Фаэрвол
barrakuda
Профессионал
4/17/2007, 2:06:03 AM
Надо будет тоже качнуть посмотреть. Запущу его на виртуальной машине сначала
barrakuda
Профессионал
4/17/2007, 2:09:08 AM
Они там пишут - мы бабки на сертификатах для сайтов зарабатываем, а это типа так... жест доброй воли всему человечеству
maxdiversexnarod1
Специалист
4/17/2007, 3:19:57 AM
Хорошо. Попробую объяснить подробнее, с большей аргументацией.
Итак, защиту (качественного) файрвола можно разделить на две части: фильтрация трафика и защита путём перехвата функций.
Ну, с фильтрацией трафика всё понятно. Единственное, что стоит сказать по её поводу: если вражеская программа оказалась в ядре, т.е. получила привилегии SYSTEM (которые, для справки, выше администраторских), то ничто уже не помешает ей эту фильтрацию попросту отключить, чтобы отослать свой трафик. Впрочем, это требует достаточно больших знаний в теме. Правда, есть и более простой способ, с другого конца. Мы просто имитируем клавиатурно-мышиный ввод: разворачиваем окно файрвола, "нажимаем" ALT, спускаемся по меню, открываем настройки... в общем, понятно. Чтобы пресечь этот метод, нужно перехватывать ряд функций Windows API. Что мы можем увидеть? Что только KIS и ZoneAlarm перехватывают все опасные функции (собственно, это в таблице значится под именем SSDT GDI hooks). Таким образом, ко всем остальным файрволам за ~ 30 минут мы можем написать эмуляцию ввода.
Ну ладно, идём дальше. Трафик запрещается для одних программ и разрешается для других. Если мы сможем инжектироваться (т.е. занести свой код) в доверенное приложение, то вся сложная система фильтрации полетит к чёрту. Что мы видим в таблице? В графе "DLL injection control" у всех стоят плюсы. Однако половина файрволов не перехватывает NtWriteVirtualMemory. Как такое может быть? Да очень просто. Здесь вступает в действие т.н. "контроль целостности". Даже если мы инжектируем свою DLL в чужой процесс, она окажется засвеченной в списках системы, и для файрвола наступает блаженство. Но стоит ли расслабляться? Если мы введём что-нибудь поумнее, чем LoadLibrary ("наша_супер_крутая_инжект_DLL"), то можно загрузить свой код, не засветив его ни в каких списках. Так, например, Comodo не перехватывает даже NtWriteVirtualMemory. Остальные лидеры с этим худо-бедно справились.
Дошли до перехвата функций. Как видно из таблицы, все лидеры используют достаточно современную технологию патчинга SDT, но у всех она реализована на разном уровне. Что мы можем увидеть, если мы внимательно изучим представленные списки перехваченных функций? То, что кроме KIS, во всех остальных можно спокойно загрузить свой собственный драйвер, который спокойненько восстановит SDT, и "ослепит" файрвол. Хорошо ещё, что многие перехватывают LoadDriver(). Как это ни странно, но KIS её не перехватывает - и это серьёзная брешь в его защите. Правда, по-моему в новой версии он всё-таки её будет перехватывать.
Так что, если не учитывать эту функцию, то в борьбе с KIS приходится подниматься на новый уровень: восстанавливать SDT путём хитрого и трудоёмкого трюка, с помощью одной недокументированной функции NT API, к тому же содержащей ошибку.
Теперь, что мы получим, если всё-таки сможем загрузить свой драйвер в систему? Да всё! Отключить защиту, вырубить файрвол или потихоньку залезть в чужой процесс и отсылать данные в сеть из него.
По поводу leak-test'ов.
(Для тех, кто не понял, таблица результатов в конце этой страницы - это не окончательная таблица; ищите на другой странице :) Прохождение leak-тестов - это ещё далеко не всё)
Про Outpost читаем: "Outpost Firewall PRO 4.0 (971.584.079) was convicted of such cheating. ... This means that Outpost Firewall PRO cheats to be very strong against leak-tests but in fact it is very weak against real malware". Лично я расцениваю это как дисквалификацию. Если файрвол исправно проходит тесты (которые, кстати, находятся в открытом доступе в Интернете), но при этом содержит кучу недоработок и сразу сваливается на специальном тесте Fake Protection Revealer...
Про победителей в этой категории: Comodo и Jetico - см. пост сначала.
Я думаю, те, кто дочитал мой пост до конца, поняли, почему лучшие - это KIS и ZoneAlarm :)
Итак, защиту (качественного) файрвола можно разделить на две части: фильтрация трафика и защита путём перехвата функций.
