• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Статья ОБСУЖДЕНИЕ. Брандмауэр Windows vs Agnitum Outpost | Сравнение брандмауэров

Желание написать данную статью возникло у меня после развернувшейся на форуме дискуссии о блокировке фоновой интернет-активности Windows.
Боремся с утечкой трафика на винде.
Укрощение операционных систем семейства Windows.
А тут ещё и какой-то чУвак видео на youTube "подогнал" :)
Брандмауэр Windows vs Agnitum Outpost

Долго не думая, я решила повторить описанный в видео "подвиг".
Установленная в виртуальную машину Windows 10 только благоволила моим желаниям.
Мгновение... и я уже блокирую всю активность виртуальной операционной системы встроенным брандмауэром.

По замыслу, мой эксперимент будет заключаться в следующем:
1. Блокирую весь интернет-трафик виртуальной машины под управлением Windows 10 встроенным брандмауэром.
2. Отслеживаю интернет-активность "блокированной" системы путём прослушивания сетевого соединения анализатором пакетов Wireshark.
3. Теоретически, никакой интернет-активности наблюдаться не должно, ведь первый пункт моего зловещего плана должен гарантировать полный вакуум внутри виртуалки.

Затем повторяю предыдущие шаги, но для контроля активности Windows воспользуюсь сторонним брандмауэром Outpost питерской компании Agnitum. Полученные результаты сравниваю.

uLZrHgtOaLqZXvzeZ75txc7gdkfZV1.png

Нужно отметить, что встроенный брандмауэр Windows - это программа, обладающая неплохим набором функций. При этом программа проста в использовании, что делает общение с ней ещё более привлекательным. Эту энергию, да в нужное русло направить - цены программе не было-бы.
Итак, сетевая активность виртуальной "десятки" теоретически блокирована.
Прежде чем запустить анализатор пакетов на хостовой машине, необходимо узнать имя сетевого интенрфейса, который будет прослушивать Wireshark.

M7Pq5edyIE0PaFeTCm57jzMvbyW9pZ.png

При помощи метода дедукции, с которой до написания этой статьи весь цивилизованный мир был знаком только по сериалу о Шерлоке Холмсе, я определила, что прослушиваемая сеть в моём случае имеет название "Подключение по локальной сети 7".

YsElpdOALiHZsIZrXbnOHTVDTXCc6a.png

9l76ohg2z0ejb3l12Ix9tlKpmkEJPV.png

Именно эту сеть следует прослушивать в хостовой операционке анализатором пакетов.
К сожалению, результаты первой части теста оказались весьма плачевны: встроенный брандмауэр настолько прозрачен, что wireshark зафиксировал интернет активность гостевой системы уже через несколько секунд после начала прослушивания. Причём эта активность представляла собою не что иное, как коннект чистой воды к серверам компании майкрософт по протоколу TCP.

FOJtunLumNwgQJtAfuV1cEohWLOQQa.png

Думаю, что на этом первую часть моего скромного эксперимента можно закончить, ведь тест однозначно указывает на "дырявость" брандмауэра Windows по отношению к "родителю".

Согласно предварительно описанному плану, те же действия необходимо повторить с брадмауэром Outpost от российской компании Agnitum.
Не буду описывать процесс установки упомянутой программы, он интуитивно понятен и не представляет собою ничего сложного: несколько нажатий кнопки "Некст". Вся настройка файерволла в рамках моего эксперимента заключается в полной блокировке интернет активности виртуальной Windows.

P7kpx9mp2o9FwxPn1emVQZ76g497cI.png


Анализ сетевой интернет-активности программой wireshark во втором случае однозначно указывает на всякое её отсутствие. Виртуальная и хостовая машины общаются между собою по протоколам ARP и DHCP:

R91SzVqC4mujYYof2yEprinnFnP7IH.png


Настало время делать сравнительный анализ.
Полная блокировка интернет трафика ...
  • ... Брандмауером Windows нисколько не остановил интернет активность операционки.
  • ... Сторонним брандмауэром Agnitum Outpost полностью блокирует активность гостевой системы.
На этом у меня - ВСЁ.
С вами была Валькирия.
 
