Вопросы по версии Outpost Security Suite 7.5

[Dmitriy K 603]

Нет, там такие отсутствовали, это было чисто внутрикорпоративного создания ПО.

http://www.anti-malware.ru/forum/index.php...st&p=133047

[Umnik 997]

Dmitriy K в общем-то прав. По этой логике живут почти все АВ. Да и в общем, проверка 7zip... Я просто оставлю это здесь:

И еще раз обращу ваше внимание - все файлы будут распакованы. Ни один exe нельзя запустить напрямую из архива, не распаковывая его.

[UIT 103]

Да и в общем, проверка 7zip... Я просто оставлю это здесь

все файлы будут распакованы.

Тут все не так просто. Ручная проверка файла в 7z =0 ! (в указанном случае я проверял из контекстного меню, извините, что плохо обрисовал ранее ситуацию).

*EICAR в zip обнаруживается/в 7z -нет!

Ни один exe нельзя запустить напрямую из архива, не распаковывая его.

А если, пользователь скачивает/приобретает на DVD носителе, например игровое приложение. Ручная проверка дистрибутива/диска = чисто.

Отключается антивирус, установка, запуск с отключенным антивирусом + ограниченная поддержка форматов архивов антивирусом = ?

[Dmitriy K 603]

7z =0

По всей видимости Umnik проверял архив сторонней программой

Отключается антивирус, установка, запуск с отключенным антивирусом + ограниченная поддержка форматов архивов антивирусом = ?

= игрушка установлена и готова к запуску

Или не отключайте антивирус и файлы будут проверятся по мере распаковки, или отключайте антивирус и проверяйте папку с игрой после установки.

Особенно когда попадается ПО с указанием ставить без работающего антивируса и брандмауэра

У меня проблем ни разу не возникало

[UIT 103]

Dmitriy K

Видно ничего совсем я не понимаю.

Антивирус выключен (выход из программы) и если в архиве мирно спал вредонос, и установился вместе с программой?

Кстати, а что с поддержкой dzip или оные 100% полностью безопасны?

У меня проблем ни разу не возникало

Думаете нет таких, кто при установке некого ПО, допустим прочтет рекомендацию разработчика о отключении антивирусных программ и им последует. Какой смысл в том, что антивирус от Агнитум, при ручной проверке объектов столь ограничен в поддержке архивов. ?

или отключайте антивирус и проверяйте папку с игрой после установки.

Так понимаю, вероятности проблем - если в дистрибутиве, в архиве (распаковка которого не поддерживается антивирусом) будет находиться некая злая малвара и начнет плясать по винту в процессе установки ПО - нет ???

А это что за странность - ехе файл содержит 155 объектов, Kaspersky Virus Removal Tool в статистике проверки оные и проверяет, OSS (v7.1) - после проверки из контекстного в статистике отражает только один проверенный объект. Что это, ошибочное составление отчета, или файл не проверяется и содержимое будет проверено только в процессе установки?

[Dmitriy K 603]

Антивирус выключен (выход из программы) и если в архиве мирно спал вредонос, и установился вместе с программой?

Распакован установщиком и мирно ждет своего часа.

По вашему сценарию:

1) пользователь САМ отключил защиту

2) в процессе установки файл был пропущен (хотя мог быть отловлен монитором)

3) какие претензии к антивирусу?

Кстати, а что с поддержкой dzip или оные 100% полностью безопасны?

Только что узнал о существовании такого типа архива. Что за чудо?

Какой смысл в том, что антивирус от Агнитум, при ручной проверке объектов столь ограничен в поддержке архивов.

Не знаю какой смысл, но он и реал-тайме не проверяет их

Видно ничего совсем я не понимаю.

Скорее всего да, я уже не знаю как объяснить и в третий раз отсылаю вас к посту 370.

Зачем проверять архив (7zip или iso, он кстати тоже не проверяется) дважды, если файлы при извлечении из него БУДУТ проверены? Зачем этот мартышкин труд?

[Umnik 997]

Тут все не так просто. Ручная проверка файла в 7z =0 ! (в указанном случае я проверял из контекстного меню, извините, что плохо обрисовал ранее ситуацию).

*EICAR в zip обнаруживается/в 7z -нет!

Да я понимаю, о чем речь. Мы ведь тоже когда-то не распаковывали

А если, пользователь скачивает/приобретает на DVD носителе, например игровое приложение. Ручная проверка дистрибутива/диска = чисто.

