вопросы и впечатления по Outpost версии 7.0

[YAroslav 0]

то, что загружается не может быть проверено файловым монитором и контекстным сканированием?

Если бы не было файлового монитора, то антивирусную составляющую вообще было бы бессмысленно держать.

Просто реал-тайм монитор Http трафика, Pop3 и файлов уже несколько лет является минимальным набором любого приличного AV (бесплатный огрызок от Avira естественно в эту категорию не попадает).

Особенно обидно, что Веб-антивирус как бы декларируется (в веб контроле), но вот загрузке станиц содержащих вредоносный код, и закачке зараженных файлов это нечто не препятствует, хотя настройка блокировать включена (видимо в данном случае идет не сигнатурный детект трафика, а блокировка по фильтрам адресов), а вот уже потом файловый монитор пришибает нежить как положено.

[Dmitriy K 603]

Если бы не было файлового монитора, то антивирусную составляющую вообще было бы бессмысленно держать.

Просто реал-тайм монитор Http трафика, Pop3 и файлов уже несколько лет является минимальным набором любого приличного AV (бесплатный огрызок от Avira естественно в эту категорию не попадает).

Особенно обидно, что Веб-антивирус как бы декларируется (в веб контроле), но вот загрузке станиц содержащих вредоносный код, и закачке зараженных файлов это нечто не препятствует, хотя настройка блокировать включена (видимо в данном случае идет не сигнатурный детект трафика, а блокировка по фильтрам адресов), а вот уже потом файловый монитор пришибает нежить как положено.

чтобы что-то проверить, это что-то нужно для начала загрузить

[YAroslav 0]

чтобы что-то проверить, это что-то нужно для начала загрузить

бесплатный Аваст этому "что-то" полностью загрузиться и попасть на HDD не позволяет, да и триальная Avira Premium тоже...

[Виталий Я. 859]

YAroslav

Речь все-таки о парсинге скриптов на веб-страницах, подгружаемых ими файлов или начатых пользователем "честных" закачках по http?

[YAroslav 0]

Речь все-таки о парсинге скриптов на веб-страницах, подгружаемых ими файлов или начатых пользователем "честных" закачках по http?

Если я правильно понял терминологию, то вы спрашиваете, о том, идет ли речь о закачках файлов средствами браузера (качалки) или наличия вредоносного кода в "теле" страницы?

Если да, тогда и то и то. Нормальный веб монитор должен прогонять через сигнатурный детект, весь не шифрованный трафик идущий по Http. Другой вопрос, что вовсе необязательно делать это с максимальными настройками, но тот же аваст позволяет их очень гибко настраивать...

[Dmitrig 40]

В настойках вебконтроля обратил внимание на такую вот опцию:

Те, кто в курсе, расскажите, пожалуйста, об этой натройке подробнее. При оптимальных настройках вредоносные объекты на вебстраницах разрешены. Означает ли это, что при этом веб трафик не фильтруется антивирусом? Или это что-то другое?

[Dmitriy K 603]

Логика загрузки антивирусных движков несколько изменилась, поэтому настройку отключили. Она будет включена в будущих версиях

но за все время использования outposta я так и не увидел ни одного сообщения от вэб-антивируса

[Виталий Я. 859]

В настойках вебконтроля обратил внимание на такую вот опцию:

Те, кто в курсе, расскажите, пожалуйста, об этой натройке подробнее. При оптимальных настройках вредоносные объекты на вебстраницах разрешены. Означает ли это, что при этом веб трафик не фильтруется антивирусом? Или это что-то другое?

Такая галка по умолчанию - это защита от ложных срабатываний веб-контроля, просто неудачно определено и отражено в интерфейсе. Скрипты парсит в основном антивирусный модуль, а не веб-контроль - в нем лишь вспомогательный фильтр.

[Dmitrig 40]

Скрипты парсит в основном антивирусный модуль, а не веб-контроль - в нем лишь вспомогательный фильтр.

