Перейти к содержанию

Recommended Posts

Skorpion

сейчас стоит DrWeb 5.0 + Outpost 6.5.

Проблема следующая:

после установки DrWeb Outpost стал выводить сообщения о том, что все приложения стали ломиться не на свои стандартные порты, а на перечень портов localhost. Но тем не мение приложение доступ получает в сеть после разрешения ему доступа к localhost. В данной ситуации мониторинг сетевой активности Outpost показывает, что например, QIP коннектится не к login.icq.com а к localhost.

Как решить проблему?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black Angel

Возможно это связано с тем, что SpIDer Gate пропускает трафик через себя. Сейчас я не дома, попозже ближе к вечеру посмотрю, что показывает у меня (тоже сейчас такая связка).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion

Сейчас поставил Avira Premium, тоже самое получается. Всё идёт через localhost.

Фишка в том, что из-за этого не видно на какие адреса идёт приложение и по каким портам, перед тем как принять решение о его сетевом доступе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener
Сейчас поставил Avira Premium, тоже самое получается. Всё идёт через localhost.

Фишка в том, что из-за этого не видно на какие адреса идёт приложение и по каким портам, перед тем как принять решение о его сетевом доступе.

Это связано с тем, что WebGuard в данных программах работает по принципу прокси-сервера - отключите его и всё будет как раньше - эту проблему (скорее неудобство использования) иначе наверно не решить. Можете конечно поставить Avira PSS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black Angel

Spidergate работает тоже по принципу прокси-сервера. Если открыть какой-либо сайт, то доменное имя сайта можно увидеть в Outpost в сетевой активности-spidergate, а не в браузере. Это связано с тем, что трафик проверяется сначала spidergate'ом, а только потом отдается браузеру.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion

Спасибо! Так и думал! Обидно, оутпост изживают?:)

Проверено: Outpost+Avast и Outpost+Nod32 работают вместе идеально :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black Angel

Доктор тоже с Outpost работает идеально и в Outpost тоже можно найти кто и куда реально коннектится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion
Доктор тоже с Outpost работает идеально и в Outpost тоже можно найти кто и куда реально коннектится.

Не найдёшь! Привожу пример:

DrWeb+Outpost

Запускаю плеер AIMP, включаю радио в нем, оутпост показывает активность: AIMP->localhost и SpIDer Gate->ip станции.

Даллее:

Проходит секунд 30, радио всё ещё играет, а в сетевой активности Outpost пусто, как-будто трафик никуда не идёт!!

Чудо? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion
Не найдёшь! Привожу пример:

DrWeb+Outpost

Запускаю плеер AIMP, включаю радио в нем, оутпост показывает активность: AIMP->localhost и SpIDer Gate->ip станции.

Даллее:

Проходит секунд 30, радио всё ещё играет, а в сетевой активности Outpost пусто, как-будто трафик никуда не идёт!!

Чудо? :)

сорри, тут скорее всего буфер :mellow:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

@ Skorpion:

По вашей просьбе здесь отвечаю. Если у Black Angel эта комбинация работает (даже с показом всех деталей в журналах), то тогда я вам предлагаю с ним обмениватсья настройками (если он на это готов). Кроме того, что уже было сказано про прокси Dr.Web мне нечего добавить. :)

P.S.: У меня ящик не переполнен, а отключён.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion

Полагаю, это минус в безопасности.

Т.к. при разрешении сетевой активности мы не знаем что нам ждать.

Сейчас очень нравится связка Outpost+Avast.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Полагаю, это минус в безопасности. Т.к. при разрешении сетевой активности мы не знаем что нам ждать.

Вы можете обосновать почему вы так считаете? Почему вы не доверяете Dr.Web? Или отсутствие точных журналов в Outpost вас пугает?

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion

Тут скорее не о доверии антивирусу. А доверии определенному приложению, как, например, QIP вроде бы безобидно должен ходить по порту 5190 на сервера AOL, ан нет, он ещё по 80-му на свои просится. Вот чтобы такое присечь, считаю важным получать полноценную статистику.

Возможно QIP большой опасности не представляет, а если это будет другая программа с уже заложенным вредоносным кодом, которая по мимо прямых своих функций (проверка обновлений своих, например) будет отправлять наши конфедициальные данные на сервера Китая :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Тут скорее не о доверии антивирусу. А доверии определенному приложению, как, например, QIP вроде бы безобидно должен ходить по порту 5190 на сервера AOL, ан нет, он ещё по 80-му на свои просится. Вот чтобы такое присечь, считаю важным получать полноценную статистику.

Это либо:

* автоматическое обновление

* всякие сервисы в нём включены

Можно адреса жёстко задать, но в вашем случае лучше отключать эти функции. Я раньше (когда QIP ещё был) так делал для обновления - только к одному серверу и всё. Как только начали добавить сервисы, я его удалил.

Возможно QIP большой опасности не представляет, а если это будет другая программа с уже заложенным вредоносным кодом, которая по мимо прямых своих функций (проверка обновлений своих, например) будет отправлять наши конфедициальные данные на сервера Китая :)

Если Доктор или HIPS Outpost пропустили такой зловред, то тогда всё равно уйдут эти данные. Безопасность и конфиденциальность от них особо не зависит; только ВЫ определяете, что будет...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • santy
      Приветствую, SQx Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?
    • SQx
      Здравствуйте,

      Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

      Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого: C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet Хотел бы уточнить у Вас,  если можете добавить его в uVS.

      P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

      Спасибо.
    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.2.11.
    • PR55.RP55
    • PR55.RP55
      Microsoft  в Win11 ( на канале Dev.) - добавила новую функцию, позволяющую получить полный список приложений, которые в последнее время запрашивали доступ к конфиденциальной информации, включая камеру, микрофон и контакты. Новая функция также отслеживает программы, получившие за последнюю неделю доступ к данным местоположения, телефонным звонкам, переписке и скриншотам. https://www.comss.ru/page.php?id=10641 Возможно функция (  или её дальнейшее развитие ) будут полезны.      
×