вопросы и впечатления по Outpost версии 7.0

[Dmitriy K 603]

Виталий, планируется ли мультизадачный антивирусный сканер?

[Z.E.A. 190]

Кстати, забыл сказать, что логи о проблемы с панелью языков я отправил.

Буду ждать ответа.

[Виталий Я. 859]

По планам - отдельно. Пока принимаем пожелания.

[greenag 10]

Виталий Я.

как вам))? варя не запущена

[Виталий Я. 859]

Картинки в сапорт отправьте - у меня не догрузились. Спасибо

[greenag 10]

Виталий Я.

конечно все отправил - в сумме с пропуском зловредов от Дмитрия, считай 50% проходит легко

+ пропуск в политике блокировать все, это отправлял раз 5))

"что то надо делать"(С)

[greenag 10]

повторных запрсов на разрешение процессов - море

[greenag 10]

После выхода из сна появляет и почти сразу пропадает сеть, пишу 3 последних сборки

заодно и уязвимые порты, признанные мс, не плохо бы закрыть

[Umnik 997]

так их вроде бы и нет sleep.gif

запрос только для неизвестных

Тогда правильно. Просто меня это смутило:

Виталий, можно ли реализовать в продукте, чтобы при аллертах в инфе о файле он ещё показывал цифровую подпись?

[Skorpion 55]

Поскольку справка не работает, я не представляю что такое "Новые и неизвестные исполняемые файлы" для программы. Поэтому написал проедложение про показ ЭЦП.

p.s. При появлении аллерта о том, что приложение пытается изменить критическую ветку реестра, не видно всю ветку, даже когда наводим курсором на неё. Длинна сокращается точками... И непонятно в какой ветке именно происходят изменения.

[Dmitriy K 603]

И непонятно в какой ветке именно происходят изменения.

всегда можно посмотреть в журналах.

или алерт на весь экран лучше?

[Umnik 997]

или алерт на весь экран лучше?

Обычно показывают в хинте

[Z.E.A. 190]

всегда можно посмотреть в журналах.

Я буду разрешать/запрещать ради того, чтобы потом в журнале смотреть, что-же я всё-таки заблокировал/разрешил ? Нонсенс.

[dr_dizel 385]

всегда можно посмотреть в журналах.

или алерт на весь экран лучше?

Несомненно, самое очевидное, простое и эффективное решение этой проблемы заключается в...

[Dmitriy K 603]

что приложение пытается изменить критическую ветку реестра

Я буду разрешать/запрещать ради того, чтобы потом в журнале смотреть, что-же я всё-таки заблокировал/разрешил ? Нонсенс.

а если поднапрячься и посмотреть какое активное приложение что-то меняет в реестре, то и вопросов поубавится

dr_dizel, в чем же? закончите мысль ))

[dr_dizel 385]

dr_dizel, в чем же? закончите мысль ))

Это была пародия на алерт аутпоста. А лицензионное соглашение почему через три точки не выводится? Просто раз такие проблемы с выводом важной для пользователя инфы, то что уж тогда говорить об...

[Skorpion 55]

Ещё бы хотелось, чтобы список правил для приложений был многоуровневый с вложенностями по производителю ЭЦП (как в КИС). Очень удобно.

[Z.E.A. 190]

а если поднапрячься и посмотреть какое активное приложение что-то меняет в реестре, то и вопросов поубавится

Ну так для чего алерты тогда вообще?

[Dmitriy K 603]

Ну так для чего алерты тогда вообще?

для информирования пользователя

[Umnik 997]

для информирования пользователя

Для этого используются балуны.

[Z.E.A. 190]

для информирования пользователя

Dmitriy K, не лукавьте, а согласитесь, что раз уж в алерте указывается, какая ветка изменяется - то пускай показывается полностью.

А то "и не туды, и не сюды".

[Dmitriy K 603]

Z.E.A., соглашаюсь

[Killer 55]

Итак, вышел релиз 7 версии аутпоста. Сразу появилось желание вонзить в него свои низкоуровневые отладочные зубы Мое предложение по добавлению инструмента воздействия на флаги пакетов было проигнорировано. Ну да ладно, вам решать. Хотя не понимаю - сложно чтоли добавить одну панельку управления?

Сразу хочется отдать должное разработчикам - фаервол получился намного лучше, чем я ожидал. Вообще сильно в анализ я не углублялся, потому что так можно найти дыры в любом фаере. Анализ занял порядка 15 минут вместе с установкой.

Необходимый минимум ликтестов был пройден с успехом.

Перехватываются апишки драйвером sandbox, все перечисять не буду, нет смысла. Но тот факт, что все перехваты в SSDT снимаются одним махом - это очень плохо. Перехваты ShadowSSDT так просто снять не удалось, так что уже хорошо

Драйвер afwcore контролирует операции с NDIS, тут вроде все нормально.

Процессы аутпоста в памяти защищены API, хотя Process_Status доступен из юзермода, что не есть гуд.

На этом мое краткое исследование завершилось. Хочется сказать, что аутпост фаервол всегда страдал проблемами самозащиты. Но радует одно - пофиксить осталось не так много.

Хочется объявить отдельный респект разработчикам - молодцы!

PS

Все тестил на XP SP2 х32, так что настоящее тестирование(Win7 x64 last hotfix) еще впереди)

[Killer 55]

PPS

Да, еще Сейчас зашел на agnitum.ru, увидел баннер, и так сказать, не мог не написать об этом Даже скрины снял специально

Увидел на странице фаервола такой банер (1) гласящий о достижения и результатах тестах matousec, дескать было набрано 99%. Лан, следуем по ссылке в награды и видим(2), теперь matousec дала тоько 93% Лан, потом жмем на эту награду и видим ссылки(3). И (внимание!) если просто нажать на ссылку о результатах тестирования, то она НЕ приводит на них. А если эту ссылку выделить и вставить в адресную строку браузера, то мы попадаем на результаты тестирования matousec, где уже даны 72-73% и статус Not recommended. Хороший рекламный ход И вы что то писали про PR - технологии ???)

Скрины в предыдущем посте)

[Killer 55]

Так, поставил на 7ку 64, помимо известных, найденных мною, багов, на 7 64 нашелся еще один - проактивная защита фаервола пропускает DLL-инжект, и ни слова об этом не говорит. Так что вот так вот

Вдобавок ко всему по прежнему виснет деинсталяция)

Эхххх... А я уж хотел его себе ставить( Ну ладно, ждем фиксов от разработчиков