RdpGuard Repack 6.7.5/5.4.9 x86 x64 [2020, ENG]

SYSA1982
У меня такая проблема не воспроизводится на Server 2019, но RdpGuard 6.6.7 работает всего лишь около суток. Буду наблюдать.
Написал на руборд автору крека.
А не может быть, что сама Windows откатывает изменения? Там же файл rdpguard-svc.exe заменяется на пропатченный, возможно какой-нибудь защитник видит подмену и удаляет сервис. Windows что-то шибко умная стала, лезет куда ее не просят. У меня defender удален со всех компьютеров.
Еще можно на ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RdpGuardService отобрать все права у системы, чтобы программа не смогла сама себя оттуда удалить. И вообще можно промониторить (Process Monitor Руссиновича) кто туда лезет. Это что я бы сделал при такой проблеме.
CRACKZEZzz
Честно говоря, тоже на дефендер думаю. Мне что-то подобное пользователи другой программы писали - у них настройки программы в реестре откатывались, думаю, тут какая-нибудь песочница от Microsoft срабатывает.

evgen_b мне? видел, поэтому сюда и пришел ))
Только что проверил все файлы в 6.6.7 - самоудаления там нет, только ручное при запуске
rdpguard-svc.exe /uninstall
Поэтому скорее всего что то другое у SYSA1982 произошло.
P.S. В этой версии (и в нескольких предыдущих, не помню с какой начиная) баги в SIP блокировке.
Попробуйте кликнуть правой кнопкой в интерфейсе на одном из заблокированных IP по SIP протоколу, словите ексепшн.
В лог он не пишет символ @ - не разделяет номер телефона от IP адреса
не экранирует "<" и ">" при добавлении IP в блоклист и отсюда этот эксепшн - не может сам свои записи пропарсить ))
Кстати разрабы вроде как русские, в коде попадался текст "preved" - видимо послание ))
Возможно мониторят руборд и рутрекер. Так что западлянки можно ожидать в след версиях, типа как раньше "format C:" ))

CRACKZEZzz
Спасибо что пришли пока писал предыдущее сообщение
rdpguard-svc.exe имеет цифровую подпись и чексам. После патча и то и другое становится невалидным. Могу предположить, что Windows Defender это не нравится.
Выкинул из файла недействительную цифровую подпись и обновил чексам.
RdpGuard 6.6.7 pre-cracked V2 PWD=2020.7z Пароль на архив 2020.
Можно попробовать еще вариант для defender - в репаке подписать самоподписанным сертификатом и добавить в доверенные. Ага, поймал. Ну собственно когда немного поковырялся в прелестях RdpGuard тоже обратил внимание на то ли баги, то ли фичи, и желание заниматься этой программой сильно поубавилось.

Да Вы правы дефендер шалит Восстановил и заблокировал ей любые исходящие подключения , пока вроде все тихо.

SYSA1982
А не поможете протестировать версию с самоподписанным сертификатом? Это теоретически может спасти от Windows Defender. У меня он везде прибит - сам воспроизвести не могу.
RdpGuard 6.6.7 pre-cracked V3 PWD=2020.7z
Пароль на архив - 2020.
Вот, без цифровой подписи любая программа - это вирус.
А любой вирус с цифровой подписью - бесплатный антивирус.
И это только начало DRM.

Ссылка не рабочая (The file you requested has been blocked for a violation of our Terms of Service. ). Googledrive,OneDrive,YandexDisk не?

Есть киберармс иддс секьюрити- программа бесплатная для 64битных систем прекрасно отрабатывает и следит за всем чем можно. Нет geoip блокировки разве что.

