Перейти к содержанию
Сергей Ильин

Outpost Security Suite FREE

Recommended Posts

DarkVortex

priv8v спасибо Вам большое, утилита просто великолепная :) Я давно слышал про этот ресурс, но не знал, что они разработали такой гибкий механизм загрузки подозрительных файлов без необходимости заходить на их сайт через браузер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
может быть вечером скину старый скрин совместной работы эвристика и ХАКСа :) (если его не удалил)

специально для тех, кто кричит, что в оутпосте нет эвристика и хакс не работает :P

у меня работает ;)

HAX_heur.png

post-4500-1299156250_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
anip
обнаружение подозрительных запакованных файлов в автозагрузке (функция HAX)

Интересное название функции...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Интересное название функции...

полное название - Heuristic Analyzer for eXploits

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitrig
полное название - Heuristic Analyzer for eXploits

Как бы там ни было, разработчики, явно имели ввиду самый настоящий русский НАХ. Для этого из слова "exploits" для аббревиатуры даже пришлось брать не первую, а вторую букву. Люди с чувством юмора :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

Dmitrig

А то! Правда, потом жутко ругались, когда мы в пресс-релиз вложили это понятие даже с расшифровкой :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

вопрос такой: при закрученных гайках (или просто) реакция есть на создание удаленного потока? если да то какая и при каких настрйках?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
вопрос такой: при закрученных гайках (или просто) реакция есть на создание удаленного потока? если да то какая и при каких настрйках?

внедрение в память стороннего процесса?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
внедрение в память стороннего процесса?

да. причем вопрос именно про конкретный способ (createremotethread)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
реакция есть?

есть

если да то какая и при каких настрйках?

Settings -- Anti-Leak

Уже на "оптимальном уровне" установлена защита от внедрения в память - Process memory modification (injection), действие - "уведомлять"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

еще такое - работает прога. делает разные подозрительные действия, нажатие на allow once разрешит только то действие про которое спрашивает алерт или и другие подозрительные действия тоже?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
нажатие на allow once разрешит только то действие про которое спрашивает алерт

да

другие подозрительные действия тоже

контроль идет для каждого метода отдельно :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

теперь оцените как истинное или ложное следующую фразу и если можно то с пояснениями: аутпост не реагирует на функцию createremotethread.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
теперь оцените как истинное или ложное следующую фразу и если можно то с пояснениями: аутпост не реагирует на функцию createremotethread.

Результаты теста на самозащиту, где использовался этот метод говорят об обратном.

Кажется в наборе тестов от комода используется этот метод.

В любом случае можете обратиться в ТП за разъяснениями.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
safetygate

если правильно все поднастроить, то продукт очень хороший получается.С версией 7.5 будет еще лучше.Главное что развитие идет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Регион-56
Хотя.. , агнитумцам виднее. А вообще, обидно, что русского языка нет.

del

За подобные советы получите по рукам.

Не поленитесь, прочитайте лицензионное соглашение

Dmitriy K

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SySOPik
Одно радует, что за последние пару недель ещё отловил пару новейших гадостей, которые по virustotal мало кто ещё детектил, и которые Agnitum'овцы добавили в базы :P

Наверно Про версией, фришная слабенько ловит/противостоит свежим заразам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Наверно Про версией, фришная слабенько ловит/противостоит свежим заразам.

Откуда такие сведения? Подкрепить доказательствами можете?

Базы у Free и Pro версий одинаковые (приоритет по скорости обновления у PRO)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Наверно Про версией, фришная слабенько ловит/противостоит свежим заразам.

Полная глупость. Выведете из режима Автообучения с новым конфигом - проактивка будет нормально все ловить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SySOPik
Полная глупость. Выведете из режима Автообучения с новым конфигом - проактивка будет нормально все ловить.

Ловить неизвесную заразу? Чисто любительский тест для себя, вчера сделал на виртуалке. Накачал свежей вирусни с malwares.pl, malwaredomainlist.com и т.д., натравил на это все фришную версию Аутпоста, автообучение выключено, файр в режиме block most. Сигнатурный отлов заметно хуже каспера, комодо, бетки веба и аваста фрии, по крайней мере на свежаке. Запустил несколько пропущенных вредоносов, лишь в половине случаев алерты, на все алерты жму block all activities. В итоге виртуалка изрядко потрепаная с кучей левых процессов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

натравил на это все фришную версию Аутпоста, автообучение выключено, файр в режиме block most.
anti-leak в режиме "оптимальный"? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Ловить неизвесную заразу? Чисто любительский тест для себя, вчера сделал на виртуалке. Накачал свежей вирусни с malwares.pl, malwaredomainlist.com и т.д., натравил на это все фришную версию Аутпоста, автообучение выключено, файр в режиме block most. Сигнатурный отлов заметно хуже каспера, комодо, бетки веба и аваста фрии, по крайней мере на свежаке. Запустил несколько пропущенных вредоносов, лишь в половине случаев алерты, на все алерты жму block all activities. В итоге виртуалка изрядко потрепаная с кучей левых процессов.

А очень нужно было именно сигнатурный детект проверять? Сколько лет говоришь - не панацея... Ну, ничего - 7.5 ставить надо :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

в настройках общего анти-лика вроде можно выставить чтобы были вопросы на все, тогда вопросов будет больше....

тем более количество левых процессов это не показатель т.к они могут быть безвредными - работать на холостых циклах из-за того, что аутпост им запретил кой какие нужные для их жизни действия.

предлагаю сделать так:настроить аутпост на вопрошание всего, а потом повторить тест. после чего перезагрузить систему и посмотреть что там. наиболее просто - это посмотреть лог авз (файл - стандартные скрипты - скрипт сбора информации для вирусинфо).

думаю, что многим такой тест будет интересен:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
в настройках общего анти-лика вроде можно выставить чтобы были вопросы на все, тогда вопросов будет больше....
Настройки можно выкрутить так, что на запуск любого неизвестного приложения будет выводиться запрос "разрешить/заблокировать запуск" (а-ля UAC) :)
тем более количество левых процессов это не показатель т.к они могут быть безвредными - работать на холостых циклах из-за того, что аутпост им запретил кой какие нужные для их жизни действия.
В большинстве случаев так оно и есть.
предлагаю сделать так:настроить аутпост на вопрошание всего, а потом повторить тест. после чего перезагрузить систему и посмотреть что там.
Предварительно пройдя чистильщиком, т.к. могут быть ошметки во временных (и не только) папках. В лог авз могут войти и мертвые тушки (мальвар при запуске скопировался в папку и попытался прописаться в автозагрузку, но Оутпост зафиксировал и запретил это действие) - которые воспринимаются некоторыми "реально-независимыми-зомби-тестерами" как признак того, что защита программы минимальна и "<ящик> с песочницей" рулит :)
  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.21.
    • Ego Dekker
    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
×