-
Linabbs's blog- ZA采用升級安裝或者導入舊版ZA的配置文件到新版導致程序列表假死的Bug。
- 裝了ZA,如何使你的開機速度快點
- 如何設置查看局域網內被設入internet區機器的共享資源
- ZA也可以做到低資源占用!
- 關于za for vista(在VISTA下用ZA的人過來看看)
- CheckPoint Integrity Desktop v6.5.063.207 KeyGen
- 戰術攻防之近距離搏擊篇(ARP)攻擊
- 還在使用老版ZA的朋友們注意:ZoneAlarm防火墻產品有多個本地權限提升存在漏洞
- Knowledge Base / KB Extended (KE) 內容列表及說明
- 關于《利用ZA專家規則,允許/禁止端口》的一點補充和說明
Apr
22
ZA采用升級安裝或者導入舊版ZA的配置文件到新版導致程序列表假死的Bug。
Filed Under Zonealarm | Leave a Comment
之前的ZA Pro 7版本每次都是全新安裝,每次重新設定所有program,一直沒有問題。但是這次圖省事,升級473時采用了升級安裝,安裝完畢發現程序列表的右側滑塊往下一拽,有50%的幾率會讓GUI“假死” 半分鐘左右,之后恢復正常。
今天裝完XP SP3,索性卸載ZA,然后重裝。重裝完畢,導入卸載前備份的升級安裝的473的配置備份xml,發現又鎖死了。無奈,通過ctrl shift 右鍵點擊系統托盤里
Apr
22
裝了ZA,如何使你的開機速度快點
Filed Under Zonealarm | Leave a Comment
裝了ZA,如何使你的開機速度快點經常看到有人反映,裝了ZA后,機子的開機速度很慢。本人菜鳥一個,但是喜歡積累,在此奉獻一點我的小小的經驗,希望能給你帶來夏天的一絲涼爽.
Apr
22
ZA也可以做到低資源占用!
Filed Under Zonealarm | Leave a Comment
fanxiaoda 發表于 2008-6-10 08:13
ZA也可以做到低資源占用!許多朋友說ZA很占內存,如果默認設置的話確實是這樣,不過我們卻可以通過手動關閉不必要的組件達到節省資源的目的!
我感覺ZA的特點是開機啟動稍慢,不過系統運行中以及瀏覽網頁絕對不拖速度的!
我把ZA精簡到只保留一個防火墻,本來打算留程序控制,想想和TF功能重疊還有些占內存,就給去除了!如果機器上沒裝hips,強烈不推薦去除程序控制!
看看我的內存占用,你是不是對ZA刮目相看了!kitecity 發表于 2008-6-10 09:19
俺現在不使用了,還可以啊eyesineyes 發表于 2008-6-10 09:47
有HIPS也不建議去除程序控制。就剩下一個網絡墻這個功能實在太有限了。
畢竟ZA的程序控制不僅僅是類似HIPS的程序控制而已,還有OS Firewall,以及他們相關的程序或者組件的網絡權限控制部分。
本帖最后由 eyesineyes 于 2008-6-10 12:59 編輯 ]spaceplane 發表于 2008-6-10 11:54
outbound是什么?豹2A6 發表于 2008-6-10 12:46
回復 1樓 fanxiaoda 的帖子我看你這個有點費事。直接下載ZA Free不就得了嗎?有什么區別嗎?loveyuwei 發表于 2008-6-10 13:02
回復 5樓 豹2A6 的帖子ZA Free的內存占用比Pro要多。
好像核心都不完全相同,ZAP還有防ARP的功能呢,墻比ZAF強大點。eyesineyes 發表于 2008-6-10 13:02
原帖由 豹2A6 于 2008-6-10 12:46 發表 http://bbs.xxx.cn/images/common/back.gif
我看你這個有點費事。直接下載ZA Free不就得了嗎?有什么區別嗎?
他關閉了那么多,剩下的功能和ZA Free還真沒啥區別了。fanxiaoda 發表于 2008-6-10 13:45
回復 3樓 eyesineyes 的帖子可以詳細解釋一下OS Firewall的具體含義么? […]
Apr
22
如何設置查看局域網內被設入internet區機器的共享資源
Filed Under Zonealarm | Leave a Comment
mmxok 發表于 2008-1-15 20:10
如何設置查看局域網內被設入internet區機器的共享資源今天要解決安裝ZA無法訪問局域網共享的問題,對于老鳥來說很簡單。可是對于像我一樣剛剛使用ZA的人來說或許應該有些幫助!
約定:(此方法使用于以下情況!!!)
