Agnitum Outpost Firewall Pro (Часть 6) - [90] :: Программы

Для тех, у кого ранее был установлен Outpost v9.x и вы пытаетесь обновить до последней версии.

Внимание: есть шанс, что вы потеряете статус "возможно обновление поверх старой версии с сохранением всей конфигурации" и попадете в статус "возможна установка только с нуля, с созданием новой конфигурации"

Например, на одной из моих систем были установлены куча Microsoft Visual C++ Redistributable packages, просто штук 15 разных версий. Но нас интересуют основные вот эти:

Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.30501
Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.40660
Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.30501
Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.40660

Казалось бы по прошлым инструкциям, что надо просто перед установкой новой версии Outpost (обновлением или просто установкой) деинсталлировать эти пакеты и все пройдет успешно? Но не так-то было.

Я деинслалировал их все и все равно по итогу словил ситуацию, что висит окно установки этого пакета от Outpost и ничего не происходит, по таймауту возвращается -1 и установка обламывается. Более того, как оказалось, если делать обновление Outpost, то после такого "облома" обновления, он удаляет весь Outpost из реестра (файлы остаются) и все последующие запуски инсталлятора не будут ловить, что предыдущая версия установлена и возможно обновление (с обновлением конфигурации, а не созданием с нуля).

Как оказалось, причина в том, что на этой системе было установлено еще приложение (у вас в теории оно может быть другим, не как у меня), к которому в базе MSI Installer числился ЗАВИСИМОСТЬ от 12.0.40660 redistributable. И из-за этого, хотя в базе Programs визуально доступной, деинсталляция прошла успешно, фактически это было не так!

Вот, что писалось в логе установки vcredist из установщика Outpost (в %TEMP% системном лог типа dd_vcredist_amd64_20240224040502.log):

Код:

[0740:1AA8][2024-02-24T04:03:14]i001: Burn v3.7.2829.0, Windows vX.X (Build XXXX: Service Pack X), path: C:\ProgramData\Package Cache\{050d4fc8-5d48-4b8f-8972-47c82c46020f}\vcredist_x64.exe, cmdline: '/uninstall -burn.unelevated BurnPipe.{9E013C5F-1B7A-4DFB-B7CA-E6FE233015B2} {25048780-44CC-4A1D-931C-9EF3510AE88A} 6492'
[0740:1AA8][2024-02-24T04:03:14]i000: Setting string variable 'WixBundleLog' to value 'C:\Users\ADMINI~1\AppData\Local\Temp\dd_vcredist_amd64_20240224040314.log'
[0740:1AA8][2024-02-24T04:03:14]i100: Detect begin, 2 packages
[0740:1AA8][2024-02-24T04:03:14]i108: Detected compatible package: vcRuntimeMinimum_x64, provider: Microsoft.VS.VC_RuntimeMinimumVSU_amd64,v12, installed: {CB0836EC-B072-368D-82B2-D3470BF95707}, version: 12.0.40660, chained: {A749D8E6-B613-3BE3-8F5F-045C84EBA29B}
[0740:1AA8][2024-02-24T04:03:14]i103: Detected related package: {CB0836EC-B072-368D-82B2-D3470BF95707}, scope: PerMachine, version: 12.0.40660.0, language: 0 operation: Downgrade
[0740:1AA8][2024-02-24T04:03:14]i108: Detected compatible package: vcRuntimeAdditional_x64, provider: Microsoft.VS.VC_RuntimeAdditionalVSU_amd64,v12, installed: {5740BD44-B58D-321A-AFC0-6D3D4556DD6C}, version: 12.0.40660, chained: {929FBD26-9020-399B-9A7A-751D61F0B942}
[0740:1AA8][2024-02-24T04:03:14]i103: Detected related package: {5740BD44-B58D-321A-AFC0-6D3D4556DD6C}, scope: PerMachine, version: 12.0.40660.0, language: 0 operation: Downgrade
[0740:1AA8][2024-02-24T04:03:14]i101: Detected package: vcRuntimeMinimum_x64, state: Obsolete, cached: None
[0740:1AA8][2024-02-24T04:03:14]i101: Detected package: vcRuntimeAdditional_x64, state: Obsolete, cached: None
[0740:1AA8][2024-02-24T04:03:14]i052: Condition 'VersionNT64 >= v6.0 OR (VersionNT64 = v5.2 AND ServicePackLevel >= 1)' evaluates to true.
[0740:1AA8][2024-02-24T04:03:14]i199: Detect complete, result: 0x0
[0740:1AA8][2024-02-24T04:03:15]i200: Plan begin, 2 packages, action: Uninstall
[0740:1AA8][2024-02-24T04:03:15]w327: Will not uninstall package: {5740BD44-B58D-321A-AFC0-6D3D4556DD6C}, found dependents: 1
[0740:1AA8][2024-02-24T04:03:15]w328: Found dependent: {71688083-99e8-4e10-9522-8e98a130c438}, name: Microsoft Visual Studio Ultimate 2013 with Update 3
[0740:1AA8][2024-02-24T04:03:15]w327: Will not uninstall package: {CB0836EC-B072-368D-82B2-D3470BF95707}, found dependents: 1
[0740:1AA8][2024-02-24T04:03:15]w328: Found dependent: {71688083-99e8-4e10-9522-8e98a130c438}, name: Microsoft Visual Studio Ultimate 2013 with Update 3

