Anti-Cracker Shield

[SDA]

Программа предназначена для защиты от эксплойтов (атак на уязвимости компонентов операционной системы, либо прикладного программного обеспечения) различной природы. Многоуровневая система защиты Anti-Cracker Shield предохранит Вас:

от всех видов атак ("ret","call esp/jump esp","return-to-libc" etc ...) на локальную память (стек) исполняемого потока (логических действий программ Вашего компьютера),

от всех видов атак на переполнение программной кучи (области локальной памяти процесса). Также Anti-Cracker Shield не позволит эксплойт-червям (саморазмножающимся программам-паразитам типа Code Red, Slammer, LoveSun и Sasser, не заражающим другое программное обеспечение)
атаковать компьютер,
использовать Ваш компьютер для собственного размножения.

Использование Anti-Cracker Shield для защиты Вашей сети позволяет устанавливать "заплаты" (более свежие версии программ), латающие уязвимости на серверах и рабочих станциях в сети без авральной спешки. Это происходит потому, что компьютеры с установленным Anti-Cracker Shield не могут быть взломаны, и на каждом их них без ущерба для безопасности сети можно провести тестирование заплат на предмет корректности.

Программа предназначена для установки и совместного использования вместе с антивирусами и сетевыми экранами (файерволами
Программа Anti-Cracker Shield предназначена для защиты как обычных компьютеров, так и серверов. Для защиты обычных компьютеров используется стандартная версия программы, а для защиты серверов - версия "SERVER EDITION".

Различия между версиями:

Стандартная версия работает на уровне защиты "Высокий", защищаются все приложения.

Серверная версия работает на уровне защиты "Низкий", защищаются только те приложения, которые выбирает системный администратор. Выбранные системным администратором приложения имеют "по умолчанию" уровень защиты "Ультра". Таким образом, Вы можете защитить свой Веб-Сервер (IIS, Apache и так далее) без всяких проблем.
Нашел интересную программу. www.softsphere.com - сайт компании SoftSphere Technologies

[Minos]

Программа может и хорошая, но нет trial версии, для работы программа требует регистрационные данные, которые можно получить только при покупке прграммы. 40$ за неизвестно что, какая-то странная маркетинговая политика

[pig]

Наши, что ли? ТАК можно перевести только с русского, украинского и белорусского. Теоретически возможен и польский, но поляки люди гордые, национальность и гражданство не скрывают, даже подчёркивают. Да и украинцы сейчас не стали бы маскироваться.

[rav]

Программа может и хорошая, но нет trial версии, для работы программа требует регистрационные данные, которые можно получить только при покупке прграммы. 40$ за неизвестно что, какая-то странная маркетинговая политика

А нажать в инсталляторе кнопочку Next не пытался? Там полноценный триал 30-дневный триал. Ладно, специально для тебя уберу из программы этоу форму.А то, как я вижу, путаются люди...

2 pig.
А ты таки правильно догадался. Ну, как мог....

[Minos]

А нажать в инсталляторе кнопочку Next не пытался? Там полноценный триал 30-дневный триал. Ладно, специально для тебя уберу из программы этоу форму.А то, как я вижу, путаются люди...

Формачку лучше оставить, но если регистрационные данные не введены, то кнопку Next переименовывать в Trial, а если введены то Next и оставить.

Очень хорошая программа, даже слишком для моей системы оказалась:
1. Сразу после перезагрузки обнаружила переполнение в ADInf, заблокировала что-то в результате сканер обнаружил что у меня удалены 148000 файлов.
2. Outpost 2.5 выдал report об ошибке с длинным длинным dump-ом и завис.
3. И тут наконец загрузился монитор антиивруса и тут началось..., кто ставил DrWeb и AVP меня поймут

Пришлось в безопасный режим уходить и убирать программу. Я что-то не так сделал?

[rav]

1. Сразу после перезагрузки обнаружила переполнение в ADInf, заблокировала что-то в результате сканер обнаружил что у меня удалены 148000 файлов.
2. Outpost 2.5 выдал report об ошибке с длинным длинным dump-ом и завис.
3. И тут наконец загрузился монитор антиивруса и тут началось..., кто ставил DrWeb и AVP меня поймут

Пришлось в безопасный режим уходить и убирать программу. Я что-то не так сделал?

1. ADinf- старая программа. Вполне может быть, что она делает что-то не правильно. Я её посмотрю. Кроме того, её запросто можно ставить на уровень "low"- всё должно работать как и прежде.

2. Outpost, Насколько я знаю, защищён AsProtect. Если его версия меньше 1.32- всё должно быть плохо.

3. А что это за антивирус интересный такой? У меня стоит последний DrWeb - всё путём.

[Minos]

C AdInf справился.
Outpost стоит версии 2.5.370.4626 и при запуске вылетает окно с отправкой сообщения об ошибке, которое тут же "зависает". Насчет антивируса погорячился, это outpost вместе с собой Explorer иногда утягивает. С антивирусом живет в мире и согласии (VBA).

[rav]

1. Скажи мне название процесса у ADinf, я его сразу буду автоматом выставлять на "low", чтобы больше никто не парился.

2. Посмотрел я на Outpost. К сожалению, у них либа opst_ui.dll запакована старым AsProtect, а он с моей прогой не дружит. Ничего не могу сделать со своей стороны- так его написал Солодовников. В версии 1.32 он клятвенно мне пообещал совместимость. Поэтому нужно, чтобы господа из Агнитум перепаковались с AsProtect 1.32. Тогда всё будет в норме. Либо снимать с либы AsProtect вручную.