Последнее редактирование модератором:

Mitistofel

Green Team
03.06.2018
264
151
BIT
0
нет, лучше всего изучи вайршарк, трафик, мониторинг процессов служб и т.д
стань сам антивирусом.
Сканеры пропускают много, да и любой ав тоже хорошо все пропускают. Нельзя на них наедятся, так побаловаться только.
Я думал, что ты меня понял, что я примерно так и собираюсь делать.
Просто я заранее ищу способ, на тот случай, когда захочу проверить свой ПК на вирусы с помощью антивирусников )
вот
"Kaspersky Rescue Disk 18 — бесплатная программа, которая предназначена для проверки и лечения зараженных операционных систем без их загрузки."
Это что ли? Да там тоже надо скачивать .ico, ну а там внутри наверное целый разведовательный отряд )
 

Bypass

Green Team
02.02.2018
451
579
BIT
0
Не будете ли так любезны поделиться этим скриптом с начинающим?)) Плииз)
свой не дам, искать лень, можно батник сделать там ничего трудного или вот
что то похожее по теме


Параметры:
-f <[путь] имя файла> - вычислить хэш от 1 файла
-d <путь> - вычислить хэши от всех файлов и подкаталогов от указанного каталога
-l <имя файла> - [не реализовано] вычислить хэш от списка файлов
-s <имя файла> - куда сохранять результат рассчёта (по умолчанию - см. ниже)
-z - сохранить zip-образ (только для каталога)
-i - не вычислять хэш, только сохранить список файлов
-b - не ходить в подкаталоги
-t - не сохранять атрибуты, размер и дату-время создания файла (только хэш и имя файла)
-v - вывести результат на экран, не сохранять в файл
-p - сохранять время считывания файла
-y - использовать функцию SetCurrentDirectory (работает не всегда, но требуется для некоторых дисков с глубокой структурой подкаталогов)
-w - не вычислять хэши каталогов (т.е. вычислять только хэши файлов)
-o - вычислять хэш по алгоритму с ошибкой (как было в v0.9 - не SHA-1, но детерминировано)


По умолчанию:
Результат хэшифрования 1 файла сохраняется в <имя файла> + ".sha"
Результат хэшифрования каталога сохраняется в "folder.sha" в текущем каталоге

При хэшировании каталога на каждый файл и подкаталог для формируется запись такого вида:
[ R ] 5 630 249 243 21.10.2009 20:38:11 326b505b5778139f9ae31e882cfce525201fe536 enwiki-20091009-pages-articles.xml.bz2
где:
<атрибуты> < размер в байтах> < дата и время > < SHA-1 содержимого файла > < имя файла >

примеры:
1) ShaFile.exe -d E:\ -s dvd017.sha -z
Рассчёт хэшей всех файлов на диске E:, сохранение их в файл dvd017.sha и формирование zip-образа dvd017.sha.zip - например, для формирования индекса CD/DVD диска или для проверки целостности этого диска.

2) ShaFile.exe -d D:\ -i -s disk_d.lst
Формирование списка всех файлов на диске D без рассчёта хэшей - например, для формирования списка backup-а.

3) ShaFile.exe -f D:\enwiki-20091009-pages-articles.xml.bz2
Рассчитать хэш одного файла.

как все чекнуть быстро, грузишься в лайв, закатываешь систему в образ чекаешь хеш образа,идешь в лайв шинды запускаешь там сканер,после его работы подтираешь за ним его логи если он насрал в файловую систему, закатываешь систему опять в образ, чекаешь хеш если хеш изменился то сканер там что-то задел, это уже его мониторить нужно будет.

md5sum - чекер штатный в линуксе, если ты через него будешь паковать раздел с шиндой.
если шинда лайв, есть полно тулз обычно у них на борту, которые катают раздел в образы типо всяких реаниматоров и etc
 