Т.е. зависимость была ("found dependents: 1") у "Microsoft Visual Studio Ultimate 2013 with Update 3" от этих библиотек и поэтому uninstall отказывался их сносить фактически ("Will not uninstall package"), а "старый" redist отказывался реально ставиться, т.к. по его мнению это "downgrade".

Я поковырялся вручную с базой MSI, поудалял всякое (с бэкапом), но не помогло. Долго ковыряться с этим не хотелось, поэтому проще оказалось на этой машине снести Visual Studio полностью, тогда зависимости исчезли. После этого инсталлятор Outpost заработал без проблем.

Так же опишу, как можно было восстановить статус "обновления" Outpost, после того, как инсталлятор уже обломался разок вот так из-за библиотек.
Во-первых, перед всеми манипуляциями я полностью сохранил каталог Outpost со всеми конфигами и файлами.
Во-вторых, у меня был дистрибутив старой версии, которая была установлена и которую я обновлял.

Соответственно, что я сделал, чтобы подцепить старые конфиги. (Да, я знаю, что в Outpost есть функция Import/Export, но я не уверен, что она работает между версиями - даже, скорее, уверен, что не работает. Формат конфигов мог меняться и апдейт конфигов до текущей версии делает именно инсталлятор).

Я снес полностью текущую установку. Вообще. Обращаю внимание: когда делается такой деинсталл, Outpost не спрашивает, сохранять ли конфиги и другие файлы, а полностью, прям вообще целиком, даже с чужими файлами, удаляет свой каталог (поэтому перед началом действий бэкап был важен и он помог).

Дальше я просто поставил старую версию с нуля. После установки НЕ перезагружал компьютер. А зашел в конфиг (выбрал опцию показать настройки). Переключил режим везде в Disabled, включая самозащиту (это важно). После чего вышел. Дальше поверх файл Outpost и нового нулевог конфига закинул забэкапленные файлы. После чего перезагрузился. Таким образом я вернул систему в состояние как была до попыток обновления.

И вот теперь, когда на системе уже не было "мешающих" redistributable и зависимостей, я смог спокойно взять последний установщик Outpost v9.3 и установить поверх, путем "обновления" и конвертирования старой конфигурации в новую.

Может, кому-то когда-то это поможет, чтобы не удалять лишнее из пакетов (в попытках понять, что мешает) и не потерять старый конфиг Outpost (бэкап + реинсталл + апдейт).

Не забыть после установки переустановить удаленные redist'ы, взято из прошлой моей инструкции:

Цитата:

После этого вручную установил все 2013 redist'ы назад:
1) 12.0.30501: https://www.microsoft.com/en-us/download/details.aspx?id=40784
2) 12.0.40664: https://learn.microsoft.com/en-us/cpp/windows/latest-supported-vc-redist?view=msvc-170#visual-studio-2013-vc-120
* x64: https://aka.ms/highdpimfc2013x64enu
* x86: https://aka.ms/highdpimfc2013x86enu
Более старые/промежуточные не нужны, .40664 переустанавливает их поверх (удаляя старые - это справочно для информации)

Caravelli

Цитата:

А вы сможете сотворить то, что skrudjmdk прописал?

Да, собрал только что под x64, подложил - работает без патчей.

Более того, патчи еще и не все покрывали, часть строк не грузилась (было <PRODUCT_VER>, <COMPANY> и т.п.).

С version.dll-хукером ресурсных функций все пашет идеально: Advanced Settings работает и все ресурсы корректно подгружаются. У меня всегда выбран английский язык, но для вас проверил - переключил на русский, тоже все пашет на русском языке.

