Вопрос можно ли потушить(вырубить, отключить, сделать так чтобы фаер отказал ,или не работал)

как нибуть через cmd или через удаление определенной библиотеки , которую он использует, можно ли удалить ключи реестра и ребутнуться в автозагрузке поствив батник которые удалит ..../Outpost Firewalldir/*

в общем как угодно можно вырубить его?

я уже милион раз писал что он использует ДРАЙВЕР
нельзя никак. можно только vbs скриптом послать нажатия клавишь. и все.

kezЭто уже личная неприязнь , или просто хочеться репу в минуса опустить?

В папке фаера есть файл plugins.ini , короче его или переименовываешь, или очищаешь, и в итоге при перезагрузке фаер не грузит не одного плагина и всё пропускает...

+toxa+
Тоха я в шоке переименовал с cmd outpost.exe во время того, когда он был запущен , переименовался без проблем, дальше нужно ребутить машину , или как либо угодно повесить её - способов миллионы, машина ребутиться и фаер нестартует :)

Ещё поищу варианты по выносу фаера , когда он запущен я думаю вариантов много например перезагрузка лога ошибок, VB, иные подвисание системы, ну нужно калупаться, но и так нормально ;)

Тоха я в шоке переименовал с cmd outpost.exe во время того, когда он был запущен , переименовался без проблем, дальше нужно ребутить машину , или как либо угодно повесить её - способов миллионы, машина ребутиться и фаер нестартует

И что ты этим добился? Клиентская часть фаервола не включилась. А драйвер работает.


В папке фаера есть файл plugins.ini , короче его или переименовываешь, или очищаешь, и в итоге при перезагрузке фаер не грузит не одного плагина и всё пропускает...

Не-а, как раз не будет
UPD: вообще про 3.0 я точо не могу сказать, но последней 3.5 точно ничего страшного не будет... проверил


или просто хочеться репу в минуса опустить?

Нет, я просто понижаю а потом разом все минусы удаляю, так сразу повышается намного. Вот как у тебя сейчас.

kez добился того, что теперь нат алертов фаера, а правила в него можно внести без его участия!


Нет, я просто понижаю а потом разом все минусы удаляю, так сразу повышается намного. Вот как у тебя сейчас.

ну и зачем ?так не честно :(

KEZ, я собственными глазками видел как Outpost с прописанным в настройках паролем вываливается раз и практически навсегда. Говорю про Outpost Firewall Pro ver. 3.0.557.5918 (437) Если интересно, то отпиши в личку, скину один файлик, поглядишь. Он просто завершается, каким образом - не знаю, в памяти dll которая это делает. Повторные запуски - он включается и выключается. В общем убивает наповал...

Ну создайте мне правила без его участия... Покажите потом исходник)))))))

kez а что мешает создать правило в рабочей клиентской части, а потом это правило применить , когда клиентская чать будет в дауне...
Веть есть же правило "однократно разрешить", следовательно оно где-то записывается?
Как говорил Винни Пух:
"если есть пчелы , значит есть мед ;) "

До недавнего времени все версии до OutpostPro_v3.0.543.431 дохли намертво(те на уровне драйвера) от простейшего
taskkill /PID pid_outposta /F /T
Обновлённая 3.0.557.5918 подыхает при
taskkill /PID draivera_outposta /F /T
...но при этом кранты приходит почти всем службам, вываливаеться алерт_RPC и толку при таком раскладе = 0
Есть такая программулька (http://sec-123.narod.ru/knlps.rar) . Нашёл кое на каком сайте. Я аж подпрыгнул, когда увидел, как она вышибает ЛЮБОЙ процесс... (привет лаборатории Касперского =] ..всмысле, на него тоже действует УБОЙНО! ). Причём это не вирус и не опасное ПО.
Оутпост великолепно дохнет, включая последнюю версию, при этом службы продолжают функционировать.

А то что его обойти нельзя... Ну, то что сложно, я верю =] наверняка есть способ

ВОТ ТАКАЯ (http://orangelampsoftware.com/download_index.htm) програмка ещё есть, тож процессы килять...

Прога работает отлично под Win XP Home/Pro , не работает на Win9x/ME.
Фаер вынесли с задач, дальше с Консоля удалили его ;), остаёться разобраться где живет драйвер , который следит за правилами, но веть порт можно разблокировать , когда фаера в природе нет?

Спасибо Elekt'у!!!

taskkill /PID draivera_outposta /F /T


мдааааа................

можно впринципе убить и 3.5... его процесс не такой уж неубиваемый - нужно снять хуки с sst: NtTerminateThread,
NtTerminateProcess, ну и конечно NtOpenProcess
и пожалуйста-убей клиенскую часть...
правда сдесь свой драйвер нужно писать..

Хотел сказать, что "обход" фаервола каждый видит по разному.

Любитель склеит джониером комплект прог, пропишет параметры на выполнение. И фаервол будет обойдён.. грубо, но сработает.

А профи любит красивый обход. Чтоб и невидно, и не тормозило, и работало. Одним словом - уровень.

Каждому конечно своё.

Скорее всего, Кез, ты видел этот тест http://www.firewallleaktester.com/tests.htm
Так что вроде как способы имеються. Лично я в тебя верю. Это не разработчик такой умный, это кто-то пессимист=]

мдааааа................