Последнее редактирование:
A

ANR

Я короче понял, нужно просто найти такой ресурс, который позволит проверять ПК на вирусы, без установления каких либо файлов...
попробуй программу sigcheck, она вычисляет хеши исполняемых файлов и ищет по базе вирустотал, если будут совпадения, она выведет тебе результат. например 5/65, будет означать что 5 антивирусников из 65 считают файл вредоносным. программа консольная, достаточно одной команды - например:
проверка на вирусы диска С:
sigcheck64 -u -e -s -vt c:\
проверка на наличие левых сертификатов в системе:
sigcheck64.exe –tv
параметры командной строки:
-c Осуществлять поиск подписей в указанном файле каталога.
-e Проверять только исполняемые образы (вне зависимости от их расширения).
-i Отображать владельцев подписей.
-n Отображать только номер версии.
-q Тихий режим работы (не выводить заголовок).
-s Рекурсивный обход вложенных папок.
-u Отображать только неподписанные файлы.
-v Вывод результатов в формате CSV.
-vt Проверка на virustotal.com
 
  • Нравится
Реакции: Mitistofel

Mitistofel

Green Team
03.06.2018
264
151
BIT
0
проверка на наличие левых сертификатов в системе:
Судя по этому, можно провять не просто файлы, а целые жёсткие диски?

На "виндовс" тоже можно поставить?

Эта программа имеет открытый код, поэтому её можно спокойно устанавливать к себе и не бояться, что она куда то сольёт инфу?
 
A

ANR

Судя по этому, можно провять не просто файлы, а целые жёсткие диски?

На "виндовс" тоже можно поставить?

Эта программа имеет открытый код, поэтому её можно спокойно устанавливать к себе и не бояться, что она куда то сольёт инфу?
работает без установки, "сливает" только хеши на вирустотал. такое можно сказать облачное сканирование получается. проверка исполняемых файлов сразу всеми популярными антивирусами. а проверить нет ли слива куда еще можно с помощью wereshark.
 
  • Нравится
Реакции: Mitistofel
T

Timofejj

Вспомнилась мне программка "COMODO Leaktests". Новую версия не нашёл, а вот v.1.1.0.3 лежит в загашнике. На Agnitum удавалось тест доводить до 340 из 340. Но при таких настройках с ним работать не удобно. Но интересно то, что в XP оценка была 340, а в 7 не выше 300-320. Тогда как у Comodo выше 240 она не поднималась везде, чтобы я не делал с ним. Но это было несколько лет назад, разумеется тест уже устарел. Та версия датировалась от ноября 2008 года.
А про вирусы я говорить вообще не хочу. Часть известных вирусов Comodo пропускает и это видно на примерах в VirusTotal. Что весьма и весьма странно. Причём есть мнение, что он пропускает только те вредоносы происхождение которых, как-то имеет связь с АНБ США. Но вот последнее я подтвердить или опровергнуть не могу.
 
Последнее редактирование модератором:

SearcherSlava

Red Team
10.06.2017
943
1 259
BIT
109
@Bypass, здрав будь!
По мотивам твоих изысканий по данной проблематике обнаружились ссылки в поисковой строке.
Первая интересна текстом, выделенным жирным шрифтом, вторая - последним абзацем в "The Back Door".
Всем приятных чтений, обсуждений, и конечно же, бобра!

 
  • Нравится
Реакции: Bypass

SearcherSlava

Red Team
10.06.2017
943
1 259
BIT
109


p.s
В рассекреченных документах сообщается “Основные пользователи Comodo - клинические параноики, многие из которых не спешили обновиться даже до 6.X версии. Это какой-то позор, потому что продукт содержит просто огромную дыру в безопасности. Если бы такая дыра была на дорожном покрытии, то преодолеть ее можно было только грузовиком с огромными колесами”.
Comodo отреагировала на данную публикацию. В сообщении электронной почты представитель компании сообщает: “Самые страшные вещи не сообщаются ЦРУ, потому что они связаны с самим ЦРУ.

“Лаборатория Касперского” является одной из самой крупной компании в антивирусной индустрии с общей аудиторией более 400 миллионов пользователей.
Компания моментально отреагировала на публикацию WikiLeaks. Уязвимости, которые использовались агентством, уже устранены в антивирусах компании.
ага - старые закрыли, новые закладки открыли.

ИМХО это еще только то что разрешено знать в массе. То что можно было выкинуть в паблик по чей то указке.
А сколько там еще новых "приват зеродэев" наклепали за прошедший год, одному ЦРУ известно.

