» Agnitum Outpost Firewall Pro

pytex и остальным заинтересовавшимся.
Определил стороны конфликта: OFP и драйверы ATI.
Как выяснил:
1. Установил видеокарту NVIDIA MX440 заместо ATI
2. Установил на пустой HDD Win XP SP3. Обновления и драйверы не ставил. Установил KMP и OFP.
НЕТ ЗАВИСАНИЯ
3. Установил видеокарту ATI HD4650. Драйверы не ставил.
НЕТ ЗАВИСАНИЯ
4. Поставил драйверы (10-9).
ЗАВИСАНИЕ
5. Установил видеокарту NVIDIA MX440 и поставил драйверы (91.47)
НЕТ ЗАВИСАНИЯ.

Aleksandr SHCH, и это все при активированном Антилик, я правильно понял?

asbo
Естественно. Настройки одни и те же.

Aleksandr SHCH, плотный эксперимент. Респект.
Слава Богу я не пользуюсь этим антилик. Получается, с вероятностью процентов 75 - вина драйвера АТИ, четверть - недогляд (в будущее :) Агнитума. Если есть желание и силы будоражить вендоро, то писать надо обоим :(( Или же даунгрейдить драйвер, или же отключать антилик. Можно, конечно, с индивидуальными настройками антилик для приложений повозиться. А какая, кстати, явилась критичной?

asbo

Цитата:

Получается, с вероятностью процентов 75 - вина драйвера АТИ, четверть - недогляд (в будущее Агнитума.

OFP 6.7 с этими же дровами работает без зависаний. Хотя вариант зависания с плеерами я с этой версией не пробовал...

Цитата:

Можно, конечно, с индивидуальными настройками антилик для приложений повозиться. А какая, кстати, явилась критичной?

Первое сообщение на этой странице от pytex.

Цитата:

Первое сообщение на этой странице от pytex.

, да, благодарю, я помню. Я вот о чем: при всех прочих равных, какое ее значение приводит к глюку? "Разрешать" или "блокировать"? Или без разницы - и при том, и при другом?

Добавлено:
Бзв, Aleksandr SHCH, "Первое сообщение на этой странице от pytex." на 16 знаков дольше набирать, чем "внедрение в память процесса" ...

Цитата:

Я вот о чем: при всех прочих равных, какое ее значение приводит к глюку? "Разрешать" или "блокировать"? Или без разницы - и при том, и при другом?

При "Глобальное значение". "Разрешить" или "Блокировать" работают без глюка.

Aleksandr SHCH, извините, что я терзаю Вас, но ведь отсылка с локального правила к глобальному, должна привести, к "Спрашивать" или к "Разрешать". В первом случае должен возникнуть диалог. Во втором - блокирование разрешение внедрения. Вы о диалоге ничего не говорили.

Т.о., блокирование разрешение на уровне глобального правила приводит к глюку, а на уровне локального - нет. Тогда меняется баланс сил - 90% за то, что это глюк Агнитума.

Блин, запутался совсем - там блокировать, там разрешать. Впрочем - это стиль Агнитума.

Aleksandr SHCH, круто, спасибо за эксперимент, теперь наконец известен конфликт. Конечно не знаю насколько вероятно добиться его исправления...
Приходится или в глобальных ставить "Разрешать"/"Блокировать" или жить с глюком

asbo, фризы имеют место при глобальной настройке "Спрашивать", когда для приложения это правило еще не задано явно.

Цитата:

Т.о., блокирование на уровне глобального правила приводит к глюку, а на уровне локального - нет.

asbo, глобальное значение у меня (и по умолчанию) - Спрашивать...

Цитата:

ведь отсылка с локального правила к глобальному, должна привести, к "Спрашивать" или к "Разрешать". В первом случае должен возникнуть диалог.

Появление этого запроса я и pytex ждем 2 минуты...


Добавлено:
pytex
Логи разработчикам отослал. И тут записал...

Цитата:

тсылка с локального правила к глобальному, должна привести, к "Спрашивать" или к "Разрешать". В первом случае должен возникнуть диалог

да, в первом случае и возникает глюк. Диалог обычно появляется, но блин, не всегда. Разрешение/Блокировка на любом из уровней исключает глюк.