Ну тык =] Автор топика просил простых способов
как нибуть через cmd или через удаление определенной библиотеки

Была б просьба "Ищу исходники троя для обхода аутпоста, Кез помоги мне!" -- я б не лез =]

Elekt, я тебе могу описать как мы с другом пытались намутить обход 7 уровней защиты (про коротые я писал, хуки miniport, ndis и т д), и что у нас получилось. История занимательная, но тут важен уровень. Не знаю, нужно ли тебе читать такой текст, но по крайней мере я пробовал. И ещё ни разу в жизни никто аутпост не обошел. (Угадаю: ты напишешь про инжект сейчас? не надо, я уже 666 раз такое читал)


Ну тык =] Автор топика просил простых способов

я "мда" написал, т.к. ты предложил "драйвер аутпоста" убить такскиллом

вышибает ЛЮБОЙ процес


http://wasm.ru/article.php?article=apihook_2
читай внизу, где написано "DebugKillProcess"

Гы молодец eleck круто. Kez а ты всё таки бываешь иногда не прав и не надо с этим спорить :).

Да, точно он крут...
Особенно вот этим ЦИТАТА "taskkill /PID draivera_outposta /F /T"

Вообщето в большинстве фаеров достаточно удалить автозагрузку из регистра (это я для троянов изучал), после перезагрузки ничаго не работает, и троян может спокойно отсылать все что хочет и куда хочет (это относится также к za), но кез прав, токо драйвер аутпоста продолжает после этого работать и ничаго хорошего не выходит. Возможно его можно как нибуть запороть через dll или покопавшись в регистре. Как раз этим я сейчас занимаюсь, если че получиться то скажу

а это (http://www.site.pyccxak.com/modules.php?name=Articles&pa=showarticle&articles_id=67) до какой версии актуально?

люди

я миллиард раз писал что он перехватывает в ядре ZwWriteVirtualMemory и защиту эту снять очень просто

вся эта херня что там написана НИКАК ВАМ НЕ ПОМОЖЕТ
обойти аутпост. все приложения абсолютно так-же засветятся в мониторе, SYN флуд идти не будет и много чего ещё.

спасибо за ответ. то что они в мониторе будут и так понятно. просто монитор не смотрят каждую минуту.. а обходить аутпост или что либо еще я и не собирался.. просто теоретически интересно.
но для занесения в список доверенных это реально действенно (в 3.5*)?

У меня работает на последнем - 3.5
Эта штука пойдет в драйвер для моего софта


просто монитор не смотрят каждую минуту..

смотрят. мой сосед так делает. ему никогда в жизни трояна не впаришь.
даже если не заблокируется, все равно сразу инет отрубит.

http://www.firewallleaktester.com/tests.htm2Elekt может я мудак,но видел это очень давно,и если я не ошибаюсь то аутпост тестировался 2.5 и уже в 2.7 все пофиксили...

хотя нет, на 3.5 не работает способ выше

2Elekt может я мудак,но видел это очень давно,и если я не ошибаюсь то аутпост тестировался 2.5 и уже в 2.7 все пофиксили...
пофиксили но на всё

А если просто сначало вырубить, а при выходе врубить?

Через реестр заходите в windows reestr расположение аутпоста и удаляете ВСЕ значения (кроме по умолчанию). и еще так же можно просто убрать из автозагрузки - через реестр и через Run\msconfig

Через реестр заходите в windows reestr расположение аутпоста и удаляете ВСЕ значения (кроме по умолчанию). и еще так же можно просто убрать из автозагрузки - через реестр и через Run\msconfigДа? А ну сними видео. В этом же топике ясно сказано что это убивает только клиентскую часть. Драйвер - штатными способами не выгрузишь.

http://www.wasm.ru/article.php?article=fwb

http://www.xakepy.ru/showthread.php?t=16336
http://www.xakepy.ru/showthread.php?t=15492
http://www.wasm.ru/forum/index.php?action=vthread&forum=6&topic=8707&page=1

Гыыыы сегодня написал фишку для вырубания фаеров из Ваших приложений:
Для её написания качаем планировщик hxxp://nncron.ru/download.shtml

можно исходник , для тех, кому важен малый размер файла, отрабатываем нажатие клавишы выхода с фаера через скрипт для ннркон:

#( Убить_Outpost_Firewall
NoActive
Action:
WIN-RESTORE: "Outpost Firewall Pro*"
WIN-ACTIVATE: "Outpost Firewall Pro*"
SEND-KEYS: "@(x)"
SEND-KEYS: "{ENTER}"
)#

он отрабатывает нажатия класиши ALT+X ENTER ну дальше ещё немного Вашего вообщаражения и вырубается аж бегом,конечно если он не под паролем , ну а вообще сейчас страдаю с пидами т.е. с их убийством ;) зная пид рубиться тоже лёгко - даже удаленно!

Давно ничего нового не писал и Outpost Firewall уже достаточно развился, но вот заметил один небольшой как я считаю баг он совершенно игнорирует спутниковый поток который получаешь с DVB интерфейса спутниковой рыбалки , дальше надо думать...