Давно в курсе про Cyberarms Security Software - Intrusion Detection for Windows.
Из полезного в ней есть только "TLS/SSL Security Agent" для RDP и "SMTP Security Agent" на 25-й порт. Еще есть "FTP Security Agent" на 21-й порт. В исходниках есть что-то про POP3 на 110-й порт, но в самой программе что-то этого агента не видно в настройках. Всяким SQL вообще нефиг во внешку смотреть, для этого VPN есть. И кто же щаз POP3/IMAP4/SMTP использует без шифрования?
Итого:
Вообще нет IMPA4 (порт 143) и IMAP4 SSL (порт 993)
Не понятно где POP3 (порт 110) и отсутствует POP3 SSL (порт 995)
Нет SMTP TLS (587?)
Нет SIP.
Зато есть исходники под MIT License, и, в принципе, можно свой парсер логов дописать для Microsoft Exchange Server. Как-нибудь надо лучше посмотреть, что это за лицензия такая, стоит ли с этим связываться.
На том сервере, где у меня постоянно зависал RdpGuard любой версии, я переехал на хардкорный IPBan. Он родом из Линукса, и собрал в себя самое худшее, что есть в программах под эту ОС. Документации нет вообще, примеров конфига нет, конфигурация описывается модулями, которые взаимодействуют между собой, но как это происходит нигде не написано. Есть реакция на события, но как из них брать информацию тоже нигде не описано. Лютый трешак. В файле конфигурации есть пример для Microsoft Exchange Server, но когда я стал прописывать свою конфигурацию, то оказалось, что эта сигнатура "из коробки" подходят только для логов IMAP4, я и не сомневался, что из коробки парсер логов Exchange сделан через жопу. Файл конфигурации в нечеловеческом формате XML (потому что в сишарпах он парсится из коробки). Вообще, про неудобные конфиги XML в линуксах часто упоминается, т.к. изначально они в нем делались под задачу и для удобства в человеческих форматах, а XML - это формат для удобного машинного парсинга. Парсинг в событих и логах сигнатуры атаки реализован с помощью регулярных выражений regexp, которые задаются в XML-файле конфигурации. Все это вместе выглядит не сильно удобно, очень мягко говоря. Кроме того, ограничение бесплатной версии - отсутствие GUI, а также нет сброса счетчика неудачных попыток входа, если после них произошел удачный вход. Соответственно, т.к. нет GUI, то чтобы разбанить IP-адрес, нужно в каталог программы закинуть текстовый файл unban.txt с нужными адресами в строчках, программа его через несколько секунд увидит, прочитает, разбанит адреса и удалит этот файл. Отдельно добавил в конфигурацию свой парсер логов SMTP/POP3/IMAP4 для Microsoft Exchange Server, RDP по событиям в этой программе работает из коробки, вот сейчас пока наблюдаю, что получилось. IPBan предательски не виснет в отличие от RdpGuard.

вроде работает и дефендер молчит...проверял на виртуалке.

SYSA1982
Вот и хорошо, что работает, спасибо за тест. Даже разработчики протестировали, что все нормально, и поэтому удалили ссылку.
У меня другая проблема была - служба совсем не стартовала на тестовой виртуалке. Выличилось установкой отложенного запуска.
Вот с этими двумя изменениями перезаливаю репак. Кстати, да, в этой версии все еще интерфейс пользователя иногда падает, разработчики так и не починили, другие вылеты морды были описаны выше. Поэтому, как обычно, оставляю в раздаче старую стабильную версию.

также пользуюсь им кое-где по причине неработоспособности rdpguard на интегрированном raid1 windows server 2016 в efi
в последних версиях даже постоянный блек лист завезли.
блочит в принципе неплохо, конечно не очень удобно через командную строку наблюдать без морды, но главное работает
единственное, что пока так и не понял, как ipv6 в белый список добавлять...ибо тока ipv4 понимает..
от кстати обсуждение небольшое:
http://nikovit.ru/blog/zashchishchaem-rdp-server-ot-perebora-paroley-s-blokirovkoy-po-ip/

Я приведу пример настройки IPBan как альтернативы RdpGuard для тех, у кого она работает нестабильно и/или вообще не работает или перестала работать. Надеюсь, это сэкономит какое-то количество времени и нервов.
В nikovit.ru обсуждать нечего, там кроме воды никакой полезной информации нет и быть не может. По крайней мере, любой сисадмин обязан знать, как с помощью утилиты sc.exe или с помощью записей в реестр создавать службы. А глубже этого автор копать не способен. Полезной информацией были бы примеры создания новых сигнатур хакерских атак для IPBan. А чтобы блокировать только лишь RDP действительно достаточно более удобной чем IPBan и бесплатной с исходным кодом утилиты Cyberarms Security Software.
Я не в восторге от IPBan, глубоко копать не собираюсь и показываю настройку программы по принципу работает - не трогай, настроил и забыл. Поэтому я показываю, что можно сделать с помощью этой программы не более чем за один вечер, обычно больше времени на это отвести нельзя и нужно заниматься новыми задачами. Настраивать будем блокировку протоколов POP3/IMAP4/SMTP Exchange Server 2016 по IP-адресу от подбора паролей. Блокировка RDP в IPBan работает из коробки.
Для использования IPBan нам понадобятся удобное дерево каталогов и несколько удобных батников.
Лучше всего IPBan распаковать в Program Files, где и положено находиться всем добропорядочным программам. Но в моем случае это будет c:\TO-CE\IPBan\bin. А в c:\TO-CE\IPBan (без bin) будут несколько батников.
Понадобится три батника: для установки и запуска службы (install.cmd), для остановки у удаления службы (delete.cmd). А также для остановки-и-запуска службы (stop-start.cmd), чтобы применять обновления конфигурации с помощью перезапуска службы, временно отключать ее и снова запускать при отладке. Это намного удобнее, чем каждый раз вызывать оснастку управления службами, искать ее там и тыкать в нее мышью - ни один уважающий себя админ так не делает. Дерево каталогов и файлов будет выглядеть следующим образом:

