kceh

Вышел XAS 4.4.1. Теперь можно просто сносить записи автозагрузки, не трогая сами файлы. Также улучшена совместимость с Windows Vista.

Берем отсюда же: http://xen.name

Заранее извиняюсь, если боян. Время близилось к утру. Моск постепенно переходил в спящий режим. Я задумчиво ковырял системную директорию своих русифицированных оемных виндов XP со вторым сервис-паком. И вот что наковырял...

ahui.exe

Всего лишь "Пользовательский интерфейс мастера совместимости приложений", но настроение сразу поднялось на несколько пунктов :)

wifeman.dll

Еще одно прикольное название. Внутри притаилась строчка на русском языке: "Возов не поддерживаемой Windows 2000 функции шрифтов WIFE.". Да-да, именно так, с опечаткой. Судя по тому, что файл этот формата NE, опечатка имеет весьма солидный возраст :)

blastcln.exe

Blaster/Nachi Removal Tool. Средство борьбы с червяком, ддосящим ненавистный Micro$oft, встроенное во второй-сервис пак, насколько я понял. Видимо, корпорации здорово досталось в свое время ;)

Да, давненько не заглядывал я в свой ЖЖ... исправляюсь.

Итак, как это принято освещать в некоторых кругах ;) тихо и незаметно вышел XAS 4.3.6 Lite.
Добавлена поддержка новых типов автозагрузки, использующихся ITW-спайварем, убраны модули обновления баз и монитора. Последние вызывали больше вопросов, чем приносили пользы... так что пока будем обходиться без них. Также выложил архив программы, не требующий инсталляции.

Ссылки:

Инсталлятор http://xen.name/XenAntiSpyware_setup.exe
ZIP http://xen.name/XAS_4.3.6_Lite.zip

Как всегда, жду ебилдов... тьфу, отчетов сканирования системы :)

Появился новый антиспайварный и не только форум - VirusHelper, официальное место обсуждения (пока что) двух проектов, XenAntiSpyware и wipfw.

Если подцепили какую-нибудь заразу, с которой не справляется антивирус, либо же антивирус ставить лень ;) то добро пожаловать на VirusHelper. Поможем, чем сможем, всегда дадим совет.

Также XAS обновлен до 4.3.2, всем рекомендую скачать новую версию.

Интервью с rav, автором системы превентивной защиты DefenseWall HIPS (Host Intrusion Prevention System) и DefencePlus.

http://www.softsphere.com

Привет. Мы все знаем тебя под ником rav, который засветился на WASM'e, VirusInfo...
Как тебя зовут в действительности и сколько тебе лет?

Привет, меня зовут Илья Рабинович, мне 30 лет.

Где живешь?

В Москве.

Какова твоя основная работа?

Сейчас моя основная работа - DefenseWall HIPS. До этого работал на разных дядь как системный программист, программист смарт-карт, программист POS-терминалов и самосовершенствовался в написании своих программ. Ещё до этого - учился в МИФИ по специальности "ядерная физика" и самообучался на системного программиста. Аспирантуру по официальной специальности так и не закончил...

Как пришел к мысли заняться проектом DefenseWall и DefencePlus? Как давно работаешь над ними?

DefencePlus (первоначальное название - Anti-Cracker Shield) возник как ответ на проблему атак с использованием переполнения буферов. В Windows отсутствовала всяческая защита от данного вида угроз, а мне по диалапу тащить мегабайты и мегабайты заплаток совсем не хотелось. И взломанным быть не хотелось. Так и возник этот проект. Всю архитектуру и логику программы придумал и запрограммировал сам, под свои нужды и запросы (у меня P2-450, и превращать собственную работу на компьютере в слайд-шоу мне не хочется, опыта установки KAV 5.0 мне хватило сполна). Над проектом работаю три года, но там уже практически нечего совершенствовать.

DefenseWall возник как ответ на вызов. Любой десятикласник с опытом программирования с полгода в Delphi, обчитавшийся в Инете страничек на тему "Как сделать троя" и купив приватный эксплойт для браузера (хорошо живут десятиклассники... - прим. ред.), мог вломиться мне на компьютер как к последнему лоху, а ведь я профессионал! Антивирусы уже давно не справляются с валом подобных поделий, а те системы превентивной защиты, что я видел, вызывали стойкое желание снести их после пяти минут использования. Хотелось иметь свою собственную систему защиты от вирусов и зловредного ПО, которое подходило бы мне по системным требованиям (напомню, у меня P2-450), по юзабилити (всплывающие окна классических проактивных систем защиты меня просто убивают), и которую я мог бы полностью контролировать (то есть, если я обнаруживаю дыру в системе защиты, я мог бы сам оперативно её заштопать). Как всегда, всю архитектуру программы создал и запрограммировал сам. Над проектом работаю почти полтора года.