Not Only For Linux Users: G or DDG: Linux Aeris pdf
 

Bypass

Green Team
02.02.2018
451
579
BIT
0
Comodo пропускает и это видно на примерах в VirusTotal. Что весьма и весьма странно. Причём есть мнение, что он пропускает только те вредоносы происхождение которых, как-то имеет связь с АНБ США. Но вот последнее я подтвердить или опровергнуть не могу.
Вполне вероятно и совсем не фантастически выглядит. Наличие закладок от АНБ от железа до софта, уже практикуется со времен динозавров.
 
  • Нравится
Реакции: Vertigo

Mitistofel

Green Team
03.06.2018
264
151
BIT
0
"Microsoft Malware Protection" - этой штуке можно давать доступ к интернету, или вообще удалить? Сливает ли она инфу в ФБР? )
 

SearcherSlava

Red Team
10.06.2017
943
1 259
BIT
109
"Microsoft Malware Protection" - этой штуке можно давать доступ к интернету, или вообще удалить? Сливает ли она инфу в ФБР? )

@Mitistofel, здрав будь! Этим ты хотел спросить и сказать одновременно "насколько безопасно пользоваться продуктами Microsoft и какова при этом степень опасности пользования этими продуктами"? Забудь про Tor и Qubes OS, переходи на GoogleClean 3.6.108 Build 108. и будет тебе счастье, особенно, после прочтения описания к пользованию. По AV тоже все в ажуре: автоматически пересылаются с пользовательских компьютеров к владельцу антивируса не только исполняемые файлы, а любые документы, работа антивируса сопровождается утечкой с компьютера значительных объёмов данных. И ни предсказать, ни проконтролировать, какие именно данные утекут, ни предотвратить утечку, среднему пользователю не по силам. MMP - компонент продуктовой линейки MS, стоит ли ему доверять, если да, то на основании чего?
Посмотрев ссылочки, вывод приходит сам собою, что доверия нет и быть не может и ни одна компания ни лучше другой, а обычные пользователи ограничены в навязанном кем-то выборе, как говорится "чтобы вас не огорчить, можно данных получить"...

Всех читающих поздравляю с днем зимнего равноденствия, желаю успехов во всех делах и начинаниях и хорошего предновогоднего настроения!





Matrix.jpg
 
Последнее редактирование:

Mitistofel

Green Team
03.06.2018
264
151
BIT
0
автоматически пересылаются с пользовательских компьютеров к владельцу антивируса не только исполняемые файлы, а любые документы, работа антивируса сопровождается утечкой с компьютера значительных объёмов данны
Если "Microsoft Malware Protection" делает всё вышеперечисленное, тогда я предполагаю что он может быть потенциально опасен для меня, ибо я не хочу что бы мои данные куда то отправлялись без моего ведома.
Значит надо мне его удалить, либо оградить от интернета...
 

SearcherSlava

Red Team
10.06.2017
943
1 259
BIT
109
Если "Microsoft Malware Protection" делает всё вышеперечисленное, тогда я предполагаю что он может быть потенциально опасен для меня, ибо я не хочу что бы мои данные куда то отправлялись без моего ведома.
Значит надо мне его удалить, либо оградить от интернета...

@Mitistofel, здравым будь! То, что ты не хочешь, чтобы твои данные куда то отправлялись без твоего ведома, это только твое субъективное мнение в объективной реальности, которая, в отношении БЕЗопасности зарубежного ПО, весьма далека от совершенства.
Гипотетически, конечно, можно регулярно обнулять SMART в WDmarvel, можно в любом HEX редакторе заполнять сектора нолями, добиваясь того же эффекта, как от DBAN & KillDisk & Viktoria & MHDD & HDAT2, etc, в отношении отсутствия упоминаний о таблицах разделов, но как быть с программными закладками в самих HDD & SSD, которые наверняка имеют место быть со своими недокументированными функциями, это есть вопрос вопросов. Посмотри(те) ссылочки, может быть кому-то их контент окажется полезен. Не обессудьте, если что...