3. Посмотрел я тут поделку от Каспера 5.0. Это что-то с чем-то! Они вставляют в kernel32.dll джамп на свой драйвер, располагающийся по адресам 0xB0XXXXXX! Прямо из третьего кольца! В обход всей подсистемы безопасности NT! Я фигею!

[Geser]

1. Скажи мне название процесса у ADinf, я его сразу буду автоматом выставлять на "low", чтобы больше никто не парился.

Насколько я помню рандомальное имя.

[Minos]

Насколько я помню рандомальное имя.

Очень может быть, у меня ошибку вызывает TQXVYSOE.exe

[rav]

Очень может быть, у меня ошибку вызывает TQXVYSOE.exe

Понял. Буду разговаривать с Диалог-Наукой- скажу, чтобы поправились.

[rav]

Очень может быть, у меня ошибку вызывает TQXVYSOE.exe

Кстати, скачал и посмотрел ADinf. У меня работает нормально. У тебя какая ОС?

[Minos]

Windows XP SP2 Rus, срабатывает при начале осмотра диска, у них в программе есть несколько "неуловимых" багов, вызывающих остановку программы с сообщением "Повреждение файловой системы", может реагирует на них?

[rav]

Windows XP SP2 Rus, срабатывает при начале осмотра диска, у них в программе есть несколько "неуловимых" багов, вызывающих остановку программы с сообщением "Повреждение файловой системы", может реагирует на них?

Разобрался я с ADinf. В общем, ситуация такая. Там количество запускаемых при сканировании потоков зависит от количества лог. дисков. Каждый поток занимает под свой стек 16 метров памяти (вместо стандартного метра). В результате, если на машине с одним диском мы имеем 6 потоков и (6*16=96 метров защищённой памяти), то на 6 лог. дисков имеем 10 потоков (10*16=160 метров защищённой памяти), а лимит по умолчанию- 128 метров. Вот мы и имеем срабатывание по исчерпанию защищённой памяти. Соответственно, реальное решение- установка процесса на уровень "low".

А имя там действительно рандомное.

[Minos]

Спасибо, так и сделал, а программа действительно хорошая, будем ждать перепаковку Outpost.

[azza]

Outpost 2.5.375.374

[Minos]

Outpost 2.5.375.374

azza, спасибо. С новой версией конфликтов не возникает, продолжаю тестирование. Где моя VS?

[Minos]

Поднимает тревогу при запуске ReGet Deluxe 4.1 (build 242), перенес программу в Low - все нормально.
Вот лог.

=========Start of the attack log============

01.12.2005 20:48:02

Anti-Cracker Shield v1.31

Process
C:\Program Files\ReGetDx\regetdx.exe
version 4,1,0,242
(module base 00500000)

was under attack at module
<Not available>
(module base <Not available>)

by address <Not available>
with "SEH corruption" attack type

Module at eip is
<Not available>
(module base <Not available>)

OS version:5.1, build 2600,Service Pack 2

Process registers:

EAX=00000000, EBX=011B0000,

ECX=77CFF038, EDX=00000000

ESI=011D0000, EDI=77CFF040,

ESP=77CFF014, EBP=77CFF040

EFLAGS=00010246, EIP=011E05CC

CS=001B, DS=0023,

ES=0023, SS=0023


Dump of the exploit:



=========End of the attack log=============

[Minos]

Outpost 2.5.375.374 тоже поднимает тревогу в Medium режиме, в Low все тихо.

=========Start of the attack log============

01.12.2005 21:04:34

Anti-Cracker Shield v1.40

Process
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
version 2.5
(module base 00400000)

was under attack at module
<Not available>
(module base <Not available>)

by address <Not available>
with "SEH corruption" attack type

Module at eip is
<Not available>
(module base <Not available>)

OS version:5.1, build 2600,Service Pack 2

Process registers:

EAX=040F5C9D, EBX=041A465C,

ECX=00000000, EDX=032A5C08

ESI=041103BC, EDI=041209D8,

ESP=77D3E9F0, EBP=77D3EA60

EFLAGS=00010217, EIP=032A8AFB

CS=001B, DS=0023,

ES=0023, SS=0023


Dump of the exploit:



=========End of the attack log=============

P.S. Dump - это возможность "на вырост" или нужно как-то настроить программу для сохранения дампов?

[rav]

Outpost 2.5.375.374 тоже поднимает тревогу в Medium режиме, в Low все тихо.

P.S. Dump - это возможность "на вырост" или нужно как-то настроить программу для сохранения дампов?

1. Проверка цепочки SEH производится ТОЛЬКО в режиме High. В принципе, это всё из-за AsProtect. Вчера посидел вечерок и приделал распознаватель AsProtect к программе. В следующей версии ACS(думаю, это будет 1.45) всё будет в норме и с Outpost, и с ReGet.

2. Дело в том, что не всегда возможно снять дамп с эксплойта. Это вполне реально при атаке на стек, но очень затруднительно при хиповых эксплойтах. Соответственно, программа иногда имеет возможность снять и тотбразить дамп эксплойта, а иногда- нет. И, как ты понимаешь, это не главная чель программы. Главное- чтобы эксплойт НИКОГДА не получил управления на себя.