• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Статья ОБСУЖДЕНИЕ. Брандмауэр Windows vs Agnitum Outpost | Сравнение брандмауэров

Желание написать данную статью возникло у меня после развернувшейся на форуме дискуссии о блокировке фоновой интернет-активности Windows.
Боремся с утечкой трафика на винде.
Укрощение операционных систем семейства Windows.
А тут ещё и какой-то чУвак видео на youTube "подогнал" :)
Брандмауэр Windows vs Agnitum Outpost

Долго не думая, я решила повторить описанный в видео "подвиг".
Установленная в виртуальную машину Windows 10 только благоволила моим желаниям.
Мгновение... и я уже блокирую всю активность виртуальной операционной системы встроенным брандмауэром.

По замыслу, мой эксперимент будет заключаться в следующем:
1. Блокирую весь интернет-трафик виртуальной машины под управлением Windows 10 встроенным брандмауэром.
2. Отслеживаю интернет-активность "блокированной" системы путём прослушивания сетевого соединения анализатором пакетов Wireshark.
3. Теоретически, никакой интернет-активности наблюдаться не должно, ведь первый пункт моего зловещего плана должен гарантировать полный вакуум внутри виртуалки.

Затем повторяю предыдущие шаги, но для контроля активности Windows воспользуюсь сторонним брандмауэром Outpost питерской компании Agnitum. Полученные результаты сравниваю.

uLZrHgtOaLqZXvzeZ75txc7gdkfZV1.png

Нужно отметить, что встроенный брандмауэр Windows - это программа, обладающая неплохим набором функций. При этом программа проста в использовании, что делает общение с ней ещё более привлекательным. Эту энергию, да в нужное русло направить - цены программе не было-бы.
Итак, сетевая активность виртуальной "десятки" теоретически блокирована.
Прежде чем запустить анализатор пакетов на хостовой машине, необходимо узнать имя сетевого интенрфейса, который будет прослушивать Wireshark.

M7Pq5edyIE0PaFeTCm57jzMvbyW9pZ.png

При помощи метода дедукции, с которой до написания этой статьи весь цивилизованный мир был знаком только по сериалу о Шерлоке Холмсе, я определила, что прослушиваемая сеть в моём случае имеет название "Подключение по локальной сети 7".

YsElpdOALiHZsIZrXbnOHTVDTXCc6a.png

9l76ohg2z0ejb3l12Ix9tlKpmkEJPV.png

Именно эту сеть следует прослушивать в хостовой операционке анализатором пакетов.
К сожалению, результаты первой части теста оказались весьма плачевны: встроенный брандмауэр настолько прозрачен, что wireshark зафиксировал интернет активность гостевой системы уже через несколько секунд после начала прослушивания. Причём эта активность представляла собою не что иное, как коннект чистой воды к серверам компании майкрософт по протоколу TCP.

FOJtunLumNwgQJtAfuV1cEohWLOQQa.png

Думаю, что на этом первую часть моего скромного эксперимента можно закончить, ведь тест однозначно указывает на "дырявость" брандмауэра Windows по отношению к "родителю".

Согласно предварительно описанному плану, те же действия необходимо повторить с брадмауэром Outpost от российской компании Agnitum.
Не буду описывать процесс установки упомянутой программы, он интуитивно понятен и не представляет собою ничего сложного: несколько нажатий кнопки "Некст". Вся настройка файерволла в рамках моего эксперимента заключается в полной блокировке интернет активности виртуальной Windows.

P7kpx9mp2o9FwxPn1emVQZ76g497cI.png


Анализ сетевой интернет-активности программой wireshark во втором случае однозначно указывает на всякое её отсутствие. Виртуальная и хостовая машины общаются между собою по протоколам ARP и DHCP:

R91SzVqC4mujYYof2yEprinnFnP7IH.png


Настало время делать сравнительный анализ.
Полная блокировка интернет трафика ...
  • ... Брандмауером Windows нисколько не остановил интернет активность операционки.
  • ... Сторонним брандмауэром Agnitum Outpost полностью блокирует активность гостевой системы.
На этом у меня - ВСЁ.
С вами была Валькирия.
 