Значит антивирусный модуль в любом случае сканирует веб трафик на вирусы... А в чём же тогда особенности этого вспомогательного фильтра? Казалось бы, в настройках можно отключить все возможные активные элементы на веб страницах, что же тогда отключает данная функция?

В описании и названии этой опции говориться о ВРЕДОНОСНЫХ ОБЪЕКТАХ. О каких именно объектах идёт речь, если определениями вирусов (по сигнатурам плюс эвристика) в любом случае занимается антивирусный модуль?

[YAroslav 0]

Значит антивирусный модуль в любом случае сканирует веб трафик на вирусы...

Насколько лично я понял (из комментариев Виталий Я.), антивирусный модуль как раз трафик и не сканирует, т. к. веб монитор к сожалению отсутствует, а есть только файловый монитор, который сканирует кеш браузера (как и любой другой фай на диске) + контент фильтр, дублирующий NoScript, NoFlash, Adblok...

[Dmitrig 40]

Насколько лично я понял (из комментариев Виталий Я.), антивирусный модуль как раз трафик и не сканирует, т. к. веб монитор к сожалению отсутствует

Похоже на то.

У меня в карантине 6 вредоносов, выловленных в cookie. Все вредоносы были детектированы в ходе быстрой проверки, которая у меня запланирована после каждого обновления сигнатур. Получается, что сам момент "перетекания" вирусов из сети в мой компьютер никак не контролируется Аутпостом?

С момента попадания вируса в компьютер и до момента его обнаружения проходит не так уж и мало времени. Что успевает сделать вирус за это время неведомо. Остаётся только надеятся на то, что в момент проявления активности Аутпост выдаст запрос на разрешение...

Кстати, подробней рассмотрев карантин обраружил, что один из зловредов успешно скопировался в папку Cookies абсолютно всех учётных записей, ВКЛЮЧАЯ АДМИНИСТРАТОРСКУЮ. Хотя сам я работаю в учётной записи с ограниченными правами. Мне доступ в папки администратора закрыт (надо вводить пароль), а зараза из интернета легко туда копируется. Без запросов UAC и, что меня больше всего волнует, без какой-либо реакции Аутпоста!

[Dmitriy K 603]

Получается, что сам момент "перетекания" вирусов из сети в мой компьютер никак не контролируется Аутпостом?

не знаю как там с кукисами, а реальных вредоносов оутпост успешно блокирует

С момента попадания вируса в компьютер и до момента его обнаружения проходит не так уж и мало времени. Что успевает сделать вирус за это время неведомо.

hips + надлежащая политика программы заблокирует его деятельность

Мне доступ в папки администратора закрыт (надо вводить пароль), а зараза из интернета легко туда копируется. Без запросов UAC и, что меня больше всего волнует, без какой-либо реакции Аутпоста!

вы про кэш браузера? запросы UAC идут только при запуске

[Dmitrig 40]

вы про кэш браузера? запросы UAC идут только при запуске

Я не знаток этого, потому и задаю вопросы. Разве UAC не должен выдавать вопрос при копировании файла в папку другой учётной записи? Тем более, что это папка администратора.

hips + надлежащая политика программы заблокирует его деятельность

В это верю. Но всё же...

Как мне кажеться (хотя, повторюсь, я не знаток), если файл свободно копируется в папку администратора, то процесс, который его туда скопировал работает с привелегиями администратора. А поднятие таких привилегий как раз и должно контролироваться UAC. И неплохо было бы, если бы контролировалось Аутпостом.

[Dmitrig 40]

Не нашёл нигде, что нового в сегодняшней версии.

Радует, что весит мало. Проблем пока не обнаружил никаких. Легко легла поверх старой, работает...

[Dmitriy K 603]

Не нашёл нигде, что нового в сегодняшней версии.

Радует, что весит мало. Проблем пока не обнаружил никаких. Легко легла поверх старой, работает...