Отключается антивирус, установка, запуск с отключенным антивирусом + ограниченная поддержка форматов архивов антивирусом = ?

Это называется special conditions. Когда пользователь сам себе злобный Буратино, с этим ничего не сделаешь. Если пользователь вынужден вырубать АВ при установки игры, ему нужно срочно обращаться в ТП. Это должны решать. В общем, нельзя защитить пользователя, если он не желает быть защищенным.

По всей видимости Umnik проверял архив сторонней программой wink.gif

Угу. Это сам 7zip на моем компе так работает

[Dmitriy K 603]

Угу. Это сам 7zip на моем компе так работает

Упаковка или распаковка?

[Umnik 997]

Упаковка или распаковка? smile.gif

Упаковка. Распаковка 60-70%%

[Dmitriy K 603]

А это что за странность - ехе файл содержит 155 объектов, Kaspersky Virus Removal Tool в статистике проверки оные и проверяет, OSS - после проверки из контекстного в статистике отражает только один проверенный объект. Что это?

Что за exe? 7zip SFX архив? Скиньте.

[UIT 103]

Что за exe? 7zip SFX архив? Скиньте

Вполне возможно, уровень моих знаний не позволяет о этом судить, но если это так, тогда понятно.

_www.fastsatfinder.com/bin/DVBViewer_Satellite_Transponders.exe

Только что узнал о существовании такого типа архива. Что за чудо?

Сам поверхностно читал, в игре одной сей файл обнаружил.

пользователь САМ отключил защиту

Когда пользователь сам себе злобный Буратино

Подождите, но максимальный массив то антивирус должен проверять, и в таком режиме дать оценку файла. А в этой ситуации получается, часть форматов (еще непонятно что пролетает мимо из других) исключена из проверки.

Umnik, что антивирусный продукт от ЛК не проверяет при проверке объекта сканером по требованию, расскажите или ссылкой поделитесь для прочтения?

[Dmitriy K 603]

Вполне возможно, уровень моих знаний не позволяет о этом судить, но если это так, тогда понятно.

_www.fastsatfinder.com/bin/DVBViewer_Satellite_Transponders.exe

Контейнеры не проверяются (похоже для вас это откровение)

На качество защиты это никак не влияет!

(Agnitum использует SDK от VirusBuster)

Подождите, но максимальный массив то антивирус должен проверять. А в этой ситуации получается, часть форматов (еще непонятно что пролетает мимо из других) исключена из проверки.

Что есть "массив"? Исполняемые форматы НЕСУЩИЕ РЕАЛЬНУЮ УГРОЗУ проверяются.

А что антивирусный продукт от ЛК не проверяет при проверке объекта сканером по требованию?

С этим вопросом либо к представителям вендора в ЛС, либо в их раздел форума. ОК?

[UIT 103]

Что есть "массив"?

Хм, у меня отмечено сканировать все типы файлов. Я и ожидаю что все сканирует, теперь оказывается 7z идет мимо.

Исполняемые форматы НЕСУЩИЕ РЕАЛЬНУЮ УГРОЗУ проверяются.

Предпочитаю проверку по максимуму. Считаю: То, что вчера не представляло угрозу, сегодня, уже может ее представлять.

Контейнеры не проверяются (похоже для вас это откровение)

На качество защиты это никак не влияет!

(Agnitum использует SDK от VirusBuster)

Верно. От обычного домашнего пользователя сложно ожидать больших познаний. Да и непрофильная информация частенько быстро забывается.

[Dmitriy K 603]

Хм, у меня отмечено сканировать все типы файлов. Я и ожидаю что все сканирует, теперь оказывается 7z идет мимо.

Все типы которые знает. Как, например, проверить зашифрованный файл?

Ну нет ни одного антивируса, способного проверить все типы файлов. Или есть, а я не знаю? Что-то подсказывает, что в системных требованиях должен значится супер-компьютер.

Предпочитаю проверку по максимуму. Считаю: То, что вчера не представляло угрозу, сегодня, уже может ее представлять.

Ладно, пример из жизни: скачал с левого сайта "типа крутую игру качай, а то не успеешь!". Проверил - вирусов не обнаружено. Запустил установщик - тишина. Начал установку - в процессе распаковки файловый монитор обнаружил в новом файле game.exe файловый вирус sality/parite (не помню и не суть). Установленный файл был удален - система чистая.