Последнее редактирование модератором:
Д

Достоевский Ф.М.

Wireshark обязательно запусти и изучи его. Собственно, там и изучать нечего, всего несколько фильтров запомнить для начала ))
С Касперским твои планы немного прикольно звучат.
Ведь это антивирус. Зачем тебе антивирус ? Неужели так сложно включить мозг и приучить себя жить без антивируса ?
Операционная система Windows обладает широкими возможностями.
 

Mitistofel

Green Team
03.06.2018
264
151
BIT
0
Wireshark обязательно запусти и изучи его. Собственно, там и изучать нечего, всего несколько фильтров запомнить для начала ))
С Касперским твои планы немного прикольно звучат.
Ведь это антивирус. Зачем тебе антивирус ? Неужели так сложно включить мозг и приучить себя жить без антивируса ?
Операционная система Windows обладает широкими возможностями.
Я впринципе уже давно не провял антивирусом, так как у меня дополнительный фаервол, программа которая после перезагрузи удаляет все установленные приложения, которые не были добавлены в исключения, and "anti keyloger". Плюс всякие "песочницы" и "виртуалки".
И "Malwarebytes Anti-Exploit" and "Malwarebytes Anti-Rootkit", но с ""Malwarebytes" надо что то делать. Потому что на днях узнал про них дурные вести...
Что ты можешь сказать про "Malwarebytes" ?

Но просто думается мне, что рано или поздно я захочу провериться антивирусником )

Всё, снёс я этого волка в овечьей шкуре )
 
Последнее редактирование:
Д

Достоевский Ф.М.

Что ты можешь сказать про "Malwarebytes" ?
Я ничего не могу сказать о нём )) Я не пользуюсь антивирусным софтом ))
Виртуалки, брандмауэр, снифер и парочка дополнительных софтин для контроля активности заменят все антивирусы.
 
  • Нравится
Реакции: Bypass и Timofejj
Д

Достоевский Ф.М.

Здесь на форуме имеется вся исчерпывающая информация о том, как жить в Windows без антивируса.
Мне тяжело сейчас дать тебе ссылки на статьи, так как сижу в инете с какого-то чужого и неудобного ноута без мышки.
О роли антивирусов в жизни современного человека.
 
  • Нравится
Реакции: Timofejj

Mitistofel

Green Team
03.06.2018
264
151
BIT
0
Здесь на форуме имеется вся исчерпывающая информация о том, как жить в Windows без антивируса.
Мне тяжело сейчас дать тебе ссылки на статьи, так как сижу в инете с какого-то чужого и неудобного ноута без мышки.
О роли антивирусов в жизни современного человека.
Эту статью я читал, и там кстате не говорится не про какие программы. Там только про встроенные возможности "Windows".
Кстате кто знает как в этом способе, добавить программы в исключение? А то я погуглил 5 минут на эту тему, и надоело, потому что у меня так то "Toolwiz Time Freeze" стоит...

Я тебя спросил как называются эти "парочка дополнительных софтин", ну можешь ещё вкратце описать, что какая делает...
 
T

Timofejj

Я ничего не могу сказать о нём )) Я не пользуюсь антивирусным софтом ))
Виртуалки, брандмауэр, снифер и парочка дополнительных софтин для контроля активности заменят все антивирусы.
Аналогично и работаю так уже давненько. Система чистая. Надо учесть что при этом собираю небольшую коллекцию malwar`и и приходится лечить заражённые устройства.
 
  • Нравится
Реакции: Bypass

Bypass

Green Team
02.02.2018
451
579
BIT
0
А с "Касперским" я скорее всего буду делать так - буду его устанавлить, обновляться по полной, проверять ПК без доступа к интернету, и сразу же удалять... И так по кругу...
а смысл? используй тогда просто офлаин сканер от касперыча, по твоей методе я вижук так
Чисто фантазия:
ты устанавливаешь каспера даешь ему обновиться, запускаешь скан, в это время он пыхтит у тебя в системе и складывает всю инфу какаую ему нужно в зашифрованный контейнер, ты удаляешь его, заново ставишь, пускаешь в сеть,он чекает наличие своего контейнера, ведь он знает id твоего железа ты уже у него в базе на серверах, он этот контейнер утягивает к себе и складывает в папочку с твоим id, вуаля.
Однажды впустив его на свое оборудование, он снял уже слепок твоих серийников и т.п. ему остается только пополнять на тебя "досье".
Смысла нет в твоей схеме.