Outpost Security Suite Pro 7.0.4 (3412.520.1245)

Дата релиза: 10 декабря 2010

Следующие проблемы исправлены:

• Исправлены предустановленые правила для модулей продукта
• Исправлены наиболее часто встречающиеся падения

Разве UAC не должен выдавать вопрос при копировании файла в папку другой учётной записи? Тем более, что это папка администратора.

Installing and uninstalling applications

Installing device drivers

Installing ActiveX controls

Installing Windows Updates

Changing settings for Windows Firewall

Changing UAC settings

Configuring Windows Update

Adding or removing user accounts

Changing a user’s account type

Configuring Parental Controls

Running Task Scheduler

Restoring backed-up system files

Viewing or changing another user’s folders and files

[greenag 10]

Такой... не про вопрос)) а если в детекторе атак не выставлено блокировать узлы, сканирующие..., то сканирование у них покажет открытые узлы и могут влезть? или как

[SBond 253]

Хм, читаю вот читаю, ваши плачи, то у вас синие экраны, то еще какая беда, и так становится страшно и жутко... Как же это меня миновала сия чаша, как же, прошедший все последние версии мой компьютер выдержал, столь страшные провалы у других..., Столько вопросов, читаешь в интернете ко многим антивирусным продуктам столько негатива, жутко честно говоря... Бывали конечно всякие огрехи у Оутпоста, то не всю базу показывает то еще что, но все это зачастую ерунда, мелочи, которые ребята исправно правят через день, и даже получив такую версию я всегда знаю - исправят.

Синие экраны у меня были конечно, но это только лишь потому, что моему любопытству нет предела, а руки не всегда остры...

Можно конечно и так сказать - на оутпост надейся, но и сам не плошай...

[Dmitrig 40]

прошедший все последние версии мой компьютер выдержал

В общем-то и у меня в последнее время проблем нет. Однако, есть некоторые правила, которые я для себя вывел:

1. Если устанавливать новую версию поверх старой, то в старой версии необходимо на это время снять защиту паролем. Кстати, неплохо было бы прописать это в руководстве пользователя. И совсем было бы хорошо, чтобы при установке поверх старой версии всплывала соответствующая подсказка.

2. Когда устанавливаешь новую игру, правила для неё лучше создавать в ручную, а уже потом запускать.

Больше всего проблем у меня было по пункту №2. И синие экраны, и зависания и прочие беды. А как только взял в привычку настраивать правила заранее для любого массивного 3Д приложения, глобальные проблемы исчезли.

Ещё вот что мне думается... Думаю, есть смысл устанавливать новые программы, отключив Аутпост. Чтобы не создавались лишние правила, которые потом вручную достаточно нудно удалять.

Дело, разумеется, касается только лицензионных, доверенных, приложений.

Жаль, что до сих пор не организована более удобная система организации списка правил для приложений. Хотя бы tmp и различные SETUP что б автоматом удалялись.

Или, к примеру, было бы так. Пользователь задаёт в настройках папки (типа С/Виндовс , С/программФайлс , Е/геймс). И чтобы Аутпост запоминал правила только для тех приложений, которые находяться именно в этих папках. В этом случае правила для всяких там временных и установочных файлов просто не будут запоминаться. Как думаете, реально такое?

Ну и, как уже неоднократно предлагали, была бы сказка, если бы Аутпост мог проверять существует ли до сих пор файл, для которого создано правило. И чтобы правила для несуществующих приложений можно было бы автоматом удалять.

[Dmitriy K 603]

Если устанавливать новую версию поверх старой, то в старой версии необходимо на это время снять защиту паролем.

установка новой версии предполагает:

2. Когда устанавливаешь новую игру, правила для неё лучше создавать в ручную, а уже потом запускать.

Больше всего проблем у меня было по пункту №2. И синие экраны, и зависания и прочие беды.

