Все мы не раз сталкивались с этими барьерами на пути к своей цели.

обсуждаем, делимся способами обхода :cool:

дарагие друзья, здесь делимся инфой и выкладываем на шару!
интересуют системы обхода встроенных фаеров-комбайнов и популярнейший Outpost

дарагие друзья, здесь делимся инфой и выкладываем на шару!
больше интересует встроенные фаеры-комбайны и популярнейший Outpost
Ну оутпост насколько я помню, обходит джоинер от Gloff

Ну оутпост насколько я помню, обходит джоинер от Gloff
нахуя джойнеру обход фаера?

Джоинер и обход? Эт чет новенькое... Криптору нужен обход, а джоинеру он нах? Он тупо копирует в темп и усе...

Джоинер и обход? Эт чет новенькое... Криптору нужен обход, а джоинеру он нах? Он тупо копирует в темп и усе...
нахуя криптору обход фаера?

Думаю актуальной инфой с тобой бесплатно никто делиться небудет.А так советую запостить вапрос на www.wasm.ru

Ну и чё ты снял видео думаешь такой крутой??Что твой антикав делает? только значок из трее скрывает и все, хотя бы для приличия показал диспечер задач, запущен там кав процессорах или нет

может стоит почитать статьи на ачате?

единственный способ обхода- хороший ручной крипт

Ну и чё ты снял видео думаешь такой крутой??Что твой антикав делает? только значок из трее скрывает и все, хотя бы для приличия показал диспечер задач, запущен там кав процессорах или нет
во первых я не обязан тебе ничем и ничего доказывать не собираюсь
и во вторых, надеюсь у тебя получиться тоже снять видео, и ты станешь почти таким крутым как я :D

единственный способ обхода- хороший ручной крипт

да ну ? он от фаера спасет ?

Мой джойнер лиш выгружал OutPost до 4 версии. Путем кликанья по кнопочкам :(

А по настоящему хороший обход проактивных защит и файеров - дорого стоит. Стоит только взглянуть на продажу лоадеров. от 200 до 800 wmz - за файлик )

клеим с чем нибудь троя и трой подписываем как update и когда жертва запускает кленую прогу фаэрвол просит разрешение на выход трояна подписанного как update в большинстве случаев ему разрешают выход

клеим с чем нибудь троя и трой подписываем как update и когда жертва запускает кленую прогу фаэрвол просит разрешение на выход трояна подписанного как update в большинстве случаев ему разрешают выход

билибирда ... и не обход вобще...

Ну может на неопытных пользователей пройдет. А так конечно не серьезно.

ТОлько ж недавно три статейки по этому поводу написал.. см. раздел "Наши Статьи"

Где то я читал что толкового способа обхода outpost 2008 (6) по сей день не существует. Тем более если он правильно настроен то вероятность простучаться очень и очень мала. По крайней мере все боты которые я видел на продаже функцией обхода 2008 аутпоста похвастаться не могли.

в ксинче было 2 очень полезные фичи:
- отсылать через IЕ
- и прилеплять любое инфо к трою
- он не делает DNS запросы

у того кто любил эксплорэр фаеры сосали с проглотом =)

развели тут =\

можно поснимать хуки с Sdt, можно напрямую вызывать функции из ядра..

Deneb OutPost 2008 (v6) Можно также вырубать\выгружать путем нажатия на кнопочки. :)

']А я читал что outpost 2008 обойти не х*й делать! Что это кривой фаер!

Только опуститьсь в ринг0 или получить, функции ядра по средством драйвера.

Не соглашусь по нескольким причинам
1 на фаер можно поставить пасворд протекдет защиту (не вырубится пока пасc не введешь).
2 дабы погрузится на уровень ядра надо свой драйвер грузить а аутпост такое дело видит и сразу запрашивает об этом.
3. Под вистой на уровень дров вообще нереально попасть тк у нее на все проверки своей подписи.

И в 4 вы забываете о самом главном что нужно сначала вообще в систему загрузится дабы уже что либо вырубать.

Я думаю если бы все было так просто все трой бы давно говорили о том что обходят аутпост...

