вопросы и впечатления по Outpost версии 7.0 - Страница 10 - Outpost Firewall Free/Pro & Antivirus (Agnitum) - Форумы Anti-Malware.ru Перейти к содержанию
greenag

вопросы и впечатления по Outpost версии 7.0

Recommended Posts

zzkk
на тест Kernel5b при попытке записи теста в системную папку сработал SystemGuard, а не Anti-Leak, а Давид - человек простой: записал тест в другое место, успешно запустил и написал, что не защитили от методики данного обхода защиты. Но System Guard'ом был бы отбит что вирус, что ликтест.

Правильно ли я понял, что систем гардом был бы отбит вирус и ликтест, если бы вирус и ликтест запускался бы только из системной папки, а в противном случае: "Записал в другое место и успешно запустил"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Правильно ли я понял, что систем гардом был бы отбит вирус и ликтест, если бы вирус и ликтест запускался бы только из системной папки, а в противном случае: "Записал в другое место и успешно запустил"?

Наоборот, если в системную папку, защищенную "Защитой системы", будет что-то писаться... Но вывод верный, Матушек так и сделал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer

Так, я понял: что то(видимо тестовая DLL) будет куда то писаться, что то ей там не даст записаться толи в системную папку толи нет, НУ И ЧТО?

Смысл теста: противостоит ли система защиты _инжекту dll_ в другое адресное пространство или нет? Так причем тут запись в папки? Или вы имеете ввиду, что временный файл не был создан? Ну и что? Можно все налету сделать из памяти в память.

Тут смысл в инжекте, а не в записи что то в папки.

???

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Так, я понял: что то(видимо тестовая DLL) будет куда то писаться, что то ей там не даст записаться толи в системную папку толи нет, НУ И ЧТО?

Смысл теста: противостоит ли система защиты _инжекту dll_ в другое адресное пространство или нет? Так причем тут запись в папки? Или вы имеете ввиду, что временный файл не был создан? Ну и что? Можно все налету сделать из памяти в память.

Никто не говорил, что тест пройден. Обсуждалась формулировка тестировщика, с которой продукт признан не прошедшим тест. Работы по устранению уязвимости ведутся, это дело не одного дня.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
slavik_dm

цена пожизненой лицензии Firewall Pro на 3 компа мне вышло что то около 900 рэ где то с год назад :blink: это смешные деньги..

PS правда другой вопрос что нормальной работы 6.7.3 я так и не получил и в WinXP SP3 (просто периодические синие экраны при загрузке компа) так и в Win7 32bit:

1) крайне высокая загрузка проца при работе с торентом

2) работа с Avast 5 наладилась только после нескольких недель переписки с техподдержкой

3) после удаления 6.7.3 невозможно восстановление нормальной работы встроеннго в винду файрвола(при его активации) - идет блокировка HTTP трафика.. от этой проблемы в техподдержке вообще отморозились :) короче достал на двух компах - снес нафиг.. жду пока допилят 7-ю версию :rolleyes: а пока поюзаю встроенный в Win7(на том компе гже не успел поставить сабж) и Online Armor 4 Free на той, куда успел его проинсталить ))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer

Меньше ведитесь на рекламу и больше читайте форумы и смотрите тесты. Что вы перечислили - известные проблемы, которые не решены по сей день(нагрузка на проц, глюки дров) и сомневаюсь, что в ближайшее время будут решены.

жду пока допилят 7-ю версию

Долго ждать придется:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
больше читайте форумы и смотрите тесты

смотря какие форумы и тесты :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer
форумы и тесты

:) У меня тоже, если честно, при таком сочетании только в памяти всплывают любимый сайт жены - woman.ru и журналы Гламур:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zzkk
Работы по устранению уязвимости ведутся, это дело не одного дня.