или режим автообучения

...Хотя бы tmp и различные SETUP что б автоматом удалялись.

...Аутпост запоминал правила только для тех приложений, которые находяться именно в этих папках...

...Аутпост мог проверять существует ли до сих пор файл...

идея одна, но исполнена 3-мя вариантами

[Dmitrig 40]

установка новой версии предполагает:

Так то оно так. Но не лишним было бы внедрить предупреждение при установке. Типа: "СНИМИТЕ ГАЛКУ ТАМ-ТО И ТАМ-ТО, а то обломаетесь!"

Если вдруг забыть снять галку, то последующие попытки обновить старую версию будут неудачными. Надо будет либо удалять Аутпост и устанавливать с нуля, либо нудно чистить следы (удалять временные файлы и прочее) неудачного обновления.

А ещё лучше, чтобы Аутпост при обновлении сам проверял снята защита или нет. И если не снята, то: "ОППА! СНИМИТЕ ЗАЩИТУ ПАРОЛЕМ, А ТО НИКАК!"

А в руководстве пользователя такое предупреждение надо написать БОЛЬШНИМИ КРАСНЫМИ БУКВАМИ.

Ща напижу в техподдержку предложение

[Dmitriy K 603]

Так то оно так. Но не лишним было бы внедрить предупреждение при установке. Типа: "СНИМИТЕ ГАЛКУ ТАМ-ТО И ТАМ-ТО, а то обломаетесь!"

Если вдруг забыть снять галку, то последующие попытки обновить старую версию будут неудачными. Надо будет либо удалять Аутпост и устанавливать с нуля, либо нудно чистить следы (удалять временные файлы и прочее) неудачного обновления.

А ещё лучше, чтобы Аутпост при обновлении сам проверял снята защита или нет. И если не снята, то: "ОППА! СНИМИТЕ ЗАЩИТУ ПАРОЛЕМ, А ТО НИКАК!"

А в руководстве пользователя такое предупреждение надо написать БОЛЬШНИМИ КРАСНЫМИ БУКВАМИ.

Ща напижу в техподдержку предложение

я так и не понял, в чем проблема?

и надо ли вообще писать в ТП?

000.rar

000.rar

[Snejoker 25]

тут уже сообщалось, что при обновлении Outpost не находит один из файлов. Установил OSSP 3412 поверх 3409, запустил обновы, в результате:

загрузка файла: Spy_sitesw.inet7файл не найденне удается загрузить файл: Spy_sitesw.inet7

При последующей пробе обновиться этот файл Outpost не ищет. Типа всё ОК!

Засада?

[greenag 10]

вопрос по детектору атак - максимальный, доступ в сеть лан (прямой ип, шлюз) детектируется атака с адреса 0,0,0,0 с маком

вопрос - если детектируется по ложному маку , не моему, то тогда почему не сделать настройку по маку

если же не по этому параму, то тогда почему блокируется доступ в сеть?

[Dmitriy K 603]

А есть уже по бете 7,5 ветка? вроде бы как для тестеров в паблик уже выложили

я так понимаю сейчас надо упор на ее тестирование сделать, все внимание разрабов уже там

по ней много новых и старых багов

Все вопросы по версии 7.5 сюда

в паблик эту версию никто официально не выкладывал

[Dmitrig 40]

я так и не понял, в чем проблема?

Проблема в том, что не все пользователи такие же продвинутые, как Вы. Поэтому при установке новой версии поверх старой не лишним будет видеть предупреждение о том, что нужно снимать защиту паролем. Кто-то не знает этого, а кто-то регулярно забывает. Разумеется, в ТП всё это я отправил не в виде проблемы, а в виде предложения.

Дополнительно отправил предложение, чтобы сделали, наконец, уведомления о выходе новых версий с сылкой на скачивание. Хотя бы через функцию "Новости Агнитум". А то приходится регулярно посещать сайт Агнитум, чтобы посмотреть а не вышло ли чего нового.