']А я читал что outpost 2008 обойти не х*й делать! Что это кривой фаер!
Доква в студию...

в ксинче было 2 очень полезные фичи:
- отсылать через IЕ
- и прилеплять любое инфо к трою
- он не делает DNS запросы

у того кто любил эксплорэр фаеры сосали с проглотом =)
Комодо тут бы отсосал молча.... А вот локальную безопасность аутпост'а такими вещами не проведешь.


Вообще выгруз фаера из системы это не выход. Любой мало мальски соображающий человек обнаружит что то не ладное при таком раскладе....
На самом деле даже аутпост можно обойти если руки у человека юзающего его кривые и мозг высохший.

Как уже писалось выше я вижу обход в том что бы человек сам нажимал разрешение на доступ тому что мы грузим.

2 дабы погрузится на уровень ядра надо свой драйвер грузить а аутпост такое дело видит и сразу запрашивает об этом.
подмена драйвера работает + свои хитрости

Возможно =) Незнаю у меня уже давно виста стоит а сюда вообще хрен что левое загрузишь в дроваки(правда кто то говорил что можно в висте грузить не подписанные драйвера).

Комодо тут бы отсосал молча.... А вот локальную безопасность аутпост'а такими вещами не проведешь.


Только что проверил, проводится :)
какая именно опция в лок. безопасности перехватывает ?

Не соглашусь по нескольким причинам
1 на фаер можно поставить пасворд протекдет защиту (не вырубится пока пасc не введешь).
2 дабы погрузится на уровень ядра надо свой драйвер грузить а аутпост такое дело видит и сразу запрашивает об этом.
3. Под вистой на уровень дров вообще нереально попасть тк у нее на все проверки своей подписи.

И в 4 вы забываете о самом главном что нужно сначала вообще в систему загрузится дабы уже что либо вырубать.

Я думаю если бы все было так просто все трой бы давно говорили о том что обходят аутпост...


Доква в студию...


Комодо тут бы отсосал молча.... А вот локальную безопасность аутпост'а такими вещами не проведешь.


Вообще выгруз фаера из системы это не выход. Любой мало мальски соображающий человек обнаружит что то не ладное при таком раскладе....
На самом деле даже аутпост можно обойти если руки у человека юзающего его кривые и мозг высохший.

Как уже писалось выше я вижу обход в том что бы человек сам нажимал разрешение на доступ тому что мы грузим.


1. Делать нефиг - все пользователи ставят пароль на файрвол

2. Рассмотрел как вариант

3. Мы не затрагивали конкретную ОСь

4. Опять же мы же не вирус обсуждали конкретно, что бы грузится в систему.


>Любой мало мальски соображающий человек >обнаружит что то не ладное при таком раскладе....

Ни чего не обнаружит, если сделать тихо, приостановть службы.

Выход, всегда есть, ведь некто не запрещал (кроме закона об авторском праве) искать переполнение буфера, или какието недочеты в Аутпост. На эту тему есть видео Джоана Рутковска сняла, где взть не помню.

В аутпосте 3 функции это 1 запуск изменных исполняемых фаилов, 2 это проверки на инжект и запросы об этом, 3 проверка на доступ в инет от измененых исполняемых фаилов.(на повышенных настройках безопастности)

Насчет приостановить службы тут очень геморно(на выключение не дается никак даже если сам хочешь) проще саму оболочку вырубить... и орать не будет и пропускать все будет...


П.С. Что то мне кажется что игра не стоит свеч. Обычный пользователь не станет ставить себе аутпост(геморно очень с ним разбиратсо) а проюзерь думать головой умеет....

П.П.С Как говорится на любой замок есть свой лом вопрос в том будет ли эквивалентна цена затраченного времени и сил цене полученной инфы....


Зед ты проверь свой настройки безопастности возможно там в исключениях все висит поэтому и проходит(доверенная зона?).

Зед ты проверь свой настройки безопастности возможно там в исключениях все висит поэтому и проходит(доверенная зона?).

нет исключений!

но в опциях контроля антилик я отключил все подозрительный кроме вызов DNS

Поэтому и молчит =) Честно говоря хз какой пункт конкретно - попробуй поставить спрашивать у всех пунктов. ПЛюс включи контроль компонентов
1 Только измен комп приложений.
2 Только исполняемые фаилы приложения.
3 Предупреждать о запуске изменных исполняемых фаилов.

