Outpost Security Suite FREE - Страница 7 - Outpost Firewall Free/Pro & Antivirus (Agnitum) - Форумы Anti-Malware.ru Перейти к содержанию
Сергей Ильин

Outpost Security Suite FREE

Recommended Posts

DarkVortex

priv8v спасибо Вам большое, утилита просто великолепная :) Я давно слышал про этот ресурс, но не знал, что они разработали такой гибкий механизм загрузки подозрительных файлов без необходимости заходить на их сайт через браузер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
может быть вечером скину старый скрин совместной работы эвристика и ХАКСа :) (если его не удалил)

специально для тех, кто кричит, что в оутпосте нет эвристика и хакс не работает :P

у меня работает ;)

HAX_heur.png

post-4500-1299156250_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
anip
обнаружение подозрительных запакованных файлов в автозагрузке (функция HAX)

Интересное название функции...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Интересное название функции...

полное название - Heuristic Analyzer for eXploits

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitrig
полное название - Heuristic Analyzer for eXploits

Как бы там ни было, разработчики, явно имели ввиду самый настоящий русский НАХ. Для этого из слова "exploits" для аббревиатуры даже пришлось брать не первую, а вторую букву. Люди с чувством юмора :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

Dmitrig

А то! Правда, потом жутко ругались, когда мы в пресс-релиз вложили это понятие даже с расшифровкой :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

вопрос такой: при закрученных гайках (или просто) реакция есть на создание удаленного потока? если да то какая и при каких настрйках?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
вопрос такой: при закрученных гайках (или просто) реакция есть на создание удаленного потока? если да то какая и при каких настрйках?

внедрение в память стороннего процесса?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
внедрение в память стороннего процесса?

да. причем вопрос именно про конкретный способ (createremotethread)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
реакция есть?

есть

если да то какая и при каких настрйках?

Settings -- Anti-Leak

Уже на "оптимальном уровне" установлена защита от внедрения в память - Process memory modification (injection), действие - "уведомлять"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

еще такое - работает прога. делает разные подозрительные действия, нажатие на allow once разрешит только то действие про которое спрашивает алерт или и другие подозрительные действия тоже?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
нажатие на allow once разрешит только то действие про которое спрашивает алерт

да

другие подозрительные действия тоже

контроль идет для каждого метода отдельно :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

теперь оцените как истинное или ложное следующую фразу и если можно то с пояснениями: аутпост не реагирует на функцию createremotethread.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
теперь оцените как истинное или ложное следующую фразу и если можно то с пояснениями: аутпост не реагирует на функцию createremotethread.

Результаты теста на самозащиту, где использовался этот метод говорят об обратном.

Кажется в наборе тестов от комода используется этот метод.

В любом случае можете обратиться в ТП за разъяснениями.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
safetygate

если правильно все поднастроить, то продукт очень хороший получается.С версией 7.5 будет еще лучше.Главное что развитие идет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Регион-56
Хотя.. , агнитумцам виднее. А вообще, обидно, что русского языка нет.

del

За подобные советы получите по рукам.

Не поленитесь, прочитайте лицензионное соглашение

Dmitriy K

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SySOPik
Одно радует, что за последние пару недель ещё отловил пару новейших гадостей, которые по virustotal мало кто ещё детектил, и которые Agnitum'овцы добавили в базы :P

Наверно Про версией, фришная слабенько ловит/противостоит свежим заразам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Наверно Про версией, фришная слабенько ловит/противостоит свежим заразам.

Откуда такие сведения? Подкрепить доказательствами можете?

Базы у Free и Pro версий одинаковые (приоритет по скорости обновления у PRO)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Наверно Про версией, фришная слабенько ловит/противостоит свежим заразам.

Полная глупость. Выведете из режима Автообучения с новым конфигом - проактивка будет нормально все ловить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SySOPik
Полная глупость. Выведете из режима Автообучения с новым конфигом - проактивка будет нормально все ловить.

Ловить неизвесную заразу? Чисто любительский тест для себя, вчера сделал на виртуалке. Накачал свежей вирусни с malwares.pl, malwaredomainlist.com и т.д., натравил на это все фришную версию Аутпоста, автообучение выключено, файр в режиме block most. Сигнатурный отлов заметно хуже каспера, комодо, бетки веба и аваста фрии, по крайней мере на свежаке. Запустил несколько пропущенных вредоносов, лишь в половине случаев алерты, на все алерты жму block all activities. В итоге виртуалка изрядко потрепаная с кучей левых процессов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

натравил на это все фришную версию Аутпоста, автообучение выключено, файр в режиме block most.
anti-leak в режиме "оптимальный"? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Ловить неизвесную заразу? Чисто любительский тест для себя, вчера сделал на виртуалке. Накачал свежей вирусни с malwares.pl, malwaredomainlist.com и т.д., натравил на это все фришную версию Аутпоста, автообучение выключено, файр в режиме block most. Сигнатурный отлов заметно хуже каспера, комодо, бетки веба и аваста фрии, по крайней мере на свежаке. Запустил несколько пропущенных вредоносов, лишь в половине случаев алерты, на все алерты жму block all activities. В итоге виртуалка изрядко потрепаная с кучей левых процессов.

А очень нужно было именно сигнатурный детект проверять? Сколько лет говоришь - не панацея... Ну, ничего - 7.5 ставить надо :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

в настройках общего анти-лика вроде можно выставить чтобы были вопросы на все, тогда вопросов будет больше....

тем более количество левых процессов это не показатель т.к они могут быть безвредными - работать на холостых циклах из-за того, что аутпост им запретил кой какие нужные для их жизни действия.

предлагаю сделать так:настроить аутпост на вопрошание всего, а потом повторить тест. после чего перезагрузить систему и посмотреть что там. наиболее просто - это посмотреть лог авз (файл - стандартные скрипты - скрипт сбора информации для вирусинфо).

думаю, что многим такой тест будет интересен:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
в настройках общего анти-лика вроде можно выставить чтобы были вопросы на все, тогда вопросов будет больше....
Настройки можно выкрутить так, что на запуск любого неизвестного приложения будет выводиться запрос "разрешить/заблокировать запуск" (а-ля UAC) :)
тем более количество левых процессов это не показатель т.к они могут быть безвредными - работать на холостых циклах из-за того, что аутпост им запретил кой какие нужные для их жизни действия.
В большинстве случаев так оно и есть.
предлагаю сделать так:настроить аутпост на вопрошание всего, а потом повторить тест. после чего перезагрузить систему и посмотреть что там.
Предварительно пройдя чистильщиком, т.к. могут быть ошметки во временных (и не только) папках. В лог авз могут войти и мертвые тушки (мальвар при запуске скопировался в папку и попытался прописаться в автозагрузку, но Оутпост зафиксировал и запретил это действие) - которые воспринимаются некоторыми "реально-независимыми-зомби-тестерами" как признак того, что защита программы минимальна и "<ящик> с песочницей" рулит :)
  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×