局域網內除了網關,DNS,和你本機屬于trust zones之外,其他機器均屬于internet zones。并且internet zones 選擇“高”安全級別!在這種情況下采用
\\局域網ip 的方法 是不能訪問共享資源的。
184638
方法:
點擊 internet zones 的 custom 進入 設置對話框,在internet zones 的高安全級別里面,添加 允許 outgoing tcp 139 端口,一切ok!!可以訪問!!
184639
效果:
184640
P。S。:與局域網共享有關的是tcp
Apr
22
關于za for vista(在VISTA下用ZA的人過來看看)
Filed Under Zonealarm | Leave a Comment
shenlvcheng 發表于 2008-2-18 21:33
關于za for vista(在VISTA下用ZA的人過來看看)好不容易找到了VISTA下能用的注冊碼了,和大家分享一下!!!
注冊碼:4wxie-qt6fr-g5fxp-sp1u55-jruku0
Apr
22
snowclash 發表于 2008-5-19 17:44
CheckPoint Integrity Desktop v6.5.063.207 KeyGenhttp://www.9down.com/CheckPoint-Integrity-Desktop-v6-5-063-207-KeyGen-26417/
Check Point Integrity is an endpoint security software product developed by Check Point Software Technologies. It is designed to protect personal computers and the networks they connect to from computer worms, Trojan horses, spyware, and intrusion attempts by hackers. The software aims to stop new PC […]
Apr
22
戰術攻防之近距離搏擊篇(ARP)攻擊
Filed Under Zonealarm | Leave a Comment
戰術攻防之近距離搏擊篇(ARP)攻擊作者:紫天星
生活在網絡時代里,我們的生活里多了黑客這樣一群神秘人物。傳說中他們放蕩不羈,崇尚自我并行事詭異,攪動著整個網絡命脈,使其生機無限。然而現實中,他們超然的生活于我們周圍。假想在一間忙碌的Office中,每個員工在自己狹窄的工作空間中埋頭于自己手頭的事物;能聽到的聲音是手指在鍵盤揮舞的呵咔聲和此起彼伏的電話鈴,有誰有注意到那狹窄的個人空間里,思維的放任超乎尋常。飛快的手指間,各種指令和運作的程序隊列般的游行著。表面上似乎一切都正常,然而,或許那里正進行著激烈的電子對抗……。
SANS公布2001來自于內部入侵攻擊雖然只占30%左右,然而產生的危害也最大,因此局域網絡的入侵和滲透更具有實足的硝煙氣息。利用二層鏈路上ARP協議漏洞而產生的各種攻擊方式無疑是局部網絡戰爭最精妙的特技。
一、 基礎知識預備
精巧程序的后面藏匿著簡單的原理和聰穎的智慧。為了順利闡述ARP本身的協議漏洞以及后面將要闡述的各種ARP攻擊思維(同時,我必須顧及那些初次接觸網絡的朋友,以致不挫傷他們對網絡攻擊防御的興趣),我們將粗淺的概覽ARP協議和相關的網絡鏈路層的一些概念。
ARP(Address Resolution Protocol)簡稱地址解析協議,主要用于把以太網卡硬件地址和IP地址捆綁起來。當主機之間發生通信要求,則ARP協議通過廣播請求/單播回應方式建立主機間通信連接。大家熟悉的IP地址采用32位長度,在以太局域網中網卡設備地址是48位長度(也稱為MAC地址)。一張稱為ARP緩存的表單用于維護MAC地址和其所對應的IP地址的相關性。ARP則提供用于在網絡設備間進行地址轉換和創造MAC-IP相關性的協議規則。
網絡鏈路層的建立通信關系的準則:網絡主機A欲與網絡主機C建立通信連接,主機A在網絡中廣播ARP的請求數據包(REQUEST),如圖一:
主機A欲與IP地址為192.168.1.3的目標主機通信,則發送的廣播的數據包中包含本身的IP地址、網卡的MAC地址、目標主機的IP地址以及廣播MAC地址(FF-FF-FF-FF-FF-FF)。
(注:Mac地址是媒體接入層上使用的地址,直觀的概念就是網卡的物理地址,Mac地址一般都采用6字節48bit。)
主機C接收到ARP的REQUEST廣播包,發現目標地址中IP地址與自身IP地址一致,接收該數據請求,并作出響應。
從圖二中,可以看到主機C發現主A的ARP請求符合要求,在自身ARP緩存表中添加主機A的IP-MAC綁定映像記錄,并發送單播ARP回應數據包(RELAY)給主機A。主機A接收到回應數據包,更新其ARP緩存表記錄,綁定主機C的IP-MAC映像記錄。至此,二層通信關系建立完畢。而網絡中其他主機則忽略此請求包。
這種關系可以類似于情景會話↓
主機A:嗨,誰主機的IP地址是192.168.1.3?
主機B:嗨,我主機地址是192.168.1.3,我的門牌號是00-50-56-C0-08,記得來找我啊。
其他主機:NO,這不是我的IP地址。
從原理分析發覺ARP本身是無類協議,本身不能攜帶任何狀態信息。因此ARP協議不能進行任何認證,這樣就導致協議本身具有安全威脅性。造成這種安全威脅的歷史原因在于:早先的網絡創造者們是在一個平和自由的環境中設計ARP協議,因而安全問題在當時幾乎是瑣碎的事情。然而網絡集聚膨脹,破壞性攻擊和入侵事件的增加,使得ARP協議脆弱不堪。
了解ARP工作原理之后,可以得出:大部分網絡系統中的ARP緩存列表根據所接收的ARP REPLAY數據包動態增加或更新緩存表中IP-MAC映射記錄。根據這樣一條簡單規則,我們將看到各種絢麗的入侵和攻擊手法。
二、 攻擊分類
*ARP緩存中毒
這是個非常有意思的標題—“中毒”,這能讓我聯想到霉綠色的空氣和腐銹的紅色河水,畢竟地球區域生態環境令人擔心?。
ARP緩存中毒其實質并沒有字面含義那么可怕。還記得前面所提高過ARP緩存表的概念吧,事實上每個網絡設備都有一個APR表,其中臨時記錄著匹配的設備MAC和IP地址映射對。它保證這些記錄具有唯一性,即一個IP只單獨映射一個MAC。又由于ARP本身不具備認證信任機制,因此欺騙行為變的泛濫。當網絡設備發送ARP REQUEST時,它完全相信ARP REPLY回應是來自于正確設備,因為它不能驗證回應數據包是否確切從正確的設備發送的。更糟糕的是,許多操作系統并不需要發送ARP請求數據包就直接承認其他設備發送的ARP回應數據包。
這樣垃圾方式的設計讓入侵變的肆意,而防御卻無奈了許多。假設我是一個黑帽,我知道ARP并無驗證行為,而且系統不需要發送請求數據包就可接收ARP的回應數據包。我會怎么做?創建一個貌似合法的ARP REPLY數據包,其中偽造我所希望的MAC和IP地址,并發送給盲目接收此類數據包的主機系統。結果,這種方式欺騙主機使其更新我所希望的MAC-IP地址映射對。當然,我可以肆意廣播這種ARP REPLY數據包,愚弄整個網絡系統所有主機(?冷)。
現在你知道了ARP的一個小技巧,我們稱其為:ARP緩存中毒。正是通過它,無數的發明創造出來,正如輪子的發明可以和人類登月媲美,簡單的發明可以翹動地球。
*MAC泛洪攻擊(Flooding)
現在的網絡結構大多數使用交換方式(Switched)結構取代早先的的廣播方式(Broadcast),這樣的優勢在于交換機不會向每個端口無聊的推送廣播風暴,它稍微智能的判斷需要推送數據的端口,這讓那些層在HUB方式連接的下大顯神威的嗅探器(snffer)感到憋足。
然而進步的力量有時候令“安全”變的很嬌嫩。交換機啟用端口安全特性(Port security)需要消耗部分的CPU,當交換處理超負載后,交換機就無法處理端口安全,此時交換機陷入了HUB模式,數據被簡單的廣播到網絡中的每臺計算機中,于是竊聽活動仍然可以繼續。于是利用大量的偽造ARP REQUEST數據包對交換機的ARP表進行泛洪攻擊(ARP緩存表中毒的典型運用),可以輕易使很多廠商交換機負荷過載(CISCO 1900和3COM superstackII就容易遭受攻擊),此刻交換機處于類似HUB工作方式,因而可輕松使用包嗅探器刺探整個網絡。
macof的小程序輕松了實現了這樣的功能,其代碼實現如下:
—————snip——————-
/* 本程序的作者是Dug Songdugsong@m.org,由于這里只需要實現MAC FLOODING的攻擊,所以我對程序做了精簡,便于讀者直觀了解MAC FLOODING的攻擊原理。另外,macof的最早作者是Ian Vitek,采用Perl進行編寫的,我在軟件包中收錄了這兩個程序,提供讀者參閱。
*/
Apr
22
Knowledge Base / KB Extended (KE) 內容列表及說明編輯中…
Knowledge Base Extended (KE) 列表KE 40001: 托盤圖標出現紅叉, TrueVector 服務無法啟動及某些疑難問題的解決方案
KE 40002: ZoneAlarm 的隔離區在哪里
KE 40003: ZoneAlarm 資源占用異常的問題
KE 40004: ZoneAlarm 7 Anti-Spyware Database 升級失敗對策
KE 40005: 出現 Validation failed 信息的對策
KE 40006: ZoneAlarm 在開機時不會托盤化的解決方法
KE 40007: ZA free 版 Anti-Spam 功能出現問題的解決對策
KE 40008: ZA free 與 Internet 連接共享 (ICS) 相關問題釋疑
KE 40009: 關于 \WINDOWS\Internet Logs 下的文件
KE 40010: […]
Apr
22
普通人兒 發表于 2007-10-17 19:24
還在使用老版ZA的朋友們注意:ZoneAlarm防火墻產品有多個本地權限提升存在漏洞來源:http://www.juntuan.net/anquan/zxld/n/2007-08-23/22112.html
ZoneAlarm防火墻產品有多個本地權限提升存在漏洞
還在使用老版ZA的朋友們注意了,或者升級,或者下載補丁,可惜補丁我沒有找到,哪位幫個忙?