Ну, с фильтрацией трафика всё понятно. Единственное, что стоит сказать по её поводу: если вражеская программа оказалась в ядре, т.е. получила привилегии SYSTEM (которые, для справки, выше администраторских), то ничто уже не помешает ей эту фильтрацию попросту отключить, чтобы отослать свой трафик. Впрочем, это требует достаточно больших знаний в теме. Правда, есть и более простой способ, с другого конца. Мы просто имитируем клавиатурно-мышиный ввод: разворачиваем окно файрвола, "нажимаем" ALT, спускаемся по меню, открываем настройки... в общем, понятно. Чтобы пресечь этот метод, нужно перехватывать ряд функций Windows API. Что мы можем увидеть? Что только KIS и ZoneAlarm перехватывают все опасные функции (собственно, это в таблице значится под именем SSDT GDI hooks). Таким образом, ко всем остальным файрволам за ~ 30 минут мы можем написать эмуляцию ввода.
Ну ладно, идём дальше. Трафик запрещается для одних программ и разрешается для других. Если мы сможем инжектироваться (т.е. занести свой код) в доверенное приложение, то вся сложная система фильтрации полетит к чёрту. Что мы видим в таблице? В графе "DLL injection control" у всех стоят плюсы. Однако половина файрволов не перехватывает NtWriteVirtualMemory. Как такое может быть? Да очень просто. Здесь вступает в действие т.н. "контроль целостности". Даже если мы инжектируем свою DLL в чужой процесс, она окажется засвеченной в списках системы, и для файрвола наступает блаженство. Но стоит ли расслабляться? Если мы введём что-нибудь поумнее, чем LoadLibrary ("наша_супер_крутая_инжект_DLL"), то можно загрузить свой код, не засветив его ни в каких списках. Так, например, Comodo не перехватывает даже NtWriteVirtualMemory. Остальные лидеры с этим худо-бедно справились.
Дошли до перехвата функций. Как видно из таблицы, все лидеры используют достаточно современную технологию патчинга SDT, но у всех она реализована на разном уровне. Что мы можем увидеть, если мы внимательно изучим представленные списки перехваченных функций? То, что кроме KIS, во всех остальных можно спокойно загрузить свой собственный драйвер, который спокойненько восстановит SDT, и "ослепит" файрвол. Хорошо ещё, что многие перехватывают LoadDriver(). Как это ни странно, но KIS её не перехватывает - и это серьёзная брешь в его защите. Правда, по-моему в новой версии он всё-таки её будет перехватывать.
Так что, если не учитывать эту функцию, то в борьбе с KIS приходится подниматься на новый уровень: восстанавливать SDT путём хитрого и трудоёмкого трюка, с помощью одной недокументированной функции NT API, к тому же содержащей ошибку.
Теперь, что мы получим, если всё-таки сможем загрузить свой драйвер в систему? Да всё! Отключить защиту, вырубить файрвол или потихоньку залезть в чужой процесс и отсылать данные в сеть из него.
По поводу leak-test'ов.
(Для тех, кто не понял, таблица результатов в конце этой страницы - это не окончательная таблица; ищите на другой странице :) Прохождение leak-тестов - это ещё далеко не всё)
Про Outpost читаем: "Outpost Firewall PRO 4.0 (971.584.079) was convicted of such cheating. ... This means that Outpost Firewall PRO cheats to be very strong against leak-tests but in fact it is very weak against real malware". Лично я расцениваю это как дисквалификацию. Если файрвол исправно проходит тесты (которые, кстати, находятся в открытом доступе в Интернете), но при этом содержит кучу недоработок и сразу сваливается на специальном тесте Fake Protection Revealer...
Про победителей в этой категории: Comodo и Jetico - см. пост сначала.
Я думаю, те, кто дочитал мой пост до конца, поняли, почему лучшие - это KIS и ZoneAlarm :)
barrakuda
Профессионал
4/17/2007, 3:36:41 AM
А как же Комод? Или авторы этих тестов ни в чем не шарят?
Меня не удивляет, что каспер лучше справляется с руткитами, ведь это его назначение - вирусы отлавливать. Лично я использую файрвол в первую очередб для простой фильтрации трафика, для чего собственно они и создавались. А вирус нужно ещё запустить в систему. Если пользователь чайник то его никакой супер-пупер файрвол не спасёт. К примеру, схавает эксплойт какой-нить для ИЕ, сработает троян-загрузчик, установит дурацкое BHO какое-нибудь на ИЕ, и что? Ну вякнет файрвол, что компоненты изменились, а толку? Поймет чего-нибудь чайник в этом? И будет себе висеть троян в системе и трафик генерить через браузер.
