Outpost 7

[Dmitriy K 603]

[Андрей-001 1099]

Дата релиза: 25 мая 2010

Виталий Я., команде и пользователям Outpost'а - мои поздравления!

[Виталий Я. 859]

Список основных технических улучшений и нововведений - здесь:

http://www.agnitum.ru/products/security-suite/history.php

Новый модуль «Защита приложений»:

Защита конфигурационных файлов и веток реестров прикладных программ от чтения неавторизированными процессами

Обнаружение приложений, защищаемых модулем «Защита приложений», во время установки

Возможность отправлять в компанию Agnitum данные о приложениях, которых нет в списке, но которые необходимо защитить

Новый модуль «Защита файлов и папок»:

Защита доступа к заданным пользователем папкам и файлам

Переработан модуль «Антивирус+Антишпион»:

Автоматическая проверка подключаемых USB-устройств

Улучшен сканер почты, реализована возможность лечения вложений

Увеличено количество настроек модуля

Добавлена возможность сканирования загрузочных секторов

Возможность указания действия над вредоносным файлом при обнаружении его монитором постоянной защиты

Модуль «Брандмауэр»:

Значительно снижена нагрузка на канал между драйвером и управляющей службой

Увеличена производительность фильтрации трафика в P2P-сетях

Реализована динамическая фильтрация пакетов (SPI) для протокола UDP

Добавлена фильтрация неверных флагов TCP

Улучшена фильтрация содержимого (не фильтруется локальный трафик и бинарные потоки)

Исправлены критические ошибки в TDI/TLI-фильтрах, применяемых в Windows 2000/XP/Vista, что позволило повысить стабильность системы

Переработана функциональность модуля «Активность процессов»:

Монитор файловой и реестровой активности процессов

Список модулей процесса

Возможность изолировать подозрительный процесс или модуль, поместив его в карантин

Счетчики операций входа/выхода

Модуль «Критические объекты» переработан в новый модуль «Защита системы»:

Критически важные секции реестра и системные файлы защищаются от изменений в соответствии с предустановленными правилами

Увеличено количество защищаемых объектов

Реализована возможность создавать свои правила для защиты реестра и файлов

В разделе «Правила для приложений» возможно задание собственных правил для приложений, имеющих более высокий приоритет, по сравнению с глобальными правилами (исключения)

Рестайлинг пользовательского интерфейса:

Общий вид и диалоги продукта переработаны в стиле Windows Vista/Windows 7

Модуль «Веб-контроль»:

Реализована блокировка веб-страниц по ключевым словам в URL и в теле страниц

Список потенциально интересных материалов сайта:

- новая структура http://www.agnitum.ru/products/, функционал всей линейки стало возможно охватить на 1 странице (пошуршите в закладках снизу, они ведут на новые страницы),

- добавлена единая страница по 3 продуктам Что Нового в Outpost 7? http://www.agnitum.ru/lp/whats-new-in-outpost-7.php

- добавлена единая страница по 3 продуктам Возможности Outpost 7 http://www.agnitum.ru/lp/outpost-7-features.php

- добавлена единая страница по 3 продуктам Как Outpost 7 защищает http://www.agnitum.ru/lp/outpost-7-secures-whitepaper.php

и т.п.

Надеюсь, так теперь удобнее.

[UIT 103]

Отлично. Поздравляю!

И уже установил финальную.

Вот отчего я в исключения в веб контроле (активное содержимое) не могу добавить например такое: anti-malware.ru/forum/ обрезается до anti-malware.ru

Господа, если не сложно, поставьте пожалуйста разрешить в настройках продукта на анимацию Gif и отпишитесь здесь - есть ли оное после этого. (можете для проверки посмотреть на 3dnews.ru или на данном форуме user picture Андрея и Дмитрия см. выше

[UIT 103]

Ой, извините ошибся - только первый фрейм

[Dmitriy K 603]

Вот отчего я в исключения в веб контроле (активное содержимое) не могу добавить например такое: anti-malware.ru/forum/ обрезается до anti-malware.ru

Родительским является сам сайт. Форум - дочерний.

Все настройки для anti-malware.ru будут применяться и для форума.

[UIT 103]

Dmitriy K

Ладно, я вот тренируюсь находить во всем хорошее и поэтому, собственно, весьма рад, что при вводе любого имени не остается только www.

[Z.E.A. 190]

Реально ожидали другое от первой финальной версии?

Делите на ноль.

Есть вендоры, которые даже "первые финальные" версии выпускают очень стабильными, но не об этом разговор...