Оба проекта разрабатываются под брендом SoftSphere Technologies. Кто еще с тобой работает?

На данный момент - никто. Только я один.

Есть мысли расширяться? Отдача от продукта позволяет?

Мысли расширяться есть всегда. Но пока некуда.

Кто твои основные покупатели? Я знаю, что продукт не очень раскручен. Как на тебя выходят?

Основные покупатели - конечные пользователи. Выходят на меня по-разному, но в основном - с форумов, посвящённых безопасности.

Есть ли корпоративные заказчики?

Пока нет. Я только начинаю работу над полноценной корпоративной версией для DefenseWall. То, что есть сейчас, мало подходит для нужд корпоративного развёртывания и управления.

Какие ключевые фичи своих продуктов ты предлагаешь на сегодняшний день?

В случае DefencePlus - это защита от эксплойтов на переполнение стека и кучи для старых процессоров без NX/XD бита. Программа делает неисполняемыми стек и кучу, предотвращая исполнение эксплойтов в них, плюс продвинутый ASLR и куча других, уже мало кому нужных техник защиты.

В случае DefenseWall - это создание виртуальной "недоверенной" зоны, где работают все потенциально уязвимые программы - источники атаки (браузер, почтовый, IRC и P2P клиенты, клиент обмена мгновенными сообщениями). Если зловредное ПО проникает в компьютер через "недоверенный" процесс, то оно, фактически, изолируется от всей основной системы. Защита не даёт ему возможности модифицировать исполняемые и интерпретируемые файлы, прописаться в автозагрузку, вырваться за пределы зоны недоверенных процессов. Этакий загон для зловредов с забором из колючей проволоки под напряжением!

Когда я в первый раз взглянул на DefenseWall, то заметил, что это отличное средство
против эксплоитов. На тот момент были распространены сплоиты на базе MS-ITS, WMP и т.д.
DefenseWall их закрывала благодаря лимитированию привилегий соответствующих приложений.
Как сейчас обстоят дела с этим направлением защиты? тестируешь ли ты свежие сплоиты на DW?

DefenseWall не защищает от эксплойтов, он защищает от их последствий. Как всем известно, самый страшный эксплойт- это секретарша, запускающая прикольную прожку из только что пришедшего письма...

От эксплойтов на переполнение защищает DefencePlus. Его я, конечно, гоняю под всеми известными эксплойтами, которые доступны в исходниках. Надо же проверять свою работу!

А вообще я, разумеется, в курсе последних тенденций зловредостроения и безопасности, да и остальных высоких технологий тоже. Как же без этого? Так и от жизни отстать недолго!

Что планируешь развивать в ближайшее время, что думаешь оставить на потом?

В ближайшее время планирую сделать DefenseWall 2.0 и корпоративную версию продукта. На потом ничего оставлять нельзя, а то это "потом" может и не наступить.

Приглашают ли тебя на работу в антивирусные компании?

Пока не приглашают. Хотя лицензию на DefenseWall уже купил один человек из AVIRA GmbH (AntiVir). И вы всё ещё верите в магическую силу антивирусов?

А может, предлагают лицензировать технологию? Выпустить DefenseWall под другим брендом?

Не было такого.

Как ты вообще пришел к программированию в режиме ядра?

А я начинал с голого DOS'а (это было в 1994 году). Там всё программирование - программирование в режиме ядра!

Пишешь ли еще что-нибудь? Может, есть еще какие-нибудь разработки,
не по security тематике, достойные внимания?

Нет, не пишу - времени нет. Да и нравиться мне security, очень интересно, громадный ареал для саморазвития.

Часто бываешь на форумах? Какие основные посещаешь?

Последнее время - часто. В основном это wasm.ru, virusinfo.info, anti-malware.ru, wilderssecurity.com. Пишу мало, в основном читаю.

Какого мнения ты о BHC ? :)

А это кто?

Пиво любишь пить? традиционный вопрос, прости, не удержался =)

Я не употребляю алкоголь и прочие наркотики, легальные и нелегальные.

Какие сильные security продукты, антивирусы, файрволы, антиспайваре, можешь назвать?

Сильных антивирусов быть не может по определению - у них базовая идеология хромает. Они могут только догонять, но не опережать.

Файерволы - тоже проблема. Построить действительно сильный reverse sandbox в условиях агрессивного окружения как на уровне пользователя, так и на уровне ядра - задача нереальная. Я бы не взялся. Не знаю ни одного файервола, который нельзя было бы обойти на уровне ядра системы.

Хорошим AntiSpyware может делать только одна черта - мощные ручные средства очистки системы. Мне нравиться AVZ. Я обычно именно с его помощью вычищаю всякую бяку с компов друзей.