Единственное, имейте в виду, что качество кода этого надо проверять. В том плане, что там могут быть ошибки, которые в теории могут приводить к падениям (в теории где-то что-то может пойти не так) или потенциальным уязвимостям (это теоретическим - фактически нет, потому что код обрабатывает таблицы ресурсов в файлах outpost). Но плюс у этого решения однозначный - файлы не трогаются, цифровые подписи на месте и валидны, ну, и работает по логике оригинала.

skrudjmdk респект за труды и что выложил в исходниках.

Добавлено:
Выложил для людей сюда полный архив, что сделал. Внутри - исходники (включая detours), .cmd для сборки, а так же уже собранные отладочные .dll (можно было и релизные делать, но я на всякий случай для себя отладочные делал) для 32 бит и 64 бит (version.dll лежат в соответствующих каталогах).

ВНИМАНИЕ: 32-битную не проверял, собрана чисто теоретически.

Если кому не нравится уже собранное (бинарное) - можете пересобрать сами с помощью .cmd

Файл: outpost-resource-hooker-version-dll.rar
MD5: f10d5e43bb624dd8b7a5a11a61edf544
Размер: 1'672'063 bytes

Файл: outpost-resource-hooker-version-dll-v2.rar
MD5: 6f8b953188082dffc6cd402873e44852
Размер: 1'683'144 bytes

Файл: outpost-resource-hooker-version-dll-v3.rar
MD5: fc9f18505e0520ebac6750fde1fe41ea
Размер: 1'743'819 bytes

Ссылка1 | Ссылка2 (при скачивании качать только .rar файл с именем, как я выше указал; никаких .exe и проч - на таких сайтах в рекламе часто вирусы подсовывают под левые кнопки скачать/download; после скачки проверить md5 архива)

Добавлено:
Caravelli

Цитата:

Собрал version.dll 32 битную.
Путь в AppInit_DLLs до version.dll не принципиален?
Что-то не получается "запустить инсталлятор"

Помимо этого, тут момент есть такой, что возможно не работало по логичной причине:

Во-первых, я бы не рекомендовал пихать этот version.dll в AppInit - он будет хукать функции для всех приложений тогда, а не только для Outpost или его инсталлятора.
Либо нужно код адаптировать так, чтобы в хукере проверялось в контекст какого процесса подгружен этот version.dll. Если это op_mon.exe или инсталлятор (типа OutpostProInstall.exe, OutpostProInstall_x64.exe, uninst*.exe и т.п.) - то тогда разрешать хукать, иначе - нет.
+ Все равно долго не держал бы.

Во-вторых, начиная с Windows 7 / 2008 R2, AppInit_DLLs по умолчанию требуют подпись, чтобы они запускались. Для тех версий был ключ в реестре, который позволял отключить проверку подписи.
1) https://learn.microsoft.com/en-us/windows/win32/win7appqual/appinit-dlls-in-windows-7-and-windows-server-2008-r2
2) https://learn.microsoft.com/en-us/windows/win32/dlls/secure-boot-and-appinit-dlls

С SecureBoot работать не будет - ни без подписи, ни с подписью - просто в принципе не будет:

Цитата:

When secure boot is enabled, the AppInit_DLLs mechanism is disabled as part of a no-compromise approach to protect customers against malware and threats.

LoadAppInit_DLLs (REG_DWORD) = 1 (включить поддержку AppInit_DLLs)
RequireSignedAppInit_DLLs (REG_DWORD) = 0 (разрешить поддержку AppInit_DLLs без подписи)

Для 32-битной ОС, ссылка на 32-битную библиотеку + разрешить запуск и разрешить без подписей:
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Для 64-битной ОС (первый пункт предположительно, но по логике вещей все верно):
1) Ссылка на 64-битную библиотеку + разрешить запуск и разрешить без подписей:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
2) Ссылка на 32-битную библиотеку + разрешить запуск и разрешить без подписей:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows

Все написано в теории. Я не проверял, возможно, на новых ОС убрали возможность отключить проверку подписи (в статье MS не сказано до какой версии это работает с изменением параметра в реестре) или убрали поддержку AppInit_DLLs вообще (вряд ли, но все же в теории возможно).

Все проверил на 64-битной версии Windows Server 2022 LTSC version 21H2 (20348.169).
1) Прекрасно работае и инсталлятор, и деинсталлятор, и op_mon.exe (без патчей и без прикладвания version.dll в каталог)
2) НЕ работает и НЕ БУДЕТ работать, если в UEFI BIOS включен SecureBoot. Это ограничение Microsoft для безопасности.