[Killer 55]

Когда ждать пофиксеный релиз? Ну хотя бы примерно, через неделю, две, месяц?

[Виталий Я. 859]

Когда ждать пофиксеный релиз? Ну хотя бы примерно, через неделю, две, месяц?

Возможно, быстрый хотфикс будет на неделе. Первый плановый - через месяц.

Тема разделена, выделены 4 отдельных топика:

про бета-тестирование: http://www.anti-malware.ru/forum/index.php?showtopic=13918

про "альтернативу Аутпост фаерволу": http://www.anti-malware.ru/forum/index.php?showtopic=13922

про то, где еще работает ImproveNet: http://www.anti-malware.ru/forum/index.php?showtopic=13916

вопросы и впечатления по новой версии Outpost 7: http://www.anti-malware.ru/forum/index.php?showtopic=13923

Так будет удобнее.

[greenag 10]

Виталий Я.

странно, что ж вы о новой не пишете?

[UIT 103]

Автоматическое обновление на версию 3373.514.1234 возможно, или опять полностью дистрибутив нужен.

[Виталий Я. 859]

Виталий Я.

странно, что ж вы о новой не пишете?

Забыл, да и сами с усами

[skrayd 0]

Ace, для начала нужно этот троян тебе залить, это небольшая проблема, согласен. Но, нарпример, в Outpost можно поставить пароль на проведение любых изменений в настройке, так что эта проблема решаема

[UIT 103]

Создал шифрованный файл-контейнер, подключил в режиме локального диска. Еще на рабочем столе создал обычную папку и внес ее в исключение проверки антивирусным монитором, в папке несколько EICAR test file в виде txt. И соответственно из этой папки при работающем антивирусе без проблем накопировал несколько штук EICAR в смонтированный виртуальный шифрованный диск, тестовые файлы оттуда прекрасно открываются и реакции антивируса естественно нет. Антивирусный монитор в режиме проверки всех файлов при любой попытке доступа. Кажется я нечто слегка похожее ранее спрашивал, но повторюсь: такое поведение Антивируса нормальное? Есть ли какой риск заражения ОС +утечки данных в таком случае (в плане, допустим, будет у меня в контейнере установлен почтовый клиент и прочее, или полное шифрование системного раздела)?

*Outpost Security Suite Pro v7.1

[Dmitriy K 603]

UIT,

т.е. зашифровали папку --> подключили как сетевой диск --> скопировали в него ИКАРа --> запустили --> реакции от антивируса не получили

[Umnik 997]

UIT

Ты начал сразу с двуш спешел кейсов, потому давай начнем с правильного. Скопируй эти файлы из папки А в папу Б. Если антвирус не обрабатывает файлы при _доступе_, он проигнорирует это действие. Если действие было заблокировано, значит он либо при доступе проверяет, либо при записи на диск. Добавь Б в исключения и повтори действие. Если детекта нет, то проверка при записи, если детект есть, то при доступе.

Если детект при записи, то это потенциальная дыра в безопасности. Если детект при обращении, то остается зашифрованный диск. Если интересно, могу сказать, ловим ли мы на нем заразу. По-хорошему должны, но я еще не проверял

[UIT 103]

т.е. зашифровали папку --> подключили как сетевой диск

TrueCrypt. Монтирование и в режиме локальный диск и в качестве съемного носителя.

скопировали в него ИКАРа --> запустили --> реакции от антивируса не получили

Вертел файлы в разных направлениях, реакция от антивирусного монитора нулевая.

Сканер по запросу - обнаруживает.

Скопируй эти файлы из папки А в папу Б

Антивирусный монитор в режиме проверки всех файлов при любой попытке доступа.

А в исключениях монитора

Б нет

Копировать-вставить из А в Б тестовой строки EICAR в текстовом*.txt; и соответственно с измененным заранее в папке А расширением текстового на com; bat; exe = результат обнаружение, алерт антивируса секунд примерно через 5-6. Файлов визуально в папке нет - смотрел при копировании в открытую папку Б и на рабочий стол.

Открытие в А txt и запуск bat= открывается без реакции антивируса (win7х64 остальное у меня отказывается запускаться «версия этого файла несовместима...»).

Просто мышкой из А переместил в закрытую Б поочередно — txt, bat, com реакции антивируса нет.

Открытие папки Б (перетащенные файлы есть)- реакции монитора нет.

Выделение мышкой поочередно указанных файлов с соответствующими расширениями (txt, bat, com) в открытой папке Б — реакции нет.