Каким софтом сам пользуешься?

Если брать защитный софт - только своим (DefencePlus + DefenseWall), больше никому не доверяю. Да и системные требования у меня ограничены, помнишь? :)
Из рабочих инструментов- DevStudio 5.0.

А отладчиком каким?

Отладчики - OllyDbg, SoftIce, встроенный в DevStudio.

Как ты относишься к буму антиспайваре?

Автоматические средства детектирования anti-spyware утилит обычно слабенькие, очень много разукрашенных поделий ниже уровня посредственности, слабые (или вообще отсутствующие) средства ручной очистки системы. Я же признаю только ручную вычистку и превентивные меры защиты.

Просто это направление активно распиарили и снимают теперь с него сливки. Ничего, это скоро пройдёт, горячая тема 2007 года - HIPS и системы превентивной защиты. Вот мы и посмотрим, чьи продукты качественнее сделаны. Я люблю честные состязания!

А к авторам спайваре?

Во-первых, я к ним не отношусь :) Во-вторых, каждый сам выбирает в этой жизни, что ему делать и как деньги зарабатывать. Spyware/Adware - это многомиллионный бизнес, всегда будут люди, отщипывающие по кусочку... Спокойно, в общем, отношусь, как к данности. Кипятиться бессмысленно, всё равно это ничего не изменит.

Что думаешь о blackhat руткитах и их авторах? В том числе, засвеченных на том же WASM, rootkit.com...

Это тоже данность. Просто нужно иметь хорошую систему превентивной защиты!

Чем планируешь заняться помимо DW и DP в некотором будущем, если планируешь?

Планирую. Есть несколько идей в области software, музыки и физики, нужно будет заняться.

Твои пожелания читателям

Ой, сложно это. Прямо как закладываешь капсулу с посланием потомкам. Живите по совести, помогайте другим и думайте своими мозгами - и всё в этом мире будет пучком!



Интервью брал Xen
icq 200145673

09.09.2006

Не удержался и зарелизил свежий билд.

Из нового:

* расширенный поиск по MD5 хэшам
* мониторинг ntoskrnl и некоторых других модулей (пошла мода на патч системных файлов с той или иной целью)
* мелкие добавления, апдейт баз и т.д.

Тестируем, не расслабляемся =)

Выложен промежуточный релиз 4.2.9

Добавлено то и это, всего уже и не упомню =)) Как и прежде, пользователям настоятельно рекомендую обновиться.

Следующий релиз - 4.3.0, жду предложений и критики, а также - отчетов сканирования системы.

Хочу выразить очередные благодарности всем, кто помогает мне с ними. Рекордсмен за последние недели - PiNe4Error =)

Баг-фикс релиз. Всем пользователям рекомендую обновиться.

XenAntiSpyware - мощный менеджер автозагрузки и системных настроек с возможностью детектирования нежелательного ПО, такого как spyware, adware, riskware, трояны, перехватчики клавиатуры (кейлоггеры), бэкдоры, дайлеры и другие.

Предназначен для работы в Windows 2000/XP/2003.

Возможности программы:

• обнаружение и удаление spyware, adware, riskware и прочего нежелательного ПО даже при отсутствии записей в антивирусной базе
  
• работа на уровне ядра операционной системы, что обеспечивает детектирование "невидимого" ПО (user-mode rootkits)
  
• подчистка системных журналов открываемых веб-страниц, поисковых запросов, посещаемых сетевых компьютеров, чтобы обеспечить вашу безопасность
  
• восстановление настроек, испорченных нежелательным ПО (рабочий стол с сообщениями об ошибках, некорректные настройки интернета и т.д.)
  
• монитор безопасности проинформирует о важных изменениях в реестре
  
• мощная система скриптов для автоматизации работы
  
• белый список для неизвестного детектируемого ПО
  
• обновление базы через интернет
  
• расширенный режим для экспертов по безопасности
  
• карантин подозрительных файлов
  

Подробнее на страничке проекта - http://Xen.Name.

Большая просьба всем тестерам - отсылать мне отчеты сканирования :) Спасибо.

Здравствуй, Руслан. Расскажи немного о себе, где работаешь, чем занимаешься в свободное время, если таковое имеется

Привет. Мне 27лет, живу в г. Архангельске. Работаю системным администратором в местной проектной организации. Свободное время предпочитаю проводить с подругой, попить пивка с друзьями, играть на гитаре и, конечно, PC :)

С какими операционками работал?

Довелось поработать практически со всеми более-менее распространенными - Dos, MacOS, QNX, Linux, OpenBSD, FreeBSD, ну и Windows всех линеек. Однако предпочитаю FreeBSD для сервера и Windows для десктопа.

А как появилась идея портировать ipfw?