В начале лета американских сотрудников «Лаборатории Касперского» опрашивало ФБР. Тогда вопросы касались, в частности, того, «насколько американское подразделение отчитывается перед Москвой». Позднее было опубликовано расследование Bloomberg, в котором утверждается, что компания не просто исполняет запросы от Федеральной службы безопасности, но помогает в спецоперациях и разрабатывает особые программы для противодействия хакерам
Как рассказал генеральный директор компании Zecurion, эксперт по кибербезопасности Алексей Раевский, программы, в том числе антивирусные, способные похищать данные с компьютера - это отнюдь не фантастика.


И еще помни что Касперский прошел свою первую компьютерную подготовку в школе КГБ и был принят на работу в качестве офицера советской разведки в 1987 году.
По свидетельству самого ...на, бывших чекистов не бывает. Это пожизненно.

имхо:
Я бы его ав и 10 метровой палкой не трогал, он нашпигован наглыми жучками по самую свою песочницу, почти 300 млн. подписчиков это крупнейший супер ботнет в мире
и к бабке не ходи.

Ну и последний гвоздь

ГДЕ ПРУФЫ ???? :mad:
Bypass чертов параноик :mad::mad:

Да они об этом как бы не скрывают и пишут у себя в бложике:

Вы обрабатываете персональные данные?
Различные законы по-разному определяют персональные данные. К примеру, европейское законодательство в рамках GDPR определяет «персональные данные» как любую информацию, относящуюся к определенному или определяемому физическому лицу («субъекту данных»). В свою очередь, в соответствии с международным стандартом ISO/IEC 29100:2011(E), персональная идентификационная информация (ПИИ) – это любая информация, которая может использоваться для идентификации обладателя ПИИ, которому такая информация принадлежит, или которая прямо или косвенно может быть связана с обладателем ПИИ.
В соответствии с новейшими законодательными нормами, принятыми в ряде стран, информация, обрабатываемая «Лабораторией Касперского», может содержать данные, которые могут считаться персональными или идентифицируемыми.
 
Последнее редактирование:
A

ANR



p.s
В рассекреченных документах сообщается “Основные пользователи Comodo - клинические параноики, многие из которых не спешили обновиться даже до 6.X версии. Это какой-то позор, потому что продукт содержит просто огромную дыру в безопасности. Если бы такая дыра была на дорожном покрытии, то преодолеть ее можно было только грузовиком с огромными колесами”.
Comodo отреагировала на данную публикацию. В сообщении электронной почты представитель компании сообщает: “Самые страшные вещи не сообщаются ЦРУ, потому что они связаны с самим ЦРУ.

“Лаборатория Касперского” является одной из самой крупной компании в антивирусной индустрии с общей аудиторией более 400 миллионов пользователей.
Компания моментально отреагировала на публикацию WikiLeaks. Уязвимости, которые использовались агентством, уже устранены в антивирусах компании.
ага - старые закрыли, новые закладки открыли.


ИМХО это еще только то что разрешено знать в массе. То что можно было выкинуть в паблик по чей то указке.
А сколько там еще новых "приват зеродэев" наклепали за прошедший год, одному ЦРУ известно.
это не пруф. это ссылка на раздел сайта. пруф это конкретно ссылка на упоминаемые тобой антивирусы и компании, т.е. нужна ссылка на оригинальную статью или документ. а не ссылка на раздел сайта викиликс. если этого не будет с твоей стороны, то ты все придумал.
 

Bypass

Green Team
02.02.2018
451
579
BIT
0
это не пруф. это ссылка на раздел сайта. пруф это конкретно ссылка на упоминаемые тобой антивирусы и компании, т.е. нужна ссылка на оригинальную статью или документ. а не ссылка на раздел сайта викиликс. если этого не будет с твоей стороны, то ты все придумал.
а не много ли тебе чести?
ты подыми на викиликс документацию и читай, дочитаешь когда все если там нет упоминай того что я сказал, заявишь что я все придумал. А так получается хуцпа с твоей стороны.
 