Меня не удивляет, что каспер лучше справляется с руткитами, ведь это его назначение - вирусы отлавливать. Лично я использую файрвол в первую очередб для простой фильтрации трафика, для чего собственно они и создавались. А вирус нужно ещё запустить в систему. Если пользователь чайник то его никакой супер-пупер файрвол не спасёт. К примеру, схавает эксплойт какой-нить для ИЕ, сработает троян-загрузчик, установит дурацкое BHO какое-нибудь на ИЕ, и что? Ну вякнет файрвол, что компоненты изменились, а толку? Поймет чего-нибудь чайник в этом? И будет себе висеть троян в системе и трафик генерить через браузер.
maxdiversexnarod1
Специалист
4/17/2007, 3:47:34 AM
Ну вообще-то я имел в виду продвинутых пользователей.
Для чайника выбирать файрвол можно только по внешнему виду :)
Ну а авторы этих тестов - конечно, очень компетентные люди. Просто они выкладывают в открытый доступ лишь "верхушку айсберга" - малую долю информации. За подробную информацию нужно платить денежки. Да и всё равно итоговые результаты примерно соответствуют истине.
Для чайника выбирать файрвол можно только по внешнему виду :)
Ну а авторы этих тестов - конечно, очень компетентные люди. Просто они выкладывают в открытый доступ лишь "верхушку айсберга" - малую долю информации. За подробную информацию нужно платить денежки. Да и всё равно итоговые результаты примерно соответствуют истине.
Dicoy
Профессионал
4/17/2007, 5:30:51 AM
мде поставил се этот комод,разглядываю...
пока отчетливо углядел одно - совершенно не по-детски прожорлив сцуко
пока отчетливо углядел одно - совершенно не по-детски прожорлив сцуко
Dicoy
Профессионал
4/18/2007, 5:41:22 AM
удалил нахрен этот комод.
заметил за ним еще одну хрень - есть у мну честно хакнутая прожка,
при ее запуске как раз и происходит коде инжект,так вот скажем
Керио замечая это при запуске,попросту не давал ей дальше работать
и честно выдавал об этом сообщение,а комод же блокирует молча,
выскакивает какбы системное сообщение о корупте файла и все,
самое странное,что сообщение продолжало выскакивать даже после
шатдауна комода
щас сморю фривэрный вариант Джетико - несколько аскетично;
пришлось внушать ему,что ВПН блокировать не надо;на инжект
реагирует хорошо - замечает,но спрашивает,че с этим делать.
вобщето задает пожалуй многовато вопросов,но вцелом впечетление
хорошее
заметил за ним еще одну хрень - есть у мну честно хакнутая прожка,
при ее запуске как раз и происходит коде инжект,так вот скажем
Керио замечая это при запуске,попросту не давал ей дальше работать
и честно выдавал об этом сообщение,а комод же блокирует молча,
выскакивает какбы системное сообщение о корупте файла и все,
самое странное,что сообщение продолжало выскакивать даже после
шатдауна комода
щас сморю фривэрный вариант Джетико - несколько аскетично;
пришлось внушать ему,что ВПН блокировать не надо;на инжект
реагирует хорошо - замечает,но спрашивает,че с этим делать.
вобщето задает пожалуй многовато вопросов,но вцелом впечетление
хорошее
central
Новичок
4/24/2007, 12:27:28 AM
а я вообще никаким не пользуюсь фаером, Вистовский устраивает, кстати молодцы парни с мелкософта, постарались на славу с фаером.
Vertigo
Мастер
4/24/2007, 1:38:26 AM
(central @ 23.04.2007 - время: 20:27) а я вообще никаким не пользуюсь фаером, Вистовский устраивает, кстати молодцы парни с мелкософта, постарались на славу с фаером.
Ой, ну это ты зря. Насколько я знаю, фаерволл там никакой...
Ой, ну это ты зря. Насколько я знаю, фаерволл там никакой...
barrakuda
Профессионал
4/24/2007, 2:38:05 AM
(vertigo1 @ 23.04.2007 - время: 21:38) (central @ 23.04.2007 - время: 20:27) а я вообще никаким не пользуюсь фаером, Вистовский устраивает, кстати молодцы парни с мелкософта, постарались на славу с фаером.
Ой, ну это ты зря. Насколько я знаю, фаерволл там никакой...
Ну так если как и раньше, по-старинке, сидеть с правами админа тут конечно не поможет. Всмысле входящий левый трафик рубить будет, но любой нормальный вирусняк вырубит его нафиг, как и брандмауэр в ХР.
Ой, ну это ты зря. Насколько я знаю, фаерволл там никакой...
Ну так если как и раньше, по-старинке, сидеть с правами админа тут конечно не поможет. Всмысле входящий левый трафик рубить будет, но любой нормальный вирусняк вырубит его нафиг, как и брандмауэр в ХР.