» Agnitum Outpost Firewall Pro

Всем привет.

Имею - Win XP Pro SP2, Outpost Firewall Pro ver. 4.0.971.7030 (584)

Буквально три-четыре дня назад "выскочил" интересный момент.

Сейчас у меня после входа в Windows появляется сообщение, которое, подозреваю, "говорит" мне, что что-то не так с режимом работы видеокарты.

Заголовок окна, которое высвечивает Аутпост: Ошибка соединения
Вот текст окна (скобки и строки, как в оригинале):

Код:

[Microsoft][Драйвер ODBC Microsoft Access] Процесс остановлен ядром
базы данных Microsoft Jet, так как другой пользователь пытается
одновременно изменить те же данные. (-1611), HY000

chum2000
Vskazka
У меня эти правила ещё с 3.5-го Outpost-а (сейчас последний 4.0.1005.7229 (590)). Попробовал запустить классический Maple. Пришлось только добавить правило для cwmaple.exe
Код: Where the protocol is TCP
and Where direction is Outbound
and Where the remote host is localhost:loopback(127.0.0.1)
and Where the remote port is 50575
Allow it

MrDiaz
latin
Не все тесты одинаково полезны Сюда гляньте - там Аутпост только на 7 месте - http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php Хотя это и натяжка, в темах про Комодо, который там впереди планеты всей и про сравнение файерволлов это обсуждалось.

Цитата:

Есть маза, что порой разработчики специально затачивают свои продукты под определенные тесты.

Во-во, а тут Аутпост оказался первым Именно из-за полного провала тестов на читерство он на седьмое место и откатился

YuraH

Всё стандартно. Да и потом я добавил все файлы в доверенные. К тому же, даже если отключить фаер, всё равно не работает.

Народ, а версия 1007.591.145 под вистой пашет?

chum2000
Я так и не переборол outpost. Так как не могу позволить себе много времени на тренировку и эксперименты, то снес его и установил Agava Firewall. Разрешил там, как описывалось, разрешения на файлы и все стало работать под этим firewal'ом

CBB

Цитата:

Именно из-за полного провала тестов на читерство он на седьмое место и откатился

Скажи где про эти тесты прочитать можно?

Уже вышла (591) а (584) даже еще не думает через автоапдейт обновлться..это у все так? и почему такое происходит.

NikLok

Цитата:

Цитата:Именно из-за полного провала тестов на читерство он на седьмое место и откатился

Скажи где про эти тесты прочитать можно?

Я ж дал ссылку, там и смотри описание Fake Protection Revealer (FPR) tests, там же и исходники.

Цитата:

Народ, а версия 1007.591.145 под вистой пашет?

к сожалению, все еще не совместима(

latin
Согласен но не думаю что спецы в компании которая заботится о своем имидже будет такое творить... к тому же автор которы проводил тесты у него оччень заметна любовь к другому файеру...
Ну а сдругой стороны если защищает всетаки не все атаки то уж основные-распространенные точно!!! а если еще и в связке то думаю нормально

latin

Цитата:

Есть маза, что порой разработчики специально затачивают свои продукты под определенные тесты. (может кто помнит про нВидеа)

может, наоборот? Тесты под продукты? А то про НВидиа я тож помню =))

BlackFox

Цитата:

Уже вышла (591) а (584) даже еще не думает через автоапдейт обновлться..это у все так?

Аналогично.
Я пока сюда не зашел, даже не знал, что новый билд есть.

ZUMR
Никакой связи между ошибкой, которая у тебя появляется и работой видеокарты я не вижу. Файл журнала OF имеет формат .mdb, т.е. MS Access.. Соответственно - может быть глюкнул файл журнала, может еще какой-то юзер (если у тебя их на машине несколько) или процесс ломится к этому файлу... Точно сказать не могу, но ИМХО причина в этом кроется. Вообще, на мой взгляд, Agnitum недоработал в последних версиях ведение журнала OF, из-за этого могут возникать глюки...

CBB

Цитата:

Я ж дал ссылку, там и смотри описание Fake Protection Revealer (FPR) tests, там же и исходники.

Матоусики явно комод пиарят. Дырку с FPR Агнитум закрыл еще 12го числа в 590 версии.
Релиз комода вышел 20го. При этом комод уже у них перетестирован и получил max рейтинг, а аутпост - все еще 584ый . Настораживает.

InKr
Это правда, с одной стороны, с другой - Матроусик пишет, что хуки уровня юзера, которые использует Аутпост, легко снимаются, а ядерные хуки Комодо и др. хоть и тоже можно попытаться снять, но с этими попытками уже можно успешно бороться (борется ли комод в реальности - неизвестно). Так что скорей всего он просто перед новым тестом готовит новый FPR. Ведь препятствие FPR - просто препятствие тесту, выявляющему читерство, само-то читерство при этом никуда не девается

CBB

Цитата:

Так что скорей всего он просто перед новым тестом готовит новый FPR. Ведь препятствие FPR - просто препятствие тесту, выявляющему читерство, само-то читерство при этом никуда не девается

Хм. Как я уже говорил в ветке про комод - это также можно считать не обнаружением читерства, а новой найденной уязвимостью и если в 590 релизе эта уязвимость закрыта (причем я не думаю, что там просто противостояние конкретному FPR.exe, а все-таки более общая защита поставлена), то - какая разница какого уровня хуки используются.