——————————————————————————–
文章作者:摘自: 文章來源:3570745 美女客服哦 發布時間:2007-08-23 10:52:24
baidu
受影響系統:
Zone Labs ZoneAlarm Security Suite 6.5.737
Zone Labs ZoneAlarm Security Suite 5.5.062.004
不受影響系統:
Zone Labs ZoneAlarm Security Suite 7.0.362
描述:
ZoneAlarm是一款個人電腦防火墻,能保護個人數據和隱私安全。
ZoneAlarm的實現和安裝上存在多個安全漏洞,本地攻擊者可能利用此漏洞提升自己的權限。
ZoneAlarm產品vsdatant.sys設備驅動的IOCTL處理代碼沒有驗證傳送給IOCTL 0×8400000F和IOCTL 0×84000013的用戶域提供的地址。由于沒有正確地驗證IRQ參數,攻擊者可以利用這些IOCTL使用常數雙字值0×60001或ZwQuerySystemInformation返回的緩沖區內容覆蓋任意內存,包括內核內存及所運行進程的代碼段。
ZoneAlarm產品在安裝期間沒有設置安全的默認訪問控制列表(ACL)。如果管理員安裝了任何ZoneAlarm工具的話,默認的ACL允許任意用戶修改所安裝的文件。由于有些程序是以系統服務運行的,因此攻擊者可以使用自己的代碼替換所安裝的ZoneAlarm文件,之后代碼會以系統級權限執行。
廠商補丁:(這個鏈接的補丁哪里去了呢?難道升級就是補丁?沒搞懂。)
Zone Labs
目前廠商已經發布了升級補丁以修復這個安全問題,請到廠商的主頁下載:
http://www.zonealarm.com/store/content/catalog/products
/trial_zaFamily/trial_zaFamily.jsp
飛鷹 發表于 2007-10-17 22:16
看來還是直接用7.0版算了,這樣比較放心。fsr717af 發表于 2007-10-19 19:50
俺本來用的是ZA5
Apr
22
關于《利用ZA專家規則,允許/禁止端口》的一點補充和說明
Filed Under Zonealarm | Leave a Comment
似水無痕 發表于 2008-1-21 17:07
關于《利用ZA專家規則,允許/禁止端口》的一點補充和說明在這里我不會告訴大家該去阻止什么端口,而是換一種角度去了解和看待問題(這也是我寫這篇文章的中心思想)先來點理論性的東西。(雖然理論性的東西很是枯燥和乏味,但它對你理解很重要)
什么是socket(套接字)?什么是socket(套接字)如果說通俗一點“套接字就是由一臺主機的IP和該主機中某個程序組成的。”大家都知道IP用來標識主機,以便數據包在傳輸過程中可以準確的到達目的主機,而端口號則是用來查找主機上具體應用程序的。這里需要大家注意一點。“服務器一般都是使用知名端口號來識別的”比如我們常見的HTTP(超文本傳輸協議)服務器使用的就是80端口。而且只要服務器的主機開著,其服務就一直是運行著的。但對于客戶端來說“通常對使用的端口號并不關心,只需保證該端口號在本機是唯一的就可以了。所以客戶端又稱做臨時端口號。為什么這樣稱呼了?(這是因為它通常只是在用戶運行該客戶程序時才存在)比如我們經常用的QQ。只有我們在打開QQ登陸后才開放相應的端口,而在我們關閉QQ后,隨QQ臨時打開的相應端口號,也就會隨著你關閉而結束了。
這里我們再來了解一下什么叫“出站”和“入站”理解這點對你以后配置防火墻來阻止惡意端口的連接很重要。這里我還是與大家熟悉的QQ來舉例子出站:比如你現在想用QQ給你的一位在線朋友發送消息,對于你來說,這就叫做“出站”(因為你用QQ發送消息給你的好友,QQ的數據需要向外發起連接)
入站:當你把消息發送到你的那位在線朋友時,在你朋友看到你發的消息時,對于你的這位朋友來說