UIT,

все еще думаете, что если антивирус не проверил установщик/архив, то он не способен защитить систему? Ваше право.

[UIT 103]

все еще думаете, что если антивирус не проверил установщик/архив, то он не способен защитить систему?

Мне гораздо спокойнее, когда проверяет. Признаюсь, я еще и службы отключаю и даже некоторые удаляю.

Ладно, пример из жизни: ...

По моим наблюдениям не все так делают, много ли таких среди пользователей, без понятия.

Спасибо, более вопросов нет.

[anip 50]

По-моему, вы путаете SD с сигнатурным анализатором. SD выдаст рейтинг независимо от того, известная это малварь или нет.

Немного не так. В смысле путания. Изначально я удивлялся, зачем SD срабатывает, если приложение уже занесено в конфиг?

Ну, а если попадётся неизвестная малварь, то интересно, как и какой рейтинг выдаст SD? Малварь же неизвестна была, появилась недвно, и, значит, рейтинга на неё ещё нет.

[Dmitriy K 603]

Ну, а если попадётся неизвестная малварь, то интересно, как и какой рейтинг выдаст SD? Малварь же неизвестна была, появилась недвно, и, значит, рейтинга на неё ещё нет.

(по ситуации): хороший/умеренно подозрительный/подозрительный/недоверенный, SPA/Untrusted, SPA/Suspicious

Рейтинг определяется постоянно по ряду критериев.

Баз, где он прописан для каждого приложения нет, т.к. это функция бессигнатурного анализа.

[anip 50]

Рейтинг определяется постоянно по ряду критериев

Баз, где он прописан для каждого приложения нет, т.к. это функция бессигнатурного анализа.

Эта фраза напоминает мне о ThreatFire

Хотя так и непонятно, зачем SD сигнализирует, если приложение уже есть в правилах? Может, это и придирки, но разве нельзя разработчикам как-то увязать? Добавлю, что с того случая пока больше ни разу SD не срабатывал, так что особо и не донимает. Просто логики хочется.

[Dmitriy K 603]

Хотя так и непонятно, зачем SD сигнализирует, если приложение уже есть в правилах?

Вариант изменения исполняемого файла вы не рассматривали?

Все есть на скринах.

7.х.х - ммм... программа обновилась? разрешить

7.5 - обновление? почему рейтинг "подозрительный"? Посмотрю доп. сведения.

------

1) к программам, находящимся в списке известных приложений это не относится

2) firefox взят для примера (заражен файловым вирусом)

Добавлю, что с того случая пока больше ни разу SD не срабатывал, так что особо и не донимает.

SmartDecision связан со всеми компонентами.

Эта фраза напоминает мне о ThreatFire

% у них невероятные

[Pray 0]

Запрещаю входящий udp на svchost с алерта, но в правилах для приложений создается разрешающее правило(входящее соединение происходит). Если же блокировать однократно, то блокировка срабатывает. Сообщил об данной проблемке, да бы в ближайшем будущем не забыли исправить.

Dmitriy K, когда в правилах приложений сетевые правила обозначены синим цветом, значит это правила предустановок?

[Dmitriy K 603]

Запрещаю входящий udp на svchost с алерта, но в правилах для приложений создается разрешающее правило(входящее соединение происходит). Если же блокировать однократно, то блокировка срабатывает. Сообщил об данной проблемке, да бы в ближайшем будущем не забыли исправить.

Ошибка из бэты прошла в релиз

Данное "разрешающее" правило соответствует правилу "блокировать". Реальный статус вы можете посмотреть в окне расшифровки правила.

-----

Переместите блокирующее правило вверх списка, т.к. обработка идет сверху вниз.

Dmitriy K, когда в правилах приложений сетевые правила обозначены синим цветом, значит это правила предустановок?

Верно.

[Doctor_Petrov 126]

У меня вопрос по работе программы, как часто должны обновляться базы АВ сигнатур? У меня они где-то раз в два дня обновляются по моим наблюдениям. Правда у меня пока триал-версия OSS Pro 7.5 но с другой стороны именно это меня пока и удерживает от покупки. Я конечно понимаю, что антивирус тут не самое главное, но не до такой же степени) Продукт очень лёгкий, как раз для моего ноута, но вот базы... Триал скоро заканчивается, а я не сторонник "шаманских" способов его продления, помогите принять решение.