Для работы я буду использовать Total Commander Classic Repack 9.22a из своей же раздачи со встроенным редактором текста с подсветкой синтаксиса. Чтобы подсветка также работала и для файла конфигурации IPBan (c:\TO-CE\IPBan\bin\DigitalRuby.IPBan.dll.config), который представляет собой обычный XML-файл, необходимо добавить расширение имени файла .config в конфигурацию соответствующего плагина текстового редактора.
Создаем файл install.cmd: Службы, использующие c# в некоторых случаях могут вообще не стартовать даже с отложенным запуском, поэтому также создаем задание, которое будет через 15 минут после включения компьютера (обычно виртуальной машины) запускать службу, когда система уже полностью загрузится. В данном случае нам нужна высокая надежность защиты, и лучше перебздеть, чем недобздеть.
Создаем файл delete.cmd: И файл stop-start.cmd: По умолчанию, насколько я помню, в Exchange Server отключено логирование SMTP, его необходимо включить. Информация есть в интернете/MSDN.
На самом деле в нашем дереве понадобится еще один каталог и несколько файлов. Exchange Server никогда не удаляет свои логи. За год может скапливаться от нескольких десятков до нескольких сотен гигабайтов файлов логов. Некоторые программы резервного копирования могут их удалять, например, встроенная "Система архивации данных Windows Server". Но в большинстве случаев, чтобы упростить жизнь IPBan анализировать эти файлы логов, необходимо будет удалять слишком старые файлы явным образом. Сделаем еще одну структуру каталогов и несколько батников.

Файл для создания задания удаления старых логов 01_install.cmd: Это мой типовой шаблон создания задания, он лечит некоторые ограничения, которые получаются в результате обычной работы утилиты schtasks.exe - ограничение на время выполнения (для данного задания это не актуально) и запуск с наивысшими правами (это нюансы UAC).
Ломать - не делать, файл 02_delete.cmd: И само задание - удаление старых логов clean_logs.cmd: Не могу сказать насколько тереть логи таким способом правильно, но на данный момент ничего не сломалось.
Теперь про некоторые соображения насчет конфига IPBan. Возможно вы захотите сделать для него контроль версий с помощью GIT, и, возможно, это было бы красиво и правильно. Но мы же договорились отвести под его настройку один вечер и больше никогда в него не лезть. Так что ограничимся каталогом c:\TO-CE\IPBan\CFG-backup для его нескольких резервных копий.
IPBan обрабатывает файлы логов с помощью регулярных выражений, а нам понадобится какой-нибудь сервис, чтобы их проверять, например, онлайн в https://regex101.com .
Если с настройками простых параметров, таких как время блокировки, все легко и понятно, то с созданием новых обработчиков сразу возникают проблемы.
Мы договорились сделать работу за один вечер, поэтому сильно вникать в исходники не будем, сделаем лишь предположение (возможно, неверное), что для создания одного нового обработчика лог-файлов нам понадобится описать сразу две большие XML-структуры в двух разных местах файла конфигурации.
Пример для POP3 раз: и два: Не вдаваясь в подробности, во второй структуре мы описываем совпадение с теми строками лог-файла, в которых потенциально содержится информация об хакерской атаке (т.е. <Regex>LogonDenied</Regex>), а в первой структуре мы также с помощью regexp описываем каким образом распарсить эту строку, чтобы извлечь из нее IP-адрес атакующего и, например, логин, который он подбирает. Посмотреть подробный парсинг можно на сайте https://regex101.com . В PathAndMask мы, очевидно, задаем каталог с лог-файлами, очевидно, не используя regexp-выражения.
С помощью тэга "!--" мы описываем комментарии в XML-файле, а с помощью "![CDATA[" - экранируем от XML-парсера специальные символы, использующиеся в regexp-выражениях. Из этого выражения IPBan возьмет группу символов <ipaddress>, очевидно, описывающий адрес атакующего в данной позиции строки лог-файла и, если есть, группу символов <username>. PingInterval 10000 описывает период в миллисекундах, т.е. 10 секунд, через который IPBan периодически сканирует файлы логов на новые события.
Лучше всего посмотреть наглядно, как выглядит получившийся парсинг:

Описание парсинга IMAP4 выглядит немного по-другому:
раз: два: Если сравнить описание для POP3 и IMAP (особенно в тестовом редакторе с подсветкой синтаксиса), то становится уже более понятно.
А вот парсинг логов SMTP будет сильно отличаться. Обычно SMTP используют для рассылки спама, и в логах это однозначно видно, поэтому я создал такой парсинг, который генерирует наибольшее количество ошибок доступа, чтобы побыстрее забанить атакующего, фактически с самой первой его попытки.
раз: два: С помощью трех рабочих примеров нетрудно будет добавить другие обработчики логов.
Полный текст файла настроек IPBan в это сообщение уже не влезет, выложу его в каком-нибудь из следующих.
Кроме того, я не собираюсь заниматься поддержкой IPBan, мы его настроили за один вечер и больше в него лазить не будем.
Если выявятся какие-нибудь ошибки, постараюсь об этом написать.
Давайте теперь подключимся к нашему SMTP-серверу и попробуем отправить из него спам.
Я буду использовать утилиту PuTTY, подключаюсь по внешнему IP-адресу к серверу на 25-й порт по telnet.
Будем использовать типовую последовательность тупого спам-бота, он не использует авторизацию, т.к. надеется на вероятность того, что на SMTP-сервере разрешена неавторизованная отправка писем на атакуемый (с помощью нашего почтового сервера) другой почтовый сервер. На правильно настроенном сервере такая возможность закрыта и вызывает ошибку 550, которую мы передаем в IPBan для определения адреса злоумышленника. Таким образом, названия почтовых ящиков в примере совершенно не важны, важно лишь, чтобы они вам НЕ принадлежали (напомню, наш сервер используется хакером только для атаки на другой почтовый сервер). В терминале вместе с ответом от сервера выглядит так: Уже на шаге "RCPT To" Exchange Server должен выдать ошибку об атаке, давайте поищем новую запись в журнале лога (каталог c:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\FrontEnd\ProtocolLog\SmtpReceive): И через некоторое время (период опроса - PingInterval) в журнале IPBan появится запись о том, что адрес спамера 2 раза (напомню, что это сделано специально) добавлен в кандидаты на бан: Последнее число в строках означает общее количество неудачных попыток входа на сервер для данного IP-адреса за время, указанное в конфигурации IPBan.
Со стороны хакера могут быть попытки подбора специального имени, которое сломало бы правильный парсинг лога, но в данном описании это не рассматривается.
PS все IP-адреса и доменные имена являются выдуманными, любое совпадение считается случайным.
PPS ограничение бесплатной версии - 1) отсутствие GUI и 2) нет сброса счетчика неудачных попыток входа, если после них произошел удачный вход.
PPPS это хорошая, годная статья по миграции на IPBan, если вдруг RdpGuard перестал работать, на примере Microsoft Exchange Server, не надо ее трогать и спойлерить.
P^4S вообще не рассмотрены примеры создания обработчиков атак по событиям, т.к. для понимания надо лезть в исходный код IPBan.

Гоняю крайнюю версию на сервере в логах какие то ошибки В программе вижу что блокируются ip адреса на в файрволе не вижу , такое может быть?

Это значит, что крэк не работает.

---

Выложил версию 6.7.5.

