Iomhar Dealgach Опубликовано 25 августа, 2007 Жалоба Поделиться Опубликовано 25 августа, 2007 Comodo Memory Guardian Beta 1 Защита от атак переполнения буфера. Comodo честно заявляет что защитит от таких атак на 90% с плюсом! И как многие продукты Comodo - freeware! Качаю и начинаю тестить! Линк - http://www.softpedia.com/progDownload/Como...load-82058.html (Погуглив, найдете линков больше!) Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 26 августа, 2007 Жалоба Поделиться Опубликовано 26 августа, 2007 (изменено) Сразу нужно оговориться, что эта программа по сути бесполезна, если у вас работает системная защита памяти Windows - функция DEP (Data Execution Prevention - "предотвращение выполнения данных"). Скажем, на запуск тестового файла - test32.exe - из папки Comodo Memory Guardian, Windows среагировала быстрее: Эта функция была реализована в Service Pack 2 для Windows XP и в Windows Server 2003 (но её работоспособность зависит от "современности" вашего процессора и от того, реализована ли в нем соответствующая поддержка). Start (Пуск) > Control Panel (Панель Управления) > System (Система) > вкладка 'Advanced' ('Дополнительно') > кнопка 'Settings' ('Параметры') в разделе 'Performance' ('Быстродействие') > вкладка 'Data Execution Prevention' ('Предотвращение выполнения данных') Поэтому советую, после установки Comodo Memory Guardian обязательно запустить файл test32.exe и проверить, что будет. Таким образом реагирует Comodo Memory Guardian: т.е. такое окошко будет означать, что функция DEP у вас не работает, и Comodo Memory Guardian действительно может вам пригодиться. ________________ Плюс хочу заметить, что ряд вирусов, распространяющихся в последнее время через e-mail в качестве поздравительных открыток (ecard.exe и т.п.) прекрасно "срубаются" такой вот защитой (именно функцией DEP; Comodo Memory Guardian - к сожалению, никак здесь не реагирует): Точно также закрывается и браузер (в том числе и Mozilla), если вдруг "нарываешься" на соответствующий эксплойт (разумеется, закрывается для того, чтобы избежать заражения). Ссылки по теме: Переполнение буфера Подробное описание функции DEP Изменено 28 августа, 2007 пользователем Saule Ссылка на комментарий Поделиться на другие сайты Поделиться
Iomhar Dealgach Опубликовано 28 августа, 2007 Автор Жалоба Поделиться Опубликовано 28 августа, 2007 Сразу нужно оговориться, что эта программа по сути бесполезна, если у вас работает системная защита памяти Windows - функция DEP (Data Execution Prevention - "предотвращение выполнения данных").... Если работает... В смысле: "Процессор компьютера должен поддерживать аппаратную функцию DEP" Проверил - FALSE Тогда пригодится? Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 2 сентября, 2007 Жалоба Поделиться Опубликовано 2 сентября, 2007 Если работает... В смысле: "Процессор компьютера должен поддерживать аппаратную функцию DEP" Да, если процессор компьютера поддерживает аппаратную функцию DEP, и сюда входят процессоры семейства AMD Athlon 64, новое поколение Intel: Intel Core 2 Duo, Pentium 4, Pentium D, Pentium M и др. Аббревиатуры NX (No Execute) и XD (Execute Disabled). В описаниях процессоров Intel эта поддержка может также обозначается как EDB (Execute Disable Bit): Проверил - FALSEТогда пригодится? Не знаю, возможно :(В целом, если сравнивать Comodo Memory Guardian с другими решениями по этой части, то эта программа очень стабильно работает (просто пару раз была свидетельницей тому, что после установки программ этого класса (Buffer Overflow Protection) - можно было переустанавливать Windows, к Comodo Memory Guardian - это никак не относится). Но с другой стороны - за часа два так и не удалось найти подходящего эксплойта, на который бы Comodo среагировал (кроме, как на его собственный test32.exe). DEPTest от Sys-Manage: DepTest.rar DepTest.rar Ссылка на комментарий Поделиться на другие сайты Поделиться
Tyler Durden Опубликовано 10 сентября, 2007 Жалоба Поделиться Опубликовано 10 сентября, 2007 1. ДЕП легко обходиться атакой типа ret2libc (пример такой атаки появился в сети спустя буквально пару дней после выхода предварительных данных о ДЕПе), CMG же защищен от нее. 2. В большинстве случаев ДЕП даже не надо обходить, дело в том, что независимо от его режима (AlwaysOn, OptOut и проч.) винда включает/выключает ДЕП динамически, в зависимости от предустановок в ее собственной базе данных sysmain.sdb, а так же по прохождению некоторых проверок, к примеру на упаковоность файла exe-пакером/защитой старфорсом/securom'ом/пр. Так что на большое кол-ве приложений ДЕП просто отрубается самой виндой, и вы остаетесь "ни с чем" 3. Пожалуйста, покажите мне хотя бы один эксплоит который не ловит CMG. Всякие тестеры ДЕПа не предлагать :D Они абсалютно ничего не делают, нужно любой реальный эксплоит, который хотя бы запускает калькулятор (как, к примеру, все эксплоиты с milw0rm.com и проч.). Мной лично было проверенно около 10 0day эксплоитов, и бесчисленное кол-во стареньких а-ля RPC DCOM - CMG успешно их все отловил, о чем вы можите прочитать на форуме комодо (и посмотреть скриншоты реальных атак). Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти