Перейти к содержанию
Сергей Ильин

Outpost Security Suite FREE

Recommended Posts

DarkVortex

priv8v спасибо Вам большое, утилита просто великолепная :) Я давно слышал про этот ресурс, но не знал, что они разработали такой гибкий механизм загрузки подозрительных файлов без необходимости заходить на их сайт через браузер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
может быть вечером скину старый скрин совместной работы эвристика и ХАКСа :) (если его не удалил)

специально для тех, кто кричит, что в оутпосте нет эвристика и хакс не работает :P

у меня работает ;)

HAX_heur.png

post-4500-1299156250_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
anip
обнаружение подозрительных запакованных файлов в автозагрузке (функция HAX)

Интересное название функции...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Интересное название функции...

полное название - Heuristic Analyzer for eXploits

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitrig
полное название - Heuristic Analyzer for eXploits

Как бы там ни было, разработчики, явно имели ввиду самый настоящий русский НАХ. Для этого из слова "exploits" для аббревиатуры даже пришлось брать не первую, а вторую букву. Люди с чувством юмора :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

Dmitrig

А то! Правда, потом жутко ругались, когда мы в пресс-релиз вложили это понятие даже с расшифровкой :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

вопрос такой: при закрученных гайках (или просто) реакция есть на создание удаленного потока? если да то какая и при каких настрйках?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
вопрос такой: при закрученных гайках (или просто) реакция есть на создание удаленного потока? если да то какая и при каких настрйках?

внедрение в память стороннего процесса?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
внедрение в память стороннего процесса?

да. причем вопрос именно про конкретный способ (createremotethread)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
реакция есть?

есть

если да то какая и при каких настрйках?

Settings -- Anti-Leak

Уже на "оптимальном уровне" установлена защита от внедрения в память - Process memory modification (injection), действие - "уведомлять"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

еще такое - работает прога. делает разные подозрительные действия, нажатие на allow once разрешит только то действие про которое спрашивает алерт или и другие подозрительные действия тоже?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
нажатие на allow once разрешит только то действие про которое спрашивает алерт

да

другие подозрительные действия тоже

контроль идет для каждого метода отдельно :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

теперь оцените как истинное или ложное следующую фразу и если можно то с пояснениями: аутпост не реагирует на функцию createremotethread.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
теперь оцените как истинное или ложное следующую фразу и если можно то с пояснениями: аутпост не реагирует на функцию createremotethread.

Результаты теста на самозащиту, где использовался этот метод говорят об обратном.

Кажется в наборе тестов от комода используется этот метод.

В любом случае можете обратиться в ТП за разъяснениями.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
safetygate

если правильно все поднастроить, то продукт очень хороший получается.С версией 7.5 будет еще лучше.Главное что развитие идет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Регион-56
Хотя.. , агнитумцам виднее. А вообще, обидно, что русского языка нет.

del

За подобные советы получите по рукам.

Не поленитесь, прочитайте лицензионное соглашение

Dmitriy K

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SySOPik
Одно радует, что за последние пару недель ещё отловил пару новейших гадостей, которые по virustotal мало кто ещё детектил, и которые Agnitum'овцы добавили в базы :P

Наверно Про версией, фришная слабенько ловит/противостоит свежим заразам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Наверно Про версией, фришная слабенько ловит/противостоит свежим заразам.

Откуда такие сведения? Подкрепить доказательствами можете?

Базы у Free и Pro версий одинаковые (приоритет по скорости обновления у PRO)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Наверно Про версией, фришная слабенько ловит/противостоит свежим заразам.

Полная глупость. Выведете из режима Автообучения с новым конфигом - проактивка будет нормально все ловить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SySOPik
Полная глупость. Выведете из режима Автообучения с новым конфигом - проактивка будет нормально все ловить.

Ловить неизвесную заразу? Чисто любительский тест для себя, вчера сделал на виртуалке. Накачал свежей вирусни с malwares.pl, malwaredomainlist.com и т.д., натравил на это все фришную версию Аутпоста, автообучение выключено, файр в режиме block most. Сигнатурный отлов заметно хуже каспера, комодо, бетки веба и аваста фрии, по крайней мере на свежаке. Запустил несколько пропущенных вредоносов, лишь в половине случаев алерты, на все алерты жму block all activities. В итоге виртуалка изрядко потрепаная с кучей левых процессов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

натравил на это все фришную версию Аутпоста, автообучение выключено, файр в режиме block most.
anti-leak в режиме "оптимальный"? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Ловить неизвесную заразу? Чисто любительский тест для себя, вчера сделал на виртуалке. Накачал свежей вирусни с malwares.pl, malwaredomainlist.com и т.д., натравил на это все фришную версию Аутпоста, автообучение выключено, файр в режиме block most. Сигнатурный отлов заметно хуже каспера, комодо, бетки веба и аваста фрии, по крайней мере на свежаке. Запустил несколько пропущенных вредоносов, лишь в половине случаев алерты, на все алерты жму block all activities. В итоге виртуалка изрядко потрепаная с кучей левых процессов.

А очень нужно было именно сигнатурный детект проверять? Сколько лет говоришь - не панацея... Ну, ничего - 7.5 ставить надо :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

в настройках общего анти-лика вроде можно выставить чтобы были вопросы на все, тогда вопросов будет больше....

тем более количество левых процессов это не показатель т.к они могут быть безвредными - работать на холостых циклах из-за того, что аутпост им запретил кой какие нужные для их жизни действия.

предлагаю сделать так:настроить аутпост на вопрошание всего, а потом повторить тест. после чего перезагрузить систему и посмотреть что там. наиболее просто - это посмотреть лог авз (файл - стандартные скрипты - скрипт сбора информации для вирусинфо).

думаю, что многим такой тест будет интересен:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
в настройках общего анти-лика вроде можно выставить чтобы были вопросы на все, тогда вопросов будет больше....
Настройки можно выкрутить так, что на запуск любого неизвестного приложения будет выводиться запрос "разрешить/заблокировать запуск" (а-ля UAC) :)
тем более количество левых процессов это не показатель т.к они могут быть безвредными - работать на холостых циклах из-за того, что аутпост им запретил кой какие нужные для их жизни действия.
В большинстве случаев так оно и есть.
предлагаю сделать так:настроить аутпост на вопрошание всего, а потом повторить тест. после чего перезагрузить систему и посмотреть что там.
Предварительно пройдя чистильщиком, т.к. могут быть ошметки во временных (и не только) папках. В лог авз могут войти и мертвые тушки (мальвар при запуске скопировался в папку и попытался прописаться в автозагрузку, но Оутпост зафиксировал и запретил это действие) - которые воспринимаются некоторыми "реально-независимыми-зомби-тестерами" как признак того, что защита программы минимальна и "<ящик> с песочницей" рулит :)
  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×