Спасибо тебе ! Добрый человек !
Глянул в фаервол они изменили принцип бана теперь одной записью делают кто не вкурсе

Подводя итоги по SIP и всякому.
RdpGuard 6.7.5 с SIP не работает. Установлена Asterisk 16.7.0 и на ней RdpGuard блочит подряд все подключения. Причем реальный подбор паролей блочит два раза на событие (см на рисунке 217.182.166.197). Оставил подключенным к тестовому серверу (локально 172.16.0.29) один единственный 100% настроенный и проверенный софт-телефон (когда их было много они отлично звонили друг на друга) и RdpGuard его блочит, хотя в логах самого Астериска все отлично без ошибок. Типа телефон говорит "привет, астериск, я еще онлайн!", а RdpGuard его в это время блочит. Наверное. Выяснять что там происходит мне уже пофигу. После того, как RdpGuard виснет на Exchange 2016, падает на интерфейсе, а запуск службы установлен в "отложенный" для стабильности этого запуска.

Сыт этой дрянью по горло. Там, где нужно только RDP (4 машины) работает версия 4.8.9, новее и не нужно, либо есть бесплатные аналоги. Два Exchange переехали на IPBAN, он просто пашет, и я забыл о проблемах. В общем, теперь нужно еще и к Asterisk IPBAN прикрутить под WSL.
PS. SIP-клиенты разные пробовал если что. Может руки дойдут проверить RdpGuard при подключении с нескольких аппаратных телефонов. Вывод: в RdpGuard стабильно RDP как работало несколько лет, так и осталось, а все остальное не для продакшен - что-нибудь да отвалится.

https://softoroom.net/topic87344s20.html

evgen_b
Добрый день. Подскажите пжл. Почитал ваши комментарии, но так и не смог определится, какая более лучшая и стабильная будет программа
Задача - Чисто для блокировки RDP-подключений софтина.
Какую лучше выбрать
1) RdpGuard 5.4.9 - это лучшая стабильная
2) Cyberarms Security Software
3) IPBan
4) rdp defender
И хотел бы вашего мнения вообще про RDP defender услышать, так как вы про него ничего и нигде не упоминали.
Заранее спасибо

К тому, что я уже писал, мне сейчас особо добавить нечего. Дело вкуса каждого. Но поскольку дело уже дошло до личных сообщений от hitaman, чтобы не было обид, попробую еще раз резюмировать.
RdpGuard 5.4.9 имеет преимущества только в своей же линейке. В новых версиях разработчики стали прикручивать к программе свой облачный сервис. С точки зрения маркетинга - это правильно, с точки зрения стабильности - в новые версии добавлялся новый код, существующий отлаженный код тоже заменялся, старые ошибки не исправлялись, добавлялись новые ошибки в новом коде. Версия 5.4.9 внезапно оказалось неплохой на фоне менее стабильных новых версий с сомнительным функционалом именно для пользователя. А производитель получил статистику по внешним IP-адресам зараженных устройств, из которой также можно извлечь прибыль.
Ни один из экзотических случаев, то есть кроме RDP, у меня не заработал в продакшене. Экзотические случаи у меня были в виде SIP и Exchange Server.
Cyberarms - вероятно дедушка всех RdpGuard, код открыт, написан на c# как и RdpGuard, что какбэ намекает. Пруф оф консепт, который вполне работает, к таким программам не придираются. Нет обнуления счетчика неудачных попыток входа после удачного входа.
IPBan - пришел в Windows из мира Linux, прихватив с собой все мыслимые антипаттерны. Но, сука, работает. Стабильный, еще бы, за 6 лет-то. GUI и некоторые плюшки - в платной версии. Его нужно один раз настроить и забыть как страшный сон, но он будет работать, пока не остынет Вселенная. Его настройкам я посвятил длинный комментарий, это на порядок больше и подробнее, чем все остальные комментарии и примеры по нему за все его существование. Постараюсь еще что-нибудь написать про его использование, когда появится немного времени. Нет обнуления счетчика неудачных попыток входа после удачного входа. Зато можно настроить любую экзотику.
RDP defender - не слышал про него раньше. Написан, что бы вы думали, на c#. А вам сложно было самому протестировать? С радостью прочитал бы ваш отзыв за спасибо. Нет обнуления счетчика неудачных попыток входа после удачного входа. Блокировка IP максимум на 100 часов. Функционал ограничен только RDP, но есть GUI, проблемы с обновлением информации в GUI, куча прочих детских болезней и глюков GUI. В продакшен не подходит хотя бы из-за ограничения блокоровок до 100 часов максимум.
Выводы. Если нет совсем экзотики и защищать нужно только RDP и ничего более, то удобнее всего использовать RdpGuard. Для экзотических случаев он нестабилен - как новые версии, так и старые, надеяться на него в таких случаях нельзя, тут кому как повезет (скорее - не повезет).
Если нужно защищать экзотику (все, кроме RDP), то лучшее решение - IPBan. Гибкая конфигурация, стабильность, но без GUI и некоторых плюшек. Единственный вариант.
Если защищать исключительно RDP принципиально бесплатной программой - то Cyberarms будет стоять на втором месте после RdpGuard. В ней нет тех же самых плюшек, что и в IPBan, зато есть GUI.
Немного конспирологии. Как видите, разработчик IPBan занес мне несколько вагонов нефти.
Почетное упоминание. Тем не менее RDP defender уверенно занял первое место среди аутсайдеров. Так как других аутсайдеров не было.