Плюс Включи Контроль критических обьектов и поставь все галочки.

1 Только измен комп приложений.
2 Только исполняемые фаилы приложения.
3 Предупреждать о запуске изменных исполняемых фаилов.


это опции по дефолту, я ничего не менял

а в контроле антилик если все галки поставить - проще сразу повеситься =)))

да ну ? он от фаера спасет ?
ну только разрешение спросит, а это можно обойти СИ

и я щас имею ввиду не палево на посылку логов, а палево как вирус

код утилитки, которая выносит каспера 2009
http://slil.ru/25843769
под семерку можно какнибудь переделать ? что там за код

2009 еще мега бета. Там багов как муравьев в муравейнике.

2009 еще мега бета. Там багов как муравьев в муравейнике.

Такие громкие заявления, ни чем не доказанные...
Можно подумать, вы ковырялись в нем и можете утверждать таковое, приведите тогда доказательства

Что бы утверждать, необходимо привести доказательства!

Кхм почитай форумы касперского раз(можно и другие форумы). Второе я не говорю о дырах которые могут помочь вынести его я говорю вобщем.
Третье не было бы там багов не было бы беты :D

а вот какбэ полный набор для выноса KIS 2009 из систему
пр-во kaspersky lab :D
http://slil.ru/25844799

к сожалению на новой сборке KIS 8 воспроизвести не удалось, а на более старых прокатывало
походу исправили

под 7.0.1.325 прокатывает на 50%
при запуске ничего не вырубается (видимо зашифрованный код надо до ума довести) но после перезагрузки KIS полностью неработоспособен ввиду сбоев во всех его модулях. Переустановить тоже бесполезно=)

у меня виста, оутпост (на максимальном уровне), нод32.
как ко мне попал троян zloi я не понимаю. качал только с оф сайтов
мало, по мелочи один раз и проверял что качаю.
трой пролез на рековери диск, обрушил какие то дрова,
позаражал все что было.
висту восстановил, но все равно проблемы кое какие остались.
а вы - невозможно, невозможно.
возможно!
я слежу за темой, не останавливайтесь.) поучитсья бы у человека:rolleyes:

невозможно, невозможно.
ммм..кто сказал невозможно...? я вроде уже написал два способа.. все прекрасно обходится..

у меня виста, оутпост (на максимальном уровне), нод32.
как ко мне попал троян zloi я не понимаю. качал только с оф сайтов
мало, по мелочи один раз и проверял что качаю.
трой пролез на рековери диск, обрушил какие то дрова,
позаражал все что было.
висту восстановил, но все равно проблемы кое какие остались.
а вы - невозможно, невозможно.
возможно!
я слежу за темой, не останавливайтесь.) поучитсья бы у человека:rolleyes:

Оутпост 6 с вистой глючит говорят..
а антивирус советую сменить на авиру. нод против троев слеп как крот

Обнаружил. Достаточно загрузить свой драйвер в систему и аутпост выносится на раз два три.... правда он рестартится сразу после этого но это уже не то....
п*дц. Тестировал GMER'ом но думаю аналог его драйвера возможен.

Еще: многие зловреды умеют копировать себя и прописывать в автостарт даже без запроса админ привилегий (например туркоян). Если считать что подмема драйверов возможна(как описывалось в этой теме) получаем перспективу троя обходящего проактивки. Единственное НО нужно опять же загрузится в систему.

П.С. На висте стоит проверка цифровой подписи драйверов так что абы что не загрузить. На хрюшку грузи че хошь...

Обнаружил. Достаточно загрузить свой драйвер в систему и аутпост выносится на раз два три.... правда он рестартится сразу после этого но это уже не то....
п*дц. Тестировал Gmer'ом но думаю аналог его драйвера возможен.

и шо даст загрузить ? типа локальная безопасность больше не рулит ? ;)

Нда походу я погорячился насчет аутпоста... :D :D Хех хотя GMer выносит и каспер и вообще что хочешь :D .