www.rootkit.com
Hacked Defender. Тожа слушает в месте

ну а вообще, если злоумышленник имеет те же права что и средство защиты, то все печально...

netsh int ip
>?

Ок. Мы скопировали на машину скрипт и запустили его удаленно. Скрипт должен сохранить события на сервере. ПОД КАКОЙ УЧЕТНОЙ ЗАПИСЬЮ ОН БУДЕТ ЭТО ДЕЛАТЬ?

ЗЫ. Зачем огород городить, если можно с сервера через wmi напрямую сливать события и писать их в базу.

Если лень писать скрипты, есть logparser клик.

Вообще-то существуют
Или вопрос был - есть ли аномальные сетевые IDS?
Чисто аномальных - нет, но в большинстве IDS сигнатурный подход комбинируется с анализом аномалий.

Ты его запусти, не стесняйся, атаку сделай, посмотри на сообщение которое выдает клиент (путти например) и помедитируй, откуда оно взялось, почему без ettercap уго не блыо  и чего в нем написано...

зы
пока ты на кнопочку не нажмешь в этом окошечки, никуда твой пароль не полетит...

Не путай мягкое с длинным. SSH для mitm не  уязвим, уязвим пользователь, нажимающий\вводищий yes на сообщении о смене ключа.

А что мешает это сделать злоумышленнику? Выставить этот флаг? Сервер же у нас не аутентифицирован  

Сервер сам не требует, но если клиент предлагает, то подпись использует.


А откуда машина знаешт - нужен - не нужен? Каждый раз у юзера спрашивать ?



Можно и не в папке, а на web, например... Сетевая аутентификация должна быть устойчива к перехвату пароля. Но тут все упирается в пароль. Писал выше.


Уже сделано, сматри линк выше. Но не фальшивый, а серверный запрос.
Здесь все упирается в отсутсвие аутентифкации сервера, что лечит Kerberos или (слабо) MS-chapv2. Однако windows без ntlm не живет, так что...

если для использования в скриптах, то лучше по fqdn домена. типа

\\example.ru\SYSVOL\example.ru\scripts\...

Single Sign On - однократный ввод пароля. Т.е. когда пароль указывается при входе в систему а не при доступе к отдельной сетевой службе.


Это нужно когда ты в корпоративной сети открываешь сетевую папку. И вместо того, что бы спрашивать у тебя имя, станция автоматически аутентифицируется на сервере с текущими данными.

А простой доступ к папкам - это вообще мутанство появившееся в XP на замену "парольной" защиты папок в 9х  


Очень даже понятно. Когда ты включаешь требовать цифровую подпись у тебя просто с машинами, которые цифровую подпись не поддерживают твоя машинка не общается.

Почему не занимались. Анализ аномалий сейчас наболее копаемый подход для HIDS/NIDS и антивирусных систем.

аномальные подходы кчемуугодно: анализу трафика (сетевые IDS), поведению програмного обеспечения (IDS/IPS уровня узла, антивирусы), анализу журналов аудита....

ЗЫ. Не ни одного механизма сетевой аутентификации основанного на паролях, стойкость которого бы не зависила от стойкости пароля (т.е. он не был уязвим к подбору пароля по перехваченной сессии аутентифкации).

Для реализации SSO. Смотри статью выше.
Альтернативный вариант - при доступе к каждому ресурсу вводить пароль. Не заустанешь ли :-0?
А так, если пароль достаточно сложный и меняется , аутентифкация ntlmv2, то ломать достаточно - малоперспективно. Но это теория. На практике 4х символьный пасс ломается за несколько секунд )

и даже не хэш, а хэш от случайного числа (запроса) и хэша пароля.

Сцылка.
А вообще - все справдливо. SMB (Server Message Block) - протокол прикладного уровня, который может гулять по верх NetBIOS. Его второй вариант (CIFS), появившийся в NT 4.0 SP4 MS пыталась протолкнуть в качестве RFC, но как обычно IETF не принял в связи с лицинзионными проблемами.

Ну а на счет 400 пакетов - дык иконки же надо считывать. Не нравится - отключи

Это линк.

Но вообще - полная лажа, ибо работает только в My Computer (без локдауна) и Trusted Sites.
Довольно долго использую для продвинутой эксплуатации XSS, но ограничения по зонам безопасности сильно сужают поле использования.

1. IPSec медленней чем всех, ибо просматриваются все правила. Он хорош когда есть несколько разрешающих правил, а остальное грохается.
2. ICF - однозначно медленней чем rras ибо stateful.
3. rras - заточен под пакетный фильтр, можно дропать на входе, до поступления стеку tcp/ip. нормально скриптуется через netsh. недостаток - правила либо чистый блэклист либо чистый вайтлист. поэтому иногда приходится раскидывать по входящим-исходящим цепочкам.

Я же тебе сразу казал - собирать и парсить журналы централизованно.
Из бесплатных решений - смотри в сторону Prelude.

Давай не будем мне рассказывать, что я имел ввиду.

Конкурентов они не вытесняли, ввиду отсутсвия (ха-ха, кокуренция на российском рынке программныых средств).
Просто установили на российском рынке другие цены. И неожиданно получили с этого деньги, превышающие бюджет российского офиса