Я двумя руками за то, чтобы матоусики продолжали также код шерстить (ибо это полезно, особенно когда вендор оперативно реагирует), но объявлять читерами тех с чьей позицией ты не согласен - это тоже не дело. Заказухой начинает попахивать .

З.Ы. Кстати, у комода другой подход - они секут свершившийся факт, когда только зарывать приложению доступ остается только, а аутпост - уже попытки. Если оба подхода обеспечивают одинаковый уровень безопасности, то подход аутпоста мне больше нравится.

З.З.Ы. То что хук ринг0 априори надежнее хук ринг3 - тут вопросов нет, но если эксплойтов для обхода ринг3 нету (а их известных на настоящий момент нету) - так ИМХО такая имплементация тоже имеет право на жизнь. Будет новый эксплойт от них - вот тогда другой разговор.

InKr

Цитата:

Я двумя руками за то, чтобы матоусики продолжали также код шерстить (ибо это полезно, особенно когда вендор оперативно реагирует), но объявлять читерами тех с чьей позицией ты не согласен - это тоже не дело. Заказухой начинает попахивать

Мне тоже не по душе зачет одной дыры сразу за двадцать и тот вес, который в тестах Матоусика играет тест его собственного производства. Но решить, чьи аргументы сильней - моей квалификации не хватает. Поглядим, ситуация становится интересной. Если окажется, что Аутпост и вправду ловит не сами утечки, а известные тесты на эти утечки - скандал получится неслабый

mrdime

Цитата:

Никакой связи между ошибкой, которая у тебя появляется и работой видеокарты я не вижу.

Цитата:

Точно сказать не могу, но ИМХО причина в этом кроется.

Похоже на то, т.к. я только что обновил Аутпост на новую версию, и эта ошибка пропала.

А проблема с выводом картинки на несколько мониторов осталась.
Значит причина уже не в Аутпосте, просто так видать совпало, хотя редкий случай.

ZUMR
OP создает запрос на некоторые библиотеки дров на карту!!! может ты просто нечайно заблокировал их и не заметил?

CBB

Цитата:

Мне тоже не по душе зачет одной дыры сразу за двадцать и тот вес, который в тестах Матоусика играет тест его собственного производства.

Не - ну там аргументация понятна - пробивать аутпост версии 584 можно любым из 23 (из 38 вообще возможных) методов, если добавить в них первым шагом снятие хуков. И никто ничего не заметит. Другой вопрос - к рейтингам как таковым (Excelent, Good и т.д.) - но это уже на совести авторов обзора.
В 590 Агнитум говорит что дыру с хуками закрыл и я склонен им верить - иначе бы Матоусик не преминул бы об этом растрезвонить (две недели уже прошло). Он же нашел другую дыру которую Агнитум закрыл 591 версией. И очевидно пытается найти еще что-нибудь чтобы не пускать Аутпост обратно на первое место. Но пока видимо дыры нет. А на нет - и суда нет .


Цитата:

Поглядим, ситуация становится интересной.

Согласен. Но дома пока, все равно вернулся на Аутпост, ибо комод с каспером и PPPoE не уживается никак.

Есть очень большое подозрение, что именно некорректно написанный wl_hook.dll приводит к ненормальной работе некоторых приложений. И это несмотря на то, что полностью выключен Anti-Leak и Component Control (disabled). Пробовал добавлять некоторые процессы в wl_hook_data.cfg - не помогает. Решил, что лучше уж сидеть без контроля компонентов, чем регулярно получать глюки из-за него.

Кстати, это большой камень в огород Outpost-a! Несмотря на то, что отключены component control, self-protection и anti-leak - он все равно упорно продолжает загружать wl_hook в каждый процесс! Уже не на одмом форуме в сети всплыл сей факт...

Вопрос следующий.
Для отключения загрузки wl_hook.dll - пробовал просто удалить этот файл (точнее, переименовать в любое другое имя, а потом перезагрузиться), тогда wl_hook.dll больше не грузится и Outpost вроде продолжает работать нормально. Но при гашении windows (shutdown) - Outpost выкидывает сообщение типа "ваша безопасность сейчас будет под угрозой" (аналогично тому, как это происходит, когда просто выгружаем outpost). Каждый раз закрывать это дурацкое сообщение как-то ломает.
Есть ли способ совсем избавиться от этого wl_hook и лишних сообщений тоже? (надеюсь, что потребуется только на время, пока разработчики не отточат этот свой component control. Хотя давно уже оттачивают...)

royt
Удалите в HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll

SimplyNik
Там смотрел уже - нету там "wl_hook".
Да и вообще весь реестр сканировал на "wl_hook" - не упоминается нигде. Похоже самим аутпостом грузится при старте.
Так что нужен другой способ.

royt
Точно в 4 убрали, я в 3.51 смотрел.

какие изминения в последней версии? где почитать?

z0unds
http://www.agnitum.ru/products/outpost/history.php

Изменения есть, например trashreg 374 ничо не видит...

Почему Outpost Firewall Pro ver. 4.0.1007.7323 (591) при установке требует внести FlashGet1.81 в список исключений? Говорит: ,,...иначе не смогу корректно работать,,!

ded55 Перехватывает линки, ставит панель в IE, умеет обрывать соединение и выключать комп. Еще там Googl'евская панель, соединения с зеркалами, обмен ссылками с головным сайтом вообщем много чего подозрительного для ОР4.
1.73 тоже предлагает в исключения.