерзко - судя по отзывам, очень много программ, направленных на обеспечение информационной безопасности, "затачиваются" исключительно на проход тестов. Прохождение всякого рода ликтестов НЕ должно быть самоцелью для разработчиков защитного ПО. Хотя, как говорится, "ничего личного - это бизнес", так что тут, видимо, ничего нельзя поделать: PR - есть PR.
А еще хуже то, что некоторые даже тесты пройти не могут, хоть и затачивались под него.
Как файрвол Comodo 2.4 лучше, чем 3, кстати. В 2.4. можно было блокировать исходящий трафик во время загрузки Windows (это редкость!). В 3 это убрали. У меня есть предположения почему; во-первых потому что это на Висте вообще невозможно, и во вторых, скорее всего, для того, чтобы получить драгоценное лого Майкрософта. Третью версию стоит ставить только из-за HIPS.
А так - эти тесты на matousec и в других местах НИЧЕГО не доказывают - только умение проходить эти тесты, не более. Одно для меня ясно совершенно - то, что вы поставили (или как-нибудь грузили) на компе НЕЛЬЗЯ контролировать файрволом если автор данной программы (включая зловреда) вложил задачу 'обязательно выйти'. Например: Вы алерт для Flash Player'a уже получили? Вот это супер-ликтест - мало файрволов, которые его проходят...
P.S.: Я сейчас сижу опять на встроенный брандмауэер в XP. Я устал от всей этой 'псевдозащиты'...
Paul
Последний раз редактировалось XP user; 01.04.2008 в 00:51.
У меня с Comodo 2.4 возникало несколько проблем:
1) Во-первых он делал проблемы uTorrent и мне пришлось разрешить кучу всего пока он соизволил ему дать нормально работать.
2) Он постоянно задавал одни и теже вопросы. Мне приходилось давать разрешения на одни и теже действия по сто раз в день.
3) Примерно через три недели работы он при проверке какого-то действия зависал и потом выдавал табличку что в Комодо обнаружена ошибка и оно будет закрыто. Переустановка помогала и он работал еще примерно три недели и после этого выдавал тоже самое. Но когда у меня произошло тоже самое опять но уже на новой винде я снес Комодо.
Я вполне верю, что тесты мало о чем говорят, но без них даже опереться не на что при выборе защиты. Или взять тот же virusinfo.info здесь сколько людей, столько и мнений, кажется вроде тут должны быть профессионалы, а ведь у каждого что-то свое установлено, никакого единодушия. Вот и решай кому можно верить.
Последний раз редактировалось sergey888; 01.04.2008 в 06:11.
Или взять тот же virusinfo.info здесь сколько людей, столько и мнений, кажется вроде тут должны быть профессионалы, а ведь у каждого что-то свое установлено, никакого единодушия. Вот и решай кому можно верить.
Это вам так кажется. Есть вкус, конечно, и есть разные задачи у разных профессионалов. Потом есть система на которой тот или иной продукт ставляется. Кому-то повезло с Outpost'ом, кому-то с KIS'ом, кому-то ещё с Comodo. Это о профессионализма (или отсутствие его) не очень много говорит.
Вы должны себе дать всего один вопрос - что я ожидаю от файрвола? Если Online Armour себя нормально ведёт в вашей системе, и вам нравятся все другие его параметры, то тогда это файрвол для вас.
Идея о том, что файрвол может защищать от атак изнутри (то есть против программ, которые имеют такие же системные права как он сам) - ложная. В конечном итоге файрвол может делать только одно: защищать как-то от атак извне, но в этом смысле лучше, конечно, аппаратный файрвол, который стоит МЕЖДУ защищаемым компом и Интрернетом, а ни в коем случае не на самой ОС.
Paul
Последний раз редактировалось XP user; 01.04.2008 в 08:51.
p2u Идея о том, что файрвол может защищать от атак изнутри (то есть против программ, которые имеют такие же системные права как он сам) - ложная.
..........
Прочитал я это... и подумал, что полное пессимизма (да и реализма, что уж там) рассуждение p2u о несостоятельности программного файервола в его современном представлении и в знакомых нам реализациях (одна из которых - Online Armour Firewall - здесь обсуждается) способно посеять недетское уныние в ряды читателей этого форума: не будем забывать, что далеко не все из них - "профессионалы".