 
Последнее редактирование:
  • Нравится
Реакции: Mitistofel

Mitistofel

Green Team
03.06.2018
264
151
BIT
0
@Mitistofel, здравым будь! То, что ты не хочешь, чтобы твои данные куда то отправлялись без твоего ведома, это только твое субъективное мнение в объективной реальности, которая, в отношении БЕЗопасности зарубежного ПО, весьма далека от совершенства.
Гипотетически, конечно, можно регулярно обнулять SMART в WDmarvel, можно в любом HEX редакторе заполнять сектора нолями, добиваясь того же эффекта, как от DBAN & KillDisk & Viktoria & MHDD & HDAT2, etc, в отношении отсутствия упоминаний о таблицах разделов, но как быть с программными закладками в самих HDD & SSD, которые наверняка имеют место быть со своими недокументированными функциями, это есть вопрос вопросов. Посмотри(те) ссылочки, может быть кому-то их контент окажется полезен. Не обессудьте, если что...




Видно, что ты разбираешься в этом, потому что большую часть из того что ты написал - вообще не понял )
 

SearcherSlava

Red Team
10.06.2017
943
1 259
BIT
109
Видно, что ты разбираешься в этом, потому что большую часть из того что ты написал - вообще не понял )

@Mitistofel, здрав будь! Рад твоему эфирному проявлению. Ты прав, у каждого свое "куку". Восстановление данных второе, после извлечения данных из неструктурированных источников, хобби, которое дает ни с чем несравнимое вдохновение, ради которого стоит жить, а про понял-не понял, тут каждому свое, данное свыше, это тоже самое, как поэты видят стихи, художники видят картины, музыканты музыку, прогеры понимают, как работают программы, обладая мышлением программиста, реверс-инженеры понимают ассемблер и его листинг и т.д, кто-то понимает, как обращаться с поисковыми операторами, всему этому можно пробовать научить извне, но что-то мне подсказывает, что это либо есть изначально и это можно развить, либо нет вообще.

У каждого из нас своя судьба и каждому дано своё мерило.
Кому-то лампочка - заветная мечта, кому-то солнце не светило.
Кого-то речка остановит навсегда, кого-то океан на миг задержит.
Кому-то в радость трудные дела, кому-то просто встать уж сердце режет.
Один всё понимает лишь взглянув, другому нужно объяснять, порою годы.
И кто-то в бездну не задумавшись шагнул, а кто-то перейти не смог дорогу.
У каждого из нас своя судьба и каждому дано своё мерило.
Лишь только жизнь нам всем дана одна, ищи себя и то, что сердцу мило.
 
Последнее редактирование:
  • Нравится
Реакции: Mitistofel

Mitistofel

Green Team
03.06.2018
264
151
BIT
0
@Mitistofel, здрав будь! Рад твоему эфирному проявлению. Ты прав, у каждого свое "куку". Восстановление данных второе, после извлечения данных из неструктурированных источников, хобби, которое дает ни с чем несравнимое вдохновение, ради которого стоит жить, а про понял-не понял, тут каждому свое, данное свыше, это тоже самое, как поэты видят стихи, художники видят картины, музыканты музыку, прогеры понимают, как работают программы, обладая мышлением программиста, реверс-инженеры понимают ассемблер и его листинг и т.д, кто-то понимает, как обращаться с поисковыми операторами, всему этому можно пробовать научить извне, но что-то мне подсказывает, что это либо есть изначально и это можно развить, либо нет вообще.

У каждого из нас своя судьба и каждому дано своё мерило.
Кому-то лампочка - заветная мечта, кому-то солнце не светило.
Кого-то речка остановит навсегда, кого-то океан на миг задержит.
Кому-то в радость трудные дела, кому-то просто встать уж сердце режет.
Один всё понимает лишь взглянув, другому нужно объяснять, порою годы.
И кто-то в бездну не задумавшись шагнул, а кто-то перейти не смог дорогу.
У каждого из нас своя судьба и каждому дано своё мерило.
Лишь только жизнь нам всем дана одна, ищи себя и то, что сердцу мило.

Стихи хорошие, говорящие о том, как есть на самом деле... )
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!