Цитата:

...При "Глобальное значение". "Разрешить" или "Блокировать"...
...или в глобальных ставить "Разрешать"/"Блокировать" или...
...Разрешение/Блокировка на любом из уровней исключает глюк...

Джентельмены, суть стала ясна, но немного вы меня запутали. Давайте внесем ясность. У меня в глобальных нет опции "Блокировать". Только "Разрешать" или "Спрашивать"...
Outpost Firewall Pro версия 7.1 (3415.520.1247)

Цитата:

в глобальных нет опции "Блокировать". Только "Разрешать" или "Спрашивать"...

да, точно, "Блокировать" задается только явно в правилах для конкретного приложения.

pytex, я вначале запутался, а потом вскипел. Опять этот Агнитум! Ну с каких, скажем, хренов я не имею права глобально "Заблокировать"? Это ползай по всем предметам с предметом?! Я могу предположить, что это фулпруф, но не на уровне же "для дебилов онли". Могли бы всунуть, на крайняк, и если уж так заботятся о нас, предупреждение - что не рекоменбуется, что может привести к неустойчивой работе etc. А так получается прямо какое-то поражение в правах...

asbo, что Вы хотите от продукта, в режиме автосоздания правил разрешающему все и вся?
P.S. Поправил описание для ссылки на предыдущие версии в шапке. После моего запроса в техподдержку туда добавили ссылки на ранние билды версии 7.0.

Tune up utilities при неактивности компа должна проводить проверку/чистку системы. Фаревол все время блочит. В правилах выставлял "разрешить все действия" и оставил "осуществлять фильтрацию приложения" (на случай, если вдруг вирусом заразится, чтобы не заражала все подряд).
И мне все равно выдает окно при простое компа, т.е. оптимизации системы видимо не происходит.
http://floomby.ru/content/SCa9njlT2E/

Какие варианты могут быть?

djbub, "разрешить все действия" - это применительно к фаеру, к сетевой активности. А картинка - это антилик. Дык, а какие варианты надо? Что мешает разрешить?

Агнитум и здесь постарался - один и тот же предмет по-разному называет. В диалоге - "изменение памяти других приложений". В настройках - "внедрение в память процесса"

Бзв, подберите себе человеческий хостинг картинок. К чему людей на помойку отправлять?

Цитата:

Бзв, подберите себе человеческий хостинг картинок. К чему людей на помойку отправлять?

Нормальный хостинг. Рекламы нет у меня (видимо режется). Грузит быстрее, чем айпикчи. Картинку зарезать клочек и зааплоадить занимает 1 сек, т.к. все делается через софт специальный. Поэтому давно не использую неудобные и долгие дейтсвия типа принтскрин-редактов-подрезать-сохранить-загрузить_на_хостинг


Цитата:

"разрешить все действия" - это применительно к фаеру, к сетевой активности. А картинка - это антилик

Я не знал, фаер недавно использую


Цитата:

Дык, а какие варианты надо? Что мешает разрешить?

Не разобрался как.


Цитата:

"внедрение в память процесса"

Так вроде как все так и установлено. Но всегда выскакивает. Или я не так делаю?

http://floomby.ru/content/DR3SGFMzw0/

вот прямая ссылка на картинку, если реклама какая-то режет глаза
http://h1813090.stratoserver.net/files/share/4_4_2011/nzoJ6fs1UqlZz5oaKsztw.jpg

djbub, во, прямые ссылки - это дело :) А помойка ведь все равно помойкой остается - с противогазом на нее ходи или без...

В первой картинке, надо было переключиться на первый пункт - Разрешить и нажать ОК. Но, судя по второй картинке, именно так и было сделано... Локальное правило антилик для этого процесса однозначно разрешает ему внедрение... Я тут немного озадачен.

1. Надо взглянуть - что в глобальных правилах антилик для этого параметра. Спрашивать или разрешать?
2. Убедиться, что этот Tune up запускается из одного места.
3. Убедиться, что указанный процесс - не какая-нибудь его приблуда, запускающаяся каждый раз из новой врЕменной папки.

Цитата:

3. Убедиться, что указанный процесс - не какая-нибудь его приблуда, запускающаяся каждый раз из новой врЕменной папки.

В папке файл имеется
"c:\PROGRAM FILES (X86)\TUNEUP UTILITIES\TuneUpSystemStatusCheck.exe"
хотя, сколько я раз не жал добавить (всмысле разрешить-