Важно замечание: НЕ СОВЕТУЮ злоупотреблять AppInit для использования на постоянку. Лучше добавлять только тогда, когда нужно проинсталлировать или деинсталлировать Outpost, а во всех остальных случаях класть соответствующую версию (битности) version.dll в каталог к Outpost. Тогда это будет затрагивать только его процессы, а не все подряд в системе.

Т.е. вот так:

Для 32-битной Windows (x86) - appinit-hooker-32-x86.reg

Код:

REGEDIT4

; Outpost Firewall Pro v9.3 support for Windows 10 x86 (32-bit)
; (c) jb

; You need to have version.dll from outpost-resource-hooker-version-dll.rar

; Use this file only if you want to try to run Outpost installer/uninstaller
; without silent mode. Adding this .dll to AppInit is not a good idea, because
; it will be injected in all processes and may produce some bugs in these apps
; and/or system.
; To use Outpost GUI without bugs, just put version.dll (corresponding
; version) to the Outpost's directory - it is enough for 100%. If you require
; to install/uninstall Outpost, add this .reg file to the system. Then remove
; added values from system.

; NOTE:
; When secure boot is enabled, the AppInit_DLLs mechanism is disabled as part
; of a no-compromise approach to protect customers against malware and threats.
; https://learn.microsoft.com/en-us/windows/win32/dlls/secure-boot-and-appinit-dlls

; WARNING:
; If you have any AppInit_DLLs in your registry, you need to add them to this
; .reg file below as list separated by " " (space) or "," (comma) (better use
; comma). SHORT NAMES supported only (8 + 3).
; If you will not add your current setting here, you will overwrite value and
; will be unable to restore it.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
; 32-x86 bit .dll only (!)
"AppInit_DLLs"="C:\\TEMP\\32-x86\\version.dll"
"LoadAppInit_DLLs"=dword:00000001
"RequireSignedAppInit_DLLs"=dword:00000000

Для 64-битной Windows (x64) - appinit-hooker-64-x64.reg

Код:

REGEDIT4

; Outpost Firewall Pro v9.3 support for Windows 10/11 and Server 2022 x64 (64-bit)
; (c) jb

; You need to have version.dll from outpost-resource-hooker-version-dll.rar

; Use this file only if you want to try to run Outpost installer/uninstaller
; without silent mode. Adding this .dll to AppInit is not a good idea, because
; it will be injected in all processes and may produce some bugs in these apps
; and/or system.
; To use Outpost GUI without bugs, just put version.dll (corresponding
; version) to the Outpost's directory - it is enough for 100%. If you require
; to install/uninstall Outpost, add this .reg file to the system. Then remove
; added values from system.

; NOTE:
; When secure boot is enabled, the AppInit_DLLs mechanism is disabled as part
; of a no-compromise approach to protect customers against malware and threats.
; https://learn.microsoft.com/en-us/windows/win32/dlls/secure-boot-and-appinit-dlls

; WARNING:
; If you have any AppInit_DLLs in your registry, you need to add them to this
; .reg file below as list separated by " " (space) or "," (comma) (better use
; comma). SHORT NAMES supported only (8 + 3).
; If you will not add your current setting here, you will overwrite value and
; will be unable to restore it.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
; 64-x64 bit .dll only (!)
"AppInit_DLLs"="C:\\TEMP\\64-x64\\version.dll"
"LoadAppInit_DLLs"=dword:00000001
"RequireSignedAppInit_DLLs"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows]
; 32-x86 bit .dll only (!)
"AppInit_DLLs"="C:\\TEMP\\32-x86\\version.dll"
"LoadAppInit_DLLs"=dword:00000001
"RequireSignedAppInit_DLLs"=dword:00000000

Обратите внимание на SecureBoot (см. выше!) - возможно, с включенным в BIOS UEFI SecureBoot работать вообще не будет, надо проверять (влияют ли подписи на это или разрешение в реетре - не помню уже); с включенным в UEFI BIOS SecureBoot точно работать НЕ будет.

Соответственно, инсталляцию/деинсталляцию Outpost производить с ВЫКЛЮЧЕННЫМ SecureBoot и включенными AppInit_DLLs. После инсталляции же убрать добавленные AppInit_DLLs, а в каталог к Outpost положить соответствующую версию (битности) version.dll. После чего вернуть назад (включить) SecureBoot. Можно работать.

Модерирует : gyra, Maz
Версия для печати • Подписаться • Добавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92