SpIDer Gate и трафик - Dr.Web - антивирусная защита для дома и офиса - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

Skorpion

сейчас стоит DrWeb 5.0 + Outpost 6.5.

Проблема следующая:

после установки DrWeb Outpost стал выводить сообщения о том, что все приложения стали ломиться не на свои стандартные порты, а на перечень портов localhost. Но тем не мение приложение доступ получает в сеть после разрешения ему доступа к localhost. В данной ситуации мониторинг сетевой активности Outpost показывает, что например, QIP коннектится не к login.icq.com а к localhost.

Как решить проблему?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black Angel

Возможно это связано с тем, что SpIDer Gate пропускает трафик через себя. Сейчас я не дома, попозже ближе к вечеру посмотрю, что показывает у меня (тоже сейчас такая связка).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion

Сейчас поставил Avira Premium, тоже самое получается. Всё идёт через localhost.

Фишка в том, что из-за этого не видно на какие адреса идёт приложение и по каким портам, перед тем как принять решение о его сетевом доступе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener
Сейчас поставил Avira Premium, тоже самое получается. Всё идёт через localhost.

Фишка в том, что из-за этого не видно на какие адреса идёт приложение и по каким портам, перед тем как принять решение о его сетевом доступе.

Это связано с тем, что WebGuard в данных программах работает по принципу прокси-сервера - отключите его и всё будет как раньше - эту проблему (скорее неудобство использования) иначе наверно не решить. Можете конечно поставить Avira PSS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black Angel

Spidergate работает тоже по принципу прокси-сервера. Если открыть какой-либо сайт, то доменное имя сайта можно увидеть в Outpost в сетевой активности-spidergate, а не в браузере. Это связано с тем, что трафик проверяется сначала spidergate'ом, а только потом отдается браузеру.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion

Спасибо! Так и думал! Обидно, оутпост изживают?:)

Проверено: Outpost+Avast и Outpost+Nod32 работают вместе идеально :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black Angel

Доктор тоже с Outpost работает идеально и в Outpost тоже можно найти кто и куда реально коннектится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion
Доктор тоже с Outpost работает идеально и в Outpost тоже можно найти кто и куда реально коннектится.

Не найдёшь! Привожу пример:

DrWeb+Outpost

Запускаю плеер AIMP, включаю радио в нем, оутпост показывает активность: AIMP->localhost и SpIDer Gate->ip станции.

Даллее:

Проходит секунд 30, радио всё ещё играет, а в сетевой активности Outpost пусто, как-будто трафик никуда не идёт!!

Чудо? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion
Не найдёшь! Привожу пример:

DrWeb+Outpost

Запускаю плеер AIMP, включаю радио в нем, оутпост показывает активность: AIMP->localhost и SpIDer Gate->ip станции.

Даллее:

Проходит секунд 30, радио всё ещё играет, а в сетевой активности Outpost пусто, как-будто трафик никуда не идёт!!

Чудо? :)

сорри, тут скорее всего буфер :mellow:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

@ Skorpion:

По вашей просьбе здесь отвечаю. Если у Black Angel эта комбинация работает (даже с показом всех деталей в журналах), то тогда я вам предлагаю с ним обмениватсья настройками (если он на это готов). Кроме того, что уже было сказано про прокси Dr.Web мне нечего добавить. :)

P.S.: У меня ящик не переполнен, а отключён.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion

Полагаю, это минус в безопасности.

Т.к. при разрешении сетевой активности мы не знаем что нам ждать.

Сейчас очень нравится связка Outpost+Avast.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Полагаю, это минус в безопасности. Т.к. при разрешении сетевой активности мы не знаем что нам ждать.

Вы можете обосновать почему вы так считаете? Почему вы не доверяете Dr.Web? Или отсутствие точных журналов в Outpost вас пугает?

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion

Тут скорее не о доверии антивирусу. А доверии определенному приложению, как, например, QIP вроде бы безобидно должен ходить по порту 5190 на сервера AOL, ан нет, он ещё по 80-му на свои просится. Вот чтобы такое присечь, считаю важным получать полноценную статистику.

Возможно QIP большой опасности не представляет, а если это будет другая программа с уже заложенным вредоносным кодом, которая по мимо прямых своих функций (проверка обновлений своих, например) будет отправлять наши конфедициальные данные на сервера Китая :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Тут скорее не о доверии антивирусу. А доверии определенному приложению, как, например, QIP вроде бы безобидно должен ходить по порту 5190 на сервера AOL, ан нет, он ещё по 80-му на свои просится. Вот чтобы такое присечь, считаю важным получать полноценную статистику.

Это либо:

* автоматическое обновление

* всякие сервисы в нём включены

Можно адреса жёстко задать, но в вашем случае лучше отключать эти функции. Я раньше (когда QIP ещё был) так делал для обновления - только к одному серверу и всё. Как только начали добавить сервисы, я его удалил.

Возможно QIP большой опасности не представляет, а если это будет другая программа с уже заложенным вредоносным кодом, которая по мимо прямых своих функций (проверка обновлений своих, например) будет отправлять наши конфедициальные данные на сервера Китая :)

Если Доктор или HIPS Outpost пропустили такой зловред, то тогда всё равно уйдут эти данные. Безопасность и конфиденциальность от них особо не зависит; только ВЫ определяете, что будет...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.8.0. Для просмотра всех команд запустите утилиту с параметром /help.
    • PR55.RP55
      И возможно добавить в Инфо. поддержку просмотра NTFS Alternate Data Streams Для получения доп. информации по файлам - автозапуска.    
    • santy
      RP55,  особого смысла в этом нет. Возможно, стоит добавить в эвристику программы добавление статуса "подозрительный" для файла размером (св. 500Мб или больше), если он  в автозапуске. Так как в некоторых случаях майнеры используют файлы больших размеров, чтобы обойти антивирусную защиту.
    • PR55.RP55
      При копировании известного файла файла uVS v5.0.RC2.v x64 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS] GATHERNETWORKINFO.VBS._628B6B4BF3CC7F77578CF3CCFCC587DBF9EC7E07 https://disk.yandex.ru/i/LpsxRQ6EMkF23w    
    • PR55.RP55
      При копирование файла в Zoo Операторы могут не обратить внимания на размер файла. Предлагаю при превышении лимита = 650mb добавить в Лог соответствующее предупреждение: Файл скопирован в ZOO; Превышен лимит virustotal.com Для чего ? Часто операторы предлагают поместить скопированный файл на сайт, или проверить его на V.T. а это потеря времени. Одна "ошибка" приводит к другой "ошибке"  
×