Перейти к содержанию
Сергей Ильин

Outpost Security Suite FREE

Recommended Posts

DarkVortex

priv8v спасибо Вам большое, утилита просто великолепная :) Я давно слышал про этот ресурс, но не знал, что они разработали такой гибкий механизм загрузки подозрительных файлов без необходимости заходить на их сайт через браузер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
может быть вечером скину старый скрин совместной работы эвристика и ХАКСа :) (если его не удалил)

специально для тех, кто кричит, что в оутпосте нет эвристика и хакс не работает :P

у меня работает ;)

HAX_heur.png

post-4500-1299156250_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
anip
обнаружение подозрительных запакованных файлов в автозагрузке (функция HAX)

Интересное название функции...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Интересное название функции...

полное название - Heuristic Analyzer for eXploits

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitrig
полное название - Heuristic Analyzer for eXploits

Как бы там ни было, разработчики, явно имели ввиду самый настоящий русский НАХ. Для этого из слова "exploits" для аббревиатуры даже пришлось брать не первую, а вторую букву. Люди с чувством юмора :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

Dmitrig

А то! Правда, потом жутко ругались, когда мы в пресс-релиз вложили это понятие даже с расшифровкой :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

вопрос такой: при закрученных гайках (или просто) реакция есть на создание удаленного потока? если да то какая и при каких настрйках?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
вопрос такой: при закрученных гайках (или просто) реакция есть на создание удаленного потока? если да то какая и при каких настрйках?

внедрение в память стороннего процесса?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
внедрение в память стороннего процесса?

да. причем вопрос именно про конкретный способ (createremotethread)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
реакция есть?

есть

если да то какая и при каких настрйках?

Settings -- Anti-Leak

Уже на "оптимальном уровне" установлена защита от внедрения в память - Process memory modification (injection), действие - "уведомлять"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

еще такое - работает прога. делает разные подозрительные действия, нажатие на allow once разрешит только то действие про которое спрашивает алерт или и другие подозрительные действия тоже?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
нажатие на allow once разрешит только то действие про которое спрашивает алерт

да

другие подозрительные действия тоже

контроль идет для каждого метода отдельно :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

теперь оцените как истинное или ложное следующую фразу и если можно то с пояснениями: аутпост не реагирует на функцию createremotethread.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
теперь оцените как истинное или ложное следующую фразу и если можно то с пояснениями: аутпост не реагирует на функцию createremotethread.

Результаты теста на самозащиту, где использовался этот метод говорят об обратном.

Кажется в наборе тестов от комода используется этот метод.

В любом случае можете обратиться в ТП за разъяснениями.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
safetygate

если правильно все поднастроить, то продукт очень хороший получается.С версией 7.5 будет еще лучше.Главное что развитие идет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Регион-56
Хотя.. , агнитумцам виднее. А вообще, обидно, что русского языка нет.

del

За подобные советы получите по рукам.

Не поленитесь, прочитайте лицензионное соглашение

Dmitriy K

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SySOPik
Одно радует, что за последние пару недель ещё отловил пару новейших гадостей, которые по virustotal мало кто ещё детектил, и которые Agnitum'овцы добавили в базы :P

Наверно Про версией, фришная слабенько ловит/противостоит свежим заразам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Наверно Про версией, фришная слабенько ловит/противостоит свежим заразам.

Откуда такие сведения? Подкрепить доказательствами можете?

Базы у Free и Pro версий одинаковые (приоритет по скорости обновления у PRO)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Наверно Про версией, фришная слабенько ловит/противостоит свежим заразам.

Полная глупость. Выведете из режима Автообучения с новым конфигом - проактивка будет нормально все ловить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SySOPik
Полная глупость. Выведете из режима Автообучения с новым конфигом - проактивка будет нормально все ловить.

Ловить неизвесную заразу? Чисто любительский тест для себя, вчера сделал на виртуалке. Накачал свежей вирусни с malwares.pl, malwaredomainlist.com и т.д., натравил на это все фришную версию Аутпоста, автообучение выключено, файр в режиме block most. Сигнатурный отлов заметно хуже каспера, комодо, бетки веба и аваста фрии, по крайней мере на свежаке. Запустил несколько пропущенных вредоносов, лишь в половине случаев алерты, на все алерты жму block all activities. В итоге виртуалка изрядко потрепаная с кучей левых процессов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

натравил на это все фришную версию Аутпоста, автообучение выключено, файр в режиме block most.
anti-leak в режиме "оптимальный"? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Ловить неизвесную заразу? Чисто любительский тест для себя, вчера сделал на виртуалке. Накачал свежей вирусни с malwares.pl, malwaredomainlist.com и т.д., натравил на это все фришную версию Аутпоста, автообучение выключено, файр в режиме block most. Сигнатурный отлов заметно хуже каспера, комодо, бетки веба и аваста фрии, по крайней мере на свежаке. Запустил несколько пропущенных вредоносов, лишь в половине случаев алерты, на все алерты жму block all activities. В итоге виртуалка изрядко потрепаная с кучей левых процессов.

А очень нужно было именно сигнатурный детект проверять? Сколько лет говоришь - не панацея... Ну, ничего - 7.5 ставить надо :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

в настройках общего анти-лика вроде можно выставить чтобы были вопросы на все, тогда вопросов будет больше....

тем более количество левых процессов это не показатель т.к они могут быть безвредными - работать на холостых циклах из-за того, что аутпост им запретил кой какие нужные для их жизни действия.

предлагаю сделать так:настроить аутпост на вопрошание всего, а потом повторить тест. после чего перезагрузить систему и посмотреть что там. наиболее просто - это посмотреть лог авз (файл - стандартные скрипты - скрипт сбора информации для вирусинфо).

думаю, что многим такой тест будет интересен:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
в настройках общего анти-лика вроде можно выставить чтобы были вопросы на все, тогда вопросов будет больше....
Настройки можно выкрутить так, что на запуск любого неизвестного приложения будет выводиться запрос "разрешить/заблокировать запуск" (а-ля UAC) :)
тем более количество левых процессов это не показатель т.к они могут быть безвредными - работать на холостых циклах из-за того, что аутпост им запретил кой какие нужные для их жизни действия.
В большинстве случаев так оно и есть.
предлагаю сделать так:настроить аутпост на вопрошание всего, а потом повторить тест. после чего перезагрузить систему и посмотреть что там.
Предварительно пройдя чистильщиком, т.к. могут быть ошметки во временных (и не только) папках. В лог авз могут войти и мертвые тушки (мальвар при запуске скопировался в папку и попытался прописаться в автозагрузку, но Оутпост зафиксировал и запретил это действие) - которые воспринимаются некоторыми "реально-независимыми-зомби-тестерами" как признак того, что защита программы минимальна и "<ящик> с песочницей" рулит :)
  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Alushaa
      Весьма хорошее приложение чтобы проверить авто по номеру и прочему. Удобно и совершенно бесплатно, так что если вам интересно, то стоит с ним все же ознакомиться и вам самим.
    • Alushaa
      Здесь рекомендую почитать про свойства гуараны. Весьма любопытная статья, которая лично мне во всех смыслах понравилась, так что почитать её рекомендую и вам самим, думаю не разочаруетесь совсем.
    • Ego Dekker
      Антивирусы были обновлены до версии 12.2.29.
    • Quinci
      Уже давно уехал из Перми на ПМЖ в Москву, иногда только к родне возвращаюсь повидаться. В этом году, увы, не получилось и не получится из-за напряженного графика работы. Вскоре у моей школьной учительницы, классного руководителя, которая дала нам многое, будет юбилей - 60 лет. Оставшиеся в Перми одноклассники планируют чего-то даже ей презентовать, но у меня не получается с ними как-то её лично поздравить. Вот думаю заказать цветы через http://perm.lotos-fl.ru и коробку конфет. Есть ли кто пользовался их услугами? Свежие ли цветы? Вовремя ли доставку организовывают? Поделитесь отзывами пожалуйста. 
    • Alushaa
      Последние новости про бизнес тут спокойно читаю https://promdevelop.ru/news/prognoz-na-rost-tseny-nefti-100-dollarov-za-barrel-prichiny-podorozhaniya/  Мне все у них понравилось и в целом там много дельной информации, которая может быть вам как раз полезна
×