[UIT 103]

как часто должны обновляться базы АВ сигнатур? У меня они где-то раз в два дня обновляются по моим наблюдениям.

Только вручную обновляю. Поэтому точной картины по количеству обновок в день у меня нет, но обычно в рабочие дни каждый день есть обновление, а вот в выходные может быть только один раз за два выходных дня. Примерно так.

Dmitriy K.

Интересно, а что получится в итоге, если установить отдельно антивирус и брандмауэр от Agnitum.

На сайте компании предупреждают - НЕ УСТАНАВЛИВАЙТЕ Outpost Antivirus Pro и Outpost Firewall Pro в одной системе. Используйте комплексное решение Outpost Security Suite Pro, включающее оба решения в качестве компонент.

[Dmitriy K 603]

У меня вопрос по работе программы, как часто должны обновляться базы АВ сигнатур?

Примерно 3 раза за день. В выходные дни - 1 раз.

Правда у меня пока триал-версия OSS Pro 7.5

Никак не влияет

Outpost Security Suite показал также впечатляющие результаты в RAP-тесте на реактивное и проактивное обнаружение вредоносного ПО (malware). Показатель 88,8%, набранный в данном тесте, означает, что даже через 4 недели после последнего обновления баз данных антивирусных модулей практически 9 из 10 несколько измененных вредоносных программ будут обнаружены антивирусом Outpost версии 7.1.

Dmitriy K.

Интересно, а что получится в итоге, если установить отдельно антивирус и брандмауэр от Agnitum.

Хотите проверить?

(мастер должен определить наличие несовместимых программ и завершить работу)

[zzkk 130]

У меня они где-то раз в два дня обновляются по моим наблюдениям. Правда у меня пока триал-версия OSS Pro 7.5 но с другой стороны именно это меня пока и удерживает от покупки. Я конечно понимаю, что антивирус тут не самое главное, но не до такой же степени...

Предлагаю вообще не заморачиваться по этому вопросу.

Возьмем "Продукт А", который обновляется раз в два часа, и "Продукт Б", который обновляется раз в 12 часов. Согласитесь, что объективно мы не имеем гарантий, что "Продукт А" раньше "Продукта Б" занесет "Новый Вирус Х" (который, как мы заранее знаем, окажет в будущем деструкцию на нашу систему) в свою базу. Вероятна ситуация, когда за 12-ти часовой временной отрезок "Продукт А" обновится шесть раз общим кол-вом в шесть новых вирусных сигнатур, в то время как "Продукт Б" за это же время обновится один раз общим кол-вом в 12 новых вирусных сигнатур. И именно во вторую шестерку попадет "Новый Вирус Х", который мы "случайно" подхватим при "веб"-серфинге.

Более частое обновление продукта создает иллюзию более качественной антивирусной базы. На самом деле, качество оной в большей степени определяется трудолюбием и ответственностью вендора в поисках новых экземпляров заразы. А иногда, видимо, и просто счастливым случаем (точно не знаю всех механизмов вендоров по сбору инфы о новых вредоносных программах).

На мой взгляд, грамотная политика в области закрытия дыр возможного проникновения вредоносного кода на порядок важнее и эффективнее на практике, чем отлов заразы, уже прошедшей через имеющуюся в системе уязвимость. Тут на ее пути встает лишь крайне ненадежный функционал, предоставлямый антивирусным модулем - сигнатурные базы, ежесекундно требующие актуализации, и компромиссные эвристические алгоритмы, часто лишь запутывающие пользователя (а заражен ли этот файл на самом деле или это просто ложная сработка?).

Грамотно настроенный Outpost Security Suite - достаточно эффективное средство закрытия дыр возможного проникновения вредоносного кода:

1) через сеть,

2) в реестр,

3) с веб-страниц,

4) с флеш-носителей.

Единственное, что нужно иметь в виду, "достаточная эффективность" не должна останавливать вас в закрытии других уязвимостей, не контролируемых (или недостаточно контролируемых) сим продуктом. Это обновления операционной системы, отключение неиспользуемых служб, онлайн-мониторинг всех областей автозагрузки реестра (AnVir Task Manager), использование более безопасного браузера с расширениями повышающими безопасность серфинга, это и аккуратный серфинг и пр., пр., пр.

Что надежнее: поставить охрану на переправе через ущелье или ликвидировать саму переправу?