Dmitriy K

mini-FAQ

В этой теме 3 сообщения

Раздел "Активные процессы"

Все системные приложения заблокированы: невозможно закрыть/перенести в карантин, в мониторе активности: нельзя включить регистрацию событий.
Для приложений, защищаемых операционной системой опции недоступны (Windows Resource Protection - WRP).

"Экспорт конфигурации"

Текущую конфигурацию нельзя сохранить в папку самой программы
1) Вы пытаетесь сохранить файл в папку outpost, которая по умолчанию защищена от записи. Сохраните конфигурацию в другую папку.

2) Используется неадминистраторская учётная запись.

"Вэб-контроль"

Блокировка страниц по ключевым словам: страница загружается, но только до того места, где находится это слово - дальше загрузка не идет.
Контент-фильтр проверяет содержимое загружаемых данных на лету, как только встречается слово - блокирует передачу данных. Поскольку клиент (браузер) уже получил какое-то количество данных, он их и отображает.

"Игровой режим"

При переходе в полноэкранный режим в журнале «Внутренние события» появляются записи: Anti-Leak: выключен(а) и Контроль Anti-Leak: выключен(а).

Является ли это корректной работой программы?

Описанное поведение ошибкой не является. При переходе приложения в Игровой режим Anti-leak отключается. Такой режим был специально разработан с целью не показывать диалоги обучения во время просмотра видео или игр.

"Эвристическое детектирование"

Какое "имя" имеют файлы определяемые эвристическим анализатором?
То, что обнаруживается эвристическим анализатором Агнитум, помечается как «Подозрительный объект». Подозрительные объекты отличаются тем, что они обозначаются, например, как Packed/Generic и напротив них по умолчанию ставится действие «Пропустить». Кроме того, на последнем шаге сканера они считаются как обнаруженные подозрительные объекты.

"Anti-Leak: Контроль компонентов"

Почему при обновлении программы Outpost не уведомил об изменении исполняемого файла?
В случае, если приложение находится в списке доверенных разработчиков предупреждений об изменении файла не возникает.

"Проактивная защита: Защита приложений"

Почему после того как программа, находящаяся в списке защиты приложений, удалена, запись в списке о ней остается?
После удаления программы могут оставаться файлы, подлежащие защите.

"Anti-Leak: Контроль компонентов"

В 64-битной системе Outpost выдал запрос, что SERVICES.EXE пытается загрузить kernel-драйвер или службу. Правила для services.exe на основе стандартных не создались.
Т.к. это x64, то загрузка/запуск/управление службами от имени SCM - опасная операция. Правила автоматически не создаются.

Наличие подписи не отменяет запрос (т.к. приложение может загрузить и доверенный драйвер и, например, отправлять данные в сеть через него).

"Состояние модуля анти-спам"

Почему анти-спам в выключенном состоянии подсвечивается желтым цветом, а остальные компоненты красным?
Красным цветом подсвечиваются только критические компоненты.

"Журнал пакетов"

Почему некоторые порты имеют значения 135/0, 3/3, 11/0 и т.п.
Для протокола ICMP указывается тип и код ICMP сообщения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

"update_oss20"

Зачем нужна папка update_oss20? Почему она не удаляется автоматически после завершения обновления?
В папке \downloaded files кэшируются загруженные ранее файлы обновления, при запуске обновления содержимое папки сравнивается со списком необходимых для загрузки компонентов обновления.

"Редактор правил"

Почему на вкладке «Параметры» (Правила для приложений -- Редактор правил) неактивен параметр «Не регистрировать активность приложения»?

На какой из журналов влияет этот параметр?

Опция активна только в случае, если приложение полностью заблокировано или если ему разрешена любая активность.

Журнал «Брандмауэр»

"Режим обучения и Автосоздание правил в режиме обучения"

Почему в режиме обучения с включенным Автообучением создаются правила, которые отличаются от стандартных?
В случае автоматического создания правил создается весь набор правил для приложения.

В случае обучения правила создаются для конкретных соединений, если не было выбрано создание правил на основе стандартных.

Более подробная информация доступна в Руководстве пользователя на http://www.agnitum.ru/support/docs.php

"SmartScan"

Возможно ли как-то сохранить данные системы SmartScan при переустановке программы, чтобы не собирать их вновь?

Почему после обновления проверка продолжается дольше?

Нет.

После обновления баз, накопленные атрибуты сбрасываются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Не могу сделать экспорт\импорт списка блокируемых IP.

Давнишняя "фича" Outpost: Вы пытаетесь сделать экспорт\импорт списка блокируемых IP в папку, в имени и(ли) пути которой есть символы кириллицы. Используйте папку без кириллицы в имени и(ли) пути.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • santy
      RP55, смысл добавления для dll статуса "в автозапуске"? данный dll запускается только в том случае, если запущен исходный exe в образ автозапуска этот файл попадает, в списке загружаемых dll он есть, C:\USERS\POWER\APPDATA\ROAMING\GOOGLEUPDATE.DLL файл проверен при создании образа автозапуска и помечен как "НЕИЗВЕСТНЫЙ". В итоге Uvs присваивает ему статус: АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ DLL по этому статусу можно добавить критерий, чтобы подобные файлики попадали в отсек "ВИРУСЫ и подозрительные" для последующего анализа. (СТАТУС ~ АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ DLL )(1) [auto (0)]  
    • Marina35
      Одним вирусом меньше https://dr-world.ru/fbr-zaderjala-komputershika-symevshego-naiti-kluch-k-wannacry/
    • PR55.RP55
        По крайне мере некоторые устаревшие версии файла способны запускать любые соответствующие файлы\библиотеки Так например легальный\подлинный файл: GOOGLEUPDATE.EXE  прописывается в автозапуск. В каталог с файлом GOOGLEUPDATE.EXE помещается файл:  GOOPDATE.DLL Файл:  GOOPDATE.DLL  не имеет подписи - или подписан левым сертификатом и может иметь статус скрытый\системный и т.д. Таким образом файл GOOPDATE.DLL в автозапуске... А вот в логах его в автозапуске не будет. ---------- Нужно доработать uVS и считать все файлы: GOOGLEUPDATE.EXE  +++ как находящиеся в автозапуске. Тем более, что случай исключительный.    
    • AM_Bot
      Генеральный директор ГК «ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ» Руслан Рахметов рассказал читателям Anti-Malware.ru о рынке SGRC и IRP, истории бренда Security Vision и порассуждал о том, какой должна быть первоклассная SGRC-система. Читать далее
    • Draft