发个重复贴以增加人气。
中文版[url]http://bbs.netchina.com.cn/s3v3_5/ncs3_3.5.5_setup_2008-4-25.exe[/url]
英文版
[url]http://bbs.netchina.com.cn/s3v3_5/ncs3_3.5.5_setup_2008-4-25_En.exe[/url]
2008-4-25
更新内容:
1.解决开机无法进入系统的bug,该bug是主要是由于ncdssvc已经启动,而ncdsgui尚未运行,svchost等系统进程启动过程中由于从信任列表中排除出去,预置规则无法确定放行还是阻止,需要弹框由用户确认,而管道通信无法建立的情况下,缺省返回DENY的结果。
2. 对api监控增加系统信任dll列表,当未知程序获得这些信任dll的输出函数地址时,将不再弹框。注意只限于获得这些函数地址,对于某些被拦截函数,执行这些函数仍将会提问。比如安装服务、更改服务配置。
2008-4-22
1.询问框移动到屏幕右下角,有些丑陋,这种方案只用于评测,是否固定下来,将参照反馈的意见。
2.解决安装过程中,自动创建规则时ncdsgui内存异常退出的bug。这个bug是由于编码错误,弄错数组的索引计数,导致数组越界所致。
3.增加了几个与RPC相关函数的拦截
4.继续解决上层应用管道交互的问题,这个bug将会带来两种结果:
(1) 测试工具,时灵时不灵,因为有些请求多次询问,某些询问在询问框没有弹出的情况下,因为管道错误被放行了。这种情况是采用管道出错时放行的策略。
(2)一些请求莫名奇妙被拒绝了,好像内核驱动内置了很多规则,其实这也是因为有些请求多次询问,某些询问在询问框没有弹出的情况下,因为管道错误被拒绝了。这种情况是采用管道出错时拒绝的策略。
无论那种策略都不是用户期望的,这里对bug进行了修正,只要发现管道错误,将采用无限次尝试重连的策略。是否成功解决这个问题,有待验证。
2008-4-21
1.应网友要求,为了区分安装包,在文件名上添加发布日期
2.解决日志导入的问题,由于在规则结构中增加了成员,导致规则结构变得,和早期版本结构大小不对应,规则导入失败,这里对规则的结构进行调整,在不影响程序的情况下,确保以前导出的规则能够导入。
3.对于类似于clt.exe应用程序使用的特殊文件名类型进行处理,
4.对上层程序的管道处理进行优化,对于管道交互中,管道不存在的情况,进行重试,如果重试三次,都不成功,则返回deny,以确保桌面系统安全。
2008-4-20
1.修改某个函数拦截过程中对explorer.exe处理的bug,该bug会造成文件夹对话框列出的文件发生变化(比如被删除,或者改名)时,文件列表无法自动刷新的bug。
2.对自动添加信任程序的安装脚本的提示进行修改
3.允许在规则编辑中手工修改进程的名称,原来规则中的程序路径是只读,只有删除再重新创建才能完成修改。
4.修改ncappctl对于上层交互忙,返回失败导致拦截失效的bug。该bug在消息flood攻击和一些函数频繁调用时容易再现。
2008-4-18
1.针对[url]www.matousec.com[/url]以及leaktest系列工具,进行更新,增加一些函数拦截。特别是进程防护方面函数增加了很多接口。
2. 修改ncappctl.dll模块,修改了几个和keylogger函数相关的bug。
3.修改ncappctl.dll模块,对函数拦截接口进行保护,防止被程序自动恢复,导致拦截失效。
4.将svchost进程列为非系统进程。
5.对询问对话框界面的终止进程进行完善。
6.对S3开机自动启动选项,将做一下变更,取消开机自动启动时,ncdssvc服务将手动运行,不再自动启动,不过手工启动ncdsgui界面进程时,ncdsgui会自动启动ncdssvc服务。
7.对临时规则进行变更,无论拒绝还是放行处理只要用户选择采用临时规则,都将被记录。临时规则只对本进程(匹配pid和进程路径名)有效。进程退出时,与该进程相关的临时规则将被释放,ncdsgui界面退出时,临时规则全部释放。
8.响应关机消息,收到关机通知时,会弹出s3关闭的界面,退出S3,关机才会被认可。
2008-3-19日更新
1.完善进程间的窗口消息拦截处理,解决QQ游戏大厅软件的登录问题
2.解决物理内存拦截失效的问题,这个bug是由于if条件有误造成的。
3.处理分配内存使用越界的一个bug
4.更新nciphook模块,解决某些电脑无法adsl拨号的问题
2008-2-28 更新内容
新增自动创建信任规则列表功能,仅在安装时添加信任程序。这次包含了帮助文件,下载包比较大。
安装程序存在一个前提,即假定安装S3时的系统是干净的。信任程序只限于%ProgramFils%目录的文件,包括安装时正在运行的程序(包括服务),常见文档类型对应的打开程序(比如WinWord、Excel、ultraedit),以及开机自动运行的程序(autorun)
2008-2-21 更新内容
完善数字签名,解决弹框较慢的问题。弹框慢的问题是因为对程序执行的数字签名检查导致的,这里对数字签名的检查进行优化,只检查hash,不再进行网络链接。缩短数字签名的检查时间。
2008-1-30 更新内容
通过inline hook cmd.exe,增加对批处理文件执行的拦截
2008-1-24日 更新内容
主要修正红色警戒等相关软件运行不流畅的情况。
2008-1-23日 更新内容
1.改进数字签名的检查方法,提高检查的速度和效率,加快程序响应
2.加上Crash Report功能,能向开发小组报告Crash情况
3.修改ncappctl.dll关键模块,解决和某些游戏程序、hips工具的兼容性问题
4。增加对未知程序非法关机的拦截
5.增加对未知程序修改系统时间的拦截
6.增加对未知程序直接以文件方式读写物理磁盘扇区的处理
7.增加对keylogger一些函数的拦截
8.对一部分键盘过滤驱动进行处理,有效屏蔽一些基于驱动程序keylogger
9.修改终止进程的策略,进程禁止运行时,不会显示额外的消息窗口
10.解决windows 2003 sp2系统版本的兼容性问题
11.改进光盘识别方法,解决光盘程序不能顺利安装的bug
12.增加受保护程序名单,
-受保护的程序将被隐藏进程id
-受保护程序的窗口句柄将被隐藏,不能被窃听程序枚举窗口
-受保护程序将不受HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\appinit_dlls键的影响,窃听程序将不能通过这种方法实现dll注入
-受保护程序不接受另外一个进程的某些窗口消息,窃听程序将不能通过全局钩子函数获得受保护程序的密码。
-受保护程序不受全局钩子影响,全局钩子不会被映射到受保护程序的进程空间
-受保护程序的进程将受到保护,一般进程将不能挂起、终止、操纵该进程的内存以及线程。
上一次由s3主机安全于2008-4-27 周日, 下午1:04修改,总共修改了12次 还真没人啊,哪怕发个水贴也行 米办法......来水一帖吧
在S3支持vista之前,我只能在这里灌水[:06:] 灌水也不用发重复贴呀~~[:15:]
页:
[1]