Перейти к содержанию
vaber

Антишпионы в брандмауэрах

Recommended Posts

broker

Сергей Ильин

вот это не правильно, есть процессы которые никоим образом изменяться не должны.. (типа winlogon.exe и т п), вообще если кто-то пытаетеся спорить с системой или вмешиваться в её работу то в большинстве случаев это вредонос

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Нашёл в инете несколько вредоносных программ и решил проверить встроенный в аутпост модуль антиспайвэй. Надо сказать, результаты меня порадовали. так как помимо шпионов он оказывается ловит и рекламные проги и даже кейлоггеры!!!

Интересно, одну шпионскую прогу не видел даже Каспер, а вот антиспайвэй-определил! Правда, что касается Adware, то нашёл он далеко не все, что вообщем я считаю не является недостатком.

Интересно то, что он может проверять и в архивах(RAR,ZIP)

Скриншот прилагается.

antispyware.rar

antispyware.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

vaber

Вообще под spyware сейчас подразумевают широкий класс потенциально опасного ПО, в том числе adware, keyloggers и т.д. Это определение Anti-Spyware Coalition (in the broad sense - в широком смысле). Поэтому все вендоры работают в направлении детекта всех этих классов программ.

Поэтому так и должно быть, что движок у Outpost берет различные потенциально опасные программы.

Я вот чего-то так и не нашел на официальном сайте информации о том, чей же у них движок стоит ... ведь сто пудово они его у кого-то по лицензии взяли.

Может кто знает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Сергей Ильин

Я бы сказал условно опасного, так как лопата тоже условно опасна, поэтому в самолёт с ней не пустят. Половина консольных утилит разработанных systernals обнаруживаются каспером как условно опасные и ЭТО ПРАВИЛЬНО, админ обязан знать, что качают юзеры...

Но честно говоря, когда у тебя есть разрешение на использование этиъ утилит в благих намерениях и Каспер мешает, ТО КАСПЕРА ХОЧЕТСЯ ВЫКИНУТЬ... Тоже самое хочется сказать и в отношении avel.exe !!!!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
когда у тебя есть разрешение на использование этиъ утилит в благих намерениях и Каспер мешает, ТО КАСПЕРА ХОЧЕТСЯ ВЫКИНУТЬ

В 6-ке есть механиз исключений для потенциально опасного ПО, это как раз на тот случай, если тот же radmin испольуется на компе легально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Сергей Ильин

для каждого ПО отдельно надо высталять или сразу группой?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Исключения выставляются отдельно для каждого, но можно выключить детект для потенциально опасного ПО вообще.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Latin
А вот про работу(качество детектирования)встроенных в фаерволл(agnitum,zone alarm) мало где пишут.

Про OP мне интересно узнать кто ж им движок делал и на основании чего они определяют вредоносность? Были такие прецитендны: есть стандартные методы повышения безопасности в M$ прописываешь полные пути к проводнику скрисеверу и т.д., так вот OP при этом начинает вопить, что обнаружен троян winlogon.exe и предлагает удаление :):( Так что качество конечно надо еще подтягивать а вообще в брэндмаурех такие вещи нужны. Только по типу OP в виде плагина. И еще бы не в одном дестрибутиве, а скачивания(заказа/покупки) при необходимости.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Олег Зайцев прогонял эту антиспайварьную компоненту через свой набор зловредов. Результат- в среднем определилость 10%.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Олег Зайцев прогонял эту антиспайварьную компоненту через свой набор зловредов. Результат- в среднем определилость 10%.

Олег прогонял Tauscan от Agnitum. Хотя вроде бы этот Таускан несколько отличается от встроенного в брандмауэр модуля анти-спайваре.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×