Когда планируется ближайший багфикс-релиз? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
slavik_dm

уже не актуально :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
slavik_dm
Меньше ведитесь на рекламу и больше читайте форумы и смотрите тесты. Что вы перечислили - известные проблемы, которые не решены по сей день(нагрузка на проц, глюки дров) и сомневаюсь, что в ближайшее время будут решены.

Долго ждать придется:)

у меня пожизненная лицензия :P

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Когда планируется ближайший багфикс-релиз? :)

Как обычно, раз в 1,5-2 месяца после предыдущего.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT

Отключил OSS (выйти и остановить службу), удалил старую версию Оперы (10.5х), поставил 10.60. Перезагрузил ПК. Запустил браузер, вопросов со стороны OSS - нет. Совсем никаких нет. В любом то случае исполняемый файл браузера был изменен.

???

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Отключил OSS (выйти и остановить службу), удалил старую версию Оперы (10.5х), поставил 10.60. Перезагрузил ПК. Запустил браузер, вопросов со стороны OSS - нет. Совсем никаких нет. В любом то случае исполняемый файл браузера был изменен.

???

проактивная защита включена?

какой уровень стоит в анти-лик?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT

Включена.

Максимальный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

тогда смотрим журналы "Контроль компонентов" и "Анти-лик"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT

Бегло просматривал, кажется за тот момент было пусто. А что, информационные окна теряются?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

при установке Opera.exe попадает в список известных компонентов, поэтому и нет уведомления о изменении версии (возможно еще не появлялся запрос потому, что опера - доверенное приложение)

если сделать подмену файла, например, создать SFX-rar архив и заменить оригинальный файл, то при попытке запуска появится алерт

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT

Тоже о этом думал. Даже проверял, но правда ничего из приложений состоящих из одного исполняемого и не оставляющих после запуска своих файлов у меня не оказалось, я просто текстовый файл переименовал в оpera.exe. Сообщения OSS на запуск переименованного текстового отсутствовали.

С архивом не сообразил - сейчас попробовал самораспаковывающийся архив назвав его оpera.exe вместо оригинального файла - запрос есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
но правда ничего из приложений состоящих из одного исполняемого и не оставляющих после запуска своих файлов у меня не оказалось

Так сделал бы копию файла, изменил его в хекс редакторе и сделал подмену.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT

Пусть тестированием своего продукта компания Агнитум занимается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Пусть тестированием своего продукта компания Агнитум занимается.

:rolleyes:

---

правленая в хекс редакторе опера тоже сопровождается алертом

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT

Dmitriy K

Однако у меня сообщения после запуска обновленнного браузера отсутствовали. Есть ли в этом опасность или нет - вот в чем вопрос:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

напишу в BTS.

посмотрим, что ответят.

ок? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT
напишу в BTS.

посмотрим, что ответят.

Вам всегда отвечают обстоятельно и в полном объеме, и сразу соответствующий специалист?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
    • santy
      RP55, есть у тебя ТГ?
    • SQx
      Приветствую,
      Мне попалась интересная тема, в которой пользователь модифицировал %path% переменные, что привело в Bsod 0xc000021a
      https://www.sysnative.com/forums/threads/windows-11-pro-10-0-26200-8457-kb5089549-bsod-0xc000021a-dism-0x800f0915-after-update.46083/

      Хотел уточноть, если возможно для uVS добавить возможность мониторить %path% в WinRE среде и если оно превышает лимит, или содержит вторичный вызов %path% в значение, то показать как предупреждение.
      Получается так, что у пользователя  фактическое значение %PATH% содержало всего 23 333 символа, но из-за того что оно содержало вызов к %path% в значение, я предпологаю это вызвала превышение лимита (32,767 символов). т.е. виртульально содержала 46 667 символов из-за того что дублировался вызов. Поправьте если я не прав.
      https://learn.microsoft.com/en-us/windows/win32/fileio/maximum-file-path-limitation?tabs=registry

      Прикрепил hive реестра пользователя для примера.
        env_hiv.zip
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
×