Коллега, спасибо за проделанную работу.
Успешно соскочил с глючного CyberArms.

evgen_b
Можно спросить, был ли опыт настройки подобных программ для блокировки брута rdp в связке керио+роутер?
поясню ситуацию:
нэт поднимается на роутере и приходит в сервак с керио. керио уже своим dhcp вещает рабочую сеть
через роутер и через керио порт для удалёнки для rdp проброшен
скажем у роутера шлюз 192.168.1.1 а у керио 192.168.0.1
смысл в том, что если извне пробовать подключаться и вводить неверные данные для входа, то после n количества раз, прописанных в правилах и rdpguard и cyberrams они блочат именно шлюз 0.1 а не конечный айпишник.
и естественно если вся LAN сеть 192.168.0.* в исключениях ,то и извне будут продолжать ломиться.
а если исключить lan 0.1 из вайтлиста, то и все другие айпи извне не смогут дозвониться на сервак
попробую ещё ipban настроить, но у меня сильные сомнения ,что он будет действовать иначе

Dieman_666
А, двойной нат, и более подробной информации не предоставлено. Не было опыта с керио вообще никакого.
Но, как понимаю, проблема с настройкой проброса порта в керио - он там IP-адрес подменяет. Т.к. с ним не работал, могу тока предположить, что вероятно нужно не NAT, а MAP, а в интерфейсах тока не Firewall, короче, чтобы он трафик без изменений гонял куда надо, и повыше это. А на роутере можно вообще DMZ для керио сделать, хотя роутер в этой схеме вообще как пятое колесо. Вообще по логике ipban должен устанавливаться в самом керио и читать его логи, раньше так можно было, когда он устанавливался в ОС, и iptables использовать, а теперь уже нет, и это вещь в себе, не считая интеграции ldap (вряд ли кто будет под api керио новый ipban писать).
А если совсем правильно, то роутер тут ни к чему, а в керио прописать DMZ для сервака согласно стр.119 руководства Kerio Control Administrator's Guide (English).

Какая версия оптимальна для Server 2016, режим RDP ?

Народ подскажите, есть до сих пор работающий MS 2003 Server (32-х), пытаюсь установить на него rdpguard
Специально нарыл в торрентах старую версию - RdpGuard 4.8.9 pre-cracked.exe
В ней также, самораспаковывающийся архив и хитро мудро сочиненный bat-файл - auto-setup-NOCONSOLE.cmd
Пробовал выполнять построчно в командной строке, отключив ECHO
Ругается на следующую строчку: И целом, так сказать, хотелось бы в общих чертах понять, что хотел сделать многоуважаемый автор этой строчкой кода: Кста, если кому надо старую версию - могу здесь выложить torr. файл