Открытие txt — отказано в доступе, блокнот открывается пустой, через некоторое время алерт от антивируса - жмякаю удалить. bat, com — отказано в доступе - детект есть.

ехе, msi перетащил из А в папку закрытую Б — нет реакции, выделение папки Б — нет реакции. Открытие папки Б — есть сразу детект ехе (секунды пожалуй примерно 5-6 проходит до этого радостного момента) на msi у меня монитор антивируса определяет только при выделении файла в открытой папке.

Развлекался разнообразно: если выделить все файлы с расширениями txt, bat, com в открытой папке Б и на общем выделенном - свойства — реакции антивируса нет. Поочередно свойства каждого файла - происходит обнаружение на каждом. Для txt ярлык сделал — обнаружения нет.

А искл

Б искл

Перемещаются/копируются/вырезаются/вставляются/открываются файлы между папками без проблем и в различных направлениях.

TrueCrypt, контейнер смонтирован в режиме фиксированного и в режиме съемного диска тоже пробовал.

Перемещаются/копируются/вырезаются/вставляются/открываются файлы без проблем.

При сканировании объектов вручную (контекстная проверка) - антивирус их все определяет жутко вредоносными.

Если детект при обращении, то остается зашифрованный диск. Если интересно, могу сказать, ловим ли мы на нем заразу.

Остается. Весьма интересно о ловлении узнать.

Кстати, какие чудеса ждут при полном шифровании системного раздела + антивирус, сканер которого работающий в режиме реального времени, ничего и никого не находит и насколько реальна вероятность (в указанной мной ситуации с контейнером и шифрованием раздела) отсутствие детекта антивирусом в реальном времени?

Все ли антивирусные продукты имеют подобную работоспособность при работе с виртуальными шифрованными дисками, разделами... и детект при шифровании/дешифровании на лету в ОЗУ для них представляет проблемы - или в моем случае иная какая причина?

[Dmitriy K 603]

UIT,

у вас хоть что-то определяется файловым монитором на зашифрованном диске

У меня - тишина (но версия программы другая)

Кстати, какие чудеса ждут при полном шифровании системного раздела + антивирус, сканер которого работающий в режиме реального времени, ничего и никого не находит и насколько реальна вероятность (в указанной мной ситуации с контейнером и шифрованием раздела) отсутствие детекта антивирусом в реальном времени?

сможете это проверить сами?

Если интересно, могу сказать, ловим ли мы на нем заразу. По-хорошему должны, но я еще не проверял

Ждем результат

[UIT 103]

у вас хоть что-то определяется файловым монитором на зашифрованном диске

У меня только есть EICAR и виртуальный диск в TrueCrypt. Монитор тестовые файлы на его основе не определяет. А при контекстной проверке объектов у Вас детектирование есть? В моей ситуации - Да.

сможете это проверить сами

К сожалению нетUmnik думаю даст профессиональную оценку такому. Я пока от шифрования воздержусь

[Dmitriy K 603]

А при контекстной проверке объектов у Вас детектирование есть?

есть

[Umnik 997]

Обнаружено (4)

04.04.2011 10:10:35 Обнаружено вирус Virus.Win32.KL-Demo.c a:\kl_demo.exe Высокая

04.04.2011 10:10:36 Обнаружено вирус EICAR-Test-File a:\copy.txt Высокая

04.04.2011 10:10:36 Обнаружено вирус EICAR-Test-File a:\eicar.com Высокая

04.04.2011 10:10:30 Обнаружено вирус Virus.Win32.KL-Demo.c a:\kl_demo.txt Высокая

Где A:\ - подмонтированный контейнер Infowath CryptoStprage

[UIT 103]

Подробнее пожалуйста. Монитором отловлено или ручным сканированием.

У антивируса от Агнитум что, получается нечто такое? :

Монитор шустро перемещался по вверенной ему территории, отыскивая запрятавшихся под листьями червяков но звенящего в воздухе комара, абсолютно не замечал. Комар сел на покрытую колючками шкуру Монитора, испил его крови и весело полетел дальше.

[Umnik 997]

И тем, и другим.

[Dmitriy K 603]

UIT,

запрос оформляли?

У антивируса от Агнитум что, получается нечто такое? :

Монитор шустро перемещался по вверенной ему территории, отыскивая запрятавшихся под листьями червяков но звенящего в воздухе комара, абсолютно не замечал. Комар сел на покрытую колючками шкуру Монитора, испил его крови и весело полетел дальше.

байки из склепа

продолжение: но издох через 5 секунд

(файловый монитор срабатывает в момент запуска)