A

ANR

а не много ли тебе чести?
ты подыми на викиликс документацию и читай, дочитаешь когда все если там нет упоминай того что я, сказал, заявишь что я все придумал.
ссылку давай на документ или ты сам знаешь кто после этого
 

Bypass

Green Team
02.02.2018
451
579
BIT
0
ссылку давай на документ или ты сам знаешь кто после этого
Валя, перелогинься и глаза разуй
по ссылке переходишь, жмешь раздел "Documents"
вуаля, впитываешь инфо
 
Последнее редактирование:

Mitistofel

Green Team
03.06.2018
264
151
BIT
0
используй тогда просто офлаин сканер от касперыча
Что это?
ты устанавливаешь каспера даешь ему обновиться, запускаешь скан, в это время он пыхтит у тебя в системе и складывает всю инфу какаую ему нужно в зашифрованный контейнер, ты удаляешь его, заново ставишь, пускаешь в сеть,он чекает наличие своего контейнера, ведь он знает id твоего железа ты уже у него в базе на серверах, он этот контейнер утягивает к себе и складывает в папочку с твоим id, вуаля.
Однажды впустив его на свое оборудование, он снял уже слепок твоих серийников и т.п. ему остается только пополнять на тебя "досье".
А может они тогда и после удаляния могут отправлять к себе нужные им данные? То есть буду отправлять к себе на базу информацию, даже если я заного не установлю его...
Как вообще очиститься от всего, что осталось после "касперского"?
 

Bypass

Green Team
02.02.2018
451
579
BIT
0
по типу
Kaspersky Virus Removal Tool но и он может залить бекдорчик почему бы и нет. Там не лохи работают, закрепиться они мечтают любыми путями.
а тут и бесплатный сыр в виде сканера )


А может они тогда и после удаляния могут отправлять к себе нужные им данные? То есть буду отправлять к себе на базу информацию, даже если я заного не установлю его...
Как вообще очиститься от всего, что осталось после "касперского"?

в теории могут закинуть бекдор
по хорошему снифать траф вайршарком смотреть каждый процесс, вылавливать, вычислять или переустановить шинду.

p.s
на мой взгляд не этично на хак борде вообще обсуждать ав в качестве зашиты, а вот обхода это да )
вообще по этой всей шляпе лучше идти на comss.ru выбирать свое под себя. Смотреть отзовы и тестировать и верить в защищенность.
 
Последнее редактирование:

Bypass

Green Team
02.02.2018
451
579
BIT
0
Зашёл на этот сайт, и сразу же втюхивают установочный файл. Для того что бы этот сканер работал...
По твоим рассуждениям, в этом установочном файле может быть всё что угодно )
там где то был лайф образ, из под лайва на линуксе они запилили систему под скан файлов на жд.
 
  • Нравится
Реакции: Mitistofel

Mitistofel

Green Team
03.06.2018
264
151
BIT
0
там где то был лайф образ, из под лайва на линуксе они запилили систему под скан файлов на жд.
Я короче понял, нужно просто найти такой ресурс, который позволит проверять ПК на вирусы, без установления каких либо файлов...
 

Bypass

Green Team
02.02.2018
451
579
BIT
0
Я короче понял, нужно просто найти такой ресурс, который позволит проверять ПК на вирусы, без установления каких либо файлов...
нет, лучше всего изучи вайршарк, трафик, мониторинг процессов служб и т.д
стань сам антивирусом.
Сканеры пропускают много, да и любой ав тоже хорошо все пропускают. Нельзя на них наедятся, так побаловаться только.

Зашёл на этот сайт, и сразу же втюхивают установочный файл. Для того что бы этот сканер работал...
По твоим рассуждениям, в этом установочном файле может быть всё что угодно )
это ты не туда зашел...
вот
реферер передастся что ты с пришел, сразу нормальною тулзу будут давать, не будут впихивать фигню для домохозяек :ROFLMAO:(y)
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!