Изначально не было идеи делать порт. Мне предложили поучаствовать в разработке небольшой биллинговой системы, которая уже функционировала под Linux и FreeBSD. Моей задачей было перенести ее под Windows с минимальными изменениями. Для этого нужно было написать модуль подсчета трафика и сделать возможность ограничения доступа с определенного ip по истечении лимита трафика. Чтобы минимально менять код биллинга, было решено написать утилиту, которая бы "понимала" команды ipfw, считала трафик и делала блокировку с определенного ip-адреса, что я и реализовал примерно месяца за 3. Изначально утилита не содержала кода из FreeBSD, все было самописным, и сходен был только синтаксис команд программы управления. Реализованный функционал устраивал, однако, "потехи ради" я начал внедрять туда код оригинала. Идея пошла дальше. и я выложил всё в общий доступ и открыл исходники. Позже к проекту подключился Влад Гончаров, который оказал огромную помощь в осуществлении переноса оригинального кода, особенно в "ядерной части".

Что было самым трудным?

Я думаю, самое трудное впереди - реализовать полностью все возможности оригинала. Архитектура Windows не позволяет просто так вклиниться в сетевой стек. Официальный способ, который рекомендует Microsoft - писать NDIS-Intermediate драйвер. Но NDIS-IM драйвер неудобен в установке, и есть проблемы с некоторыми типами соединений, поэтому я отказался от этой идеи. Самое подходящее - это NDIS-Hook драйвер, способ, который используют большиство фаерволов под Windows. Этот способ официально не рекомендуется и иногда приводит к конфликту разных фаерволов на одной машине, однако при правильной реализации NDIS-Hook всё работает стабильно.
В данный момент wipfw перехватывает пакеты посредством Filter-Hook драйвера, что позволяет только блокировать ip-пакеты. Возможности отправки своих пакетов в таком варианте нет, что сразу перекрывает возможность reject и прочего. Это временный, хоть и стабильный вариант.

Что ты для себя узнал нового в процессе портирования?

Хорошо узнал "внутренности" FreeBSD.

Над чем конкретно работаешь сейчас?

Сейчас идет работа над отладкой варианта с NDIS-драйвером. Параллельно еще переношу ipfw2, уже работает. Доделываю гуй для tdifw. Вообще, времени на это всё очень не хватает, все занимает основная работа, поэтому продвигается медленно. Если бы я занимался проектом фуллтайм, все было бы по-другому.

Какие проекты думаешь подевелопить в будущем?

Хочу создать свою простую, бесплатную, открытую систему подсчета трафика. Это для многих актуально. Кто то скажет - велосипед, однако решений под Win не так и много, и все платные в основном.

Как ты относишься к BSD лицензии?

Лицензия удобная, хотя жаль, что многие используют ее в корыстных целях :)

Твое отношение к форкам? К форкам wipfw ? К использованию в коммерческих продуктах? Вообще были такие попытки?

Считаю, что лучше дорабатывать один продукт, чем множить его в разных вариациях и с разными багами. По поводу форков wipfw - то же самое отношение. Лучше связываться с автором и предлагать свои изменения/патчи, чем выносить это всё в отдельную ветку. Общими усилиями можно создать стабильный и мощный продукт. По поводу использования в коммерческих продуктах - буду только рад, что wipfw востребован, однако не откажусь и от donations на развитие проекта. Насколько я знаю, wipfw используется в нескольких платных продуктах, однако я с этого ничего не получил.

Какой язык программирования любимый? Среда?

Любимый - си. Идеальный язык в плане скорости и обьема получаемого кода. В качестве среды использую или notepad или ultraedit + cmd.exe :) Иногда использую dev-cpp. Очень помогает программа WinMerge, за нее создателям отдельное спасибо.

Твое отношение к spyware?

Spyware для многих источник дохода. А если подцепил - сам виноват, надо использовать нормальное стабильное ПО :)

Как много юзеров пользуются твоим продуктом? Где стоит? Какая посещаемость сайта? Кто помогает в развитии продукта?

Каждый месяц в среднем 3 тысячи скачиваний, поэтому я думаю, пользователей довольно таки много, хотя конкретной статистики не знаю.
Насколько я знаю, wipfw установлен на многих промышленных системах, включая государственные структуры. Посещаемость за последнее время возросла, многие ждут реализации divert и forward. Проект в последнее время развиваю один, конструктивные предложения практически не получаю, в основном только вопросы по установке, настройке и тд.

Какое пиво любишь?

Tuborg, Guinness

Что хочешь пожелать нашим читателям? ;-)

Переходите на бесплатное и открытое ПО. Удачи!



23.03.2006

Сайт проекта: http://wipfw.sourceforge.net

Вот я и докатился до своего блога на ЖЖ. Принимаю соболезнования...