Для начала: давайте не будем покупаться на ауру термина "профессионал" - всем известно: "Титаник" строили профессионалы, а автором ковчега был любитель!.. Если определиться с терминологией, то "профессионал" - это "тот, кто работает за вознаграждение" - и не более того. Особенности "национальной" "профессиональной" (платной, значит) медицины, образования и прочего знакомы многим, поэтому далее можно обойтись без комментариев и положиться на обычный здравый смысл "пользователя" всего этого счастья.
Область программных средств защиты, о которой мы здесь толкуем, ориентирована на тот же "контингент" - на "непрофессиональных" пользователей компьютеров, поэтому средства подачи продукта на рынок те же самые: не стОит разжевывать, суть ясна и так.
Не являются исключением и товары с лейблом FREE - за всеми ними стоит экономический расчет производителя. Если же мы попробуем покопать в этом же направлении немного дальше, то сообразим, что вся "инфраструктура", созданная вокруг средств защиты: всевозможные тесты, тестирования, "заслуживающие внимания" обзоры, сравнения, рекомендации и прочее - вся эта деятельность не может быть некоммерческой - со всеми отсюда вытекающими...
А чтобы закончить с терминологией, попробую предположить, что в нашем случае более подходящим термином будет слово "специалист", и именно такие кадры представляют истинную ценность и заслуживают всеобщего (во всех аспектах, между прочим) внимания.
Итак, опять к началу: "Идея о том, что файрвол может защищать от атак изнутри (то есть против программ, которые имеют такие же системные права как он сам) - ложная."
Конечно же, это так! - и первопричина такого положения дел понятна многим: у нападения всегда имеется то самое начальное преимущество перед защитой - и совершенно так же обстоят дела с остальными средствами защиты - просто так устроены правила этой "игры" в нападение-защиту. Кстати, в случае файервола, например, дело осложняется ещё и тем фактом, что лучшим (и самым эффективным) средствам от обеих противоборствующих сторон приходится выходить на уровень ядра системы, а для грамотного (и как минимум, безглючного) функционирования в этой "среде" необходим достаточно высокий уровень подготовки авторов. Вот тут-то мы и можем вспомнить тех самых "специалистов": далеко не всем производителям тех же файерволов удаётся достойно проявить себя на этой сцене.
И совсем не факт, что "прошедший все тесты" и нашумевший за последнее время Online Armour окажется в действительности ещё и эффективным средством защиты: данная тема как раз подтверждает это и демонстрирует отличный пример маркеринговых технологий - Online Armour появился не для защиты системы пользователя , а для прохождения всех Leak-тестов у одного из авторов-писателей этих тестов.
И не более того. Меня это, кстати, удивило не очень - примерно такого состояния дел я и ожидал. Людям хочется верить в чудо, и это "чудо" в который уже раз... им было предложено!
Однако, не отвлекаемся и продолжаем: p2u в своем ответе "засветил" (не знаю, вольно или нет) ешё одну простую истину: в современной операционной системе пространство для противоборства не ограничено одной "плоскостью", здесь речь скорее идет о многомерном пространстве, одна из плоскостей которого - это та самая концепция распределения "прав" и наличие иерархии приоритетов пользователей. Причем, как показывает практика, возможности для защиты системы "на этом направлении" (например,) представлены совсем не так широко, как в случае тех же файерволов. Возможная причина такой "недоразвитости" конкретно этого направления защиты: коммерческое давление производителей традиционных защитников системы (антивирус, файервол и пр.).
Я не стану более тратить печатное пространство форума, но хочу закончить одной простой мыслью:
Всё совсем не так безнадёжно в деле защиты системы, и если файервол в том виде, в котором он представлен сегодня на рынке, нас не устраивает, то это не значит, что решения проблемы не существует в природе - всё как раз наоборот: решение существует всегда!
Просто мы его не там искали .
И данный форум (как и проект в целом), кстати - хорошее тому подтверждение - как раз здесь их немало - тех самых "специалистов"!