bolodya123
Чтобы выполнить скрипт интерактивно, нужно немного заморочиться с иероглифом "%", т.к. еще с конца 1980-х годов в операционной системе DOS в некоторых случаях они удваиваются и наоборот, в зависимости от места выполнения команды. В Windows 10, хвала богам, всё осталось также, как и 40 лет назад. И Гугл об этом знает, если что.
Я бы на вашем месте вообще не парился, а закомментировал первую строчку батника @ECHO OFF, а также расставил перед/после интересующих меня команд в батнике команды PAUSE, чтобы лучше понять ход выполнения. Кстати, эти команды там есть и закоментированы, обращаю внимание, вам остается сделать тока копипаст.
Теперь касаемо заклинания 80-го уровня.
Давай сначала представим, что батник должен сделать. Он должен запустить инсталлятор, а когда тот отработает, заменить определенные файлы на пропатченные, чтобы программа не вымогала честно заработанное непосильным трудом. Собственно вопрос в том, а где эти файлы после установки будут находиться, т.к. пользователь, с дуру, конечно, может установить программу куда угодно.
Вопрос кажется довольно сложным (для некоторых). Какие инструменты доступны нам для его решения?
1. Обращение с заявлением в полицию и объявление этих файлов в уголовный розыск.
2. Прибегнуть к помощи экстрасенсов, чтобы найти файлы.
3. Составить мощное заклинание самому.
Давайте рассмотрим каждый пункт подробнее. С заявлением в полицию вам, скорее всего, откажут из-за отсутствия состава преступления. Помощь экстрасенсов вам обойдется на порядок дороже, чем официальное приобретение самой программы. Для нас остается третий вариант.
Мы знаем имя службы - Значит мы знаем (правда ведь?), где в реестре находятся более подробные данные, достаточные для её запуска - Чтобы Windows могла запустить эту службу, ей надо знать полный путь к файлу на диске.
Это значение содержится в реестре в параметре ImagePath.
Чтобы его прочитать, в батнике применяется следующее магическое заклинание - Чтобы отделить информацию, которая нам действительно необходима, от остальной, выводимой утилитой reg.exe, мы воспользуемся конвеером (также доступным ещё с конца 1980-х годов в DOS) и передадим вывод на вход следующего заклинания-фильтра Теперь из этого предварительно отфильтрованного вывода нам нужно забрать только полный путь к запускаемому файлу.
Это можно сделать с помощью такого магического заклинания - Далее, необходимо сохранить результат в переменную. Будет удобнее, если мы воспользуемся небольшой эльфийской хитростью, т.к. в этом заклинании можно сделать трехуровневое комбо, и разбить результат на отдельные составляющие - полный путь, имя файла и расширение этого имени. Поэтому в предыдущем заклинании мы произносим слова Древней Крови tokens=2,* совместно со следующими тремя мини-заклинаниями: Таким образом, в конце нашего длинного заклинания 80-го уровня мы получим в переменной svcname - имя файла, svcext - расширение имени файла и svcpath - полный путь к этому файлу.
Именно этот файл и необходимо заменить на его пропатченную версию (остановив на время саму службу, конечно). Чтобы было проще сделать эту подмену, сохранив при этом оригинал, мы используем отдельно переменные, содержащие данные только о полном пути к файлу этой службы, только имя этого файла и только о его расширении имени. Тогда, например, можно задать новое имя для оригинала с помощью такого заклинания на лунном языке - "%svcname%-OLD%svcext%.
Не учись, и вся твоя жизнь будет наполнена чудесами и волшебством.

Поделитесь программой Cyberarms Intrusion Detection and Defense Software (IDDS)
сайт https://cyberarms.net/ не открывается, прямая ссылка https://cyberarms.net/media/1022/cyberarmsintrusiondetectionsetupx64_220.zip тоже не работает
есть еще аналог RDP Defender, вроде тоже самое что RDPGuard только бесплатное, может пробовали ее ?
В каком то из программ есть очистка старых правил? Встречал комментарий что через год брендмаер переполняется созданными правилами блокировки и начинает тупить сервер

Maza777
https://github.com/EFTEC/Cyberarms
https://github.com/EFTEC/Cyberarms/blob/master/Compiled/cyberarms.intrusiondetect...up.x64_2.2.0.zip

на windows xp не пойму почему не работает, поставил winPcap, службу перезапускал, поменять настройки неактивно

Еще каждый раз при запуске надо нажимать здесь

в политиках отказ стоит

в доменных вот так

по их рекомендации в командной строке команда
auditpol /set /subcategory:Logon /success:enable /failure:enable
не выполняется
вот с win7

если нажать на "click here to unable" на win7 то будет работать, но каждый раз при запуске это делать неправильно

на другом компе с Win XP тоже самое, framework 4 стоит если что, для FTP я могу включить wincpap, а для RDP не могу

Maza777
в чем заключается принцип использования xp? а даже не вин сервера 2003, хотя я и про него молчу, ибо что-то ниже 2008 r2 ставить смысла нет по сути, если только не прям до невозможности специфичный софт стоит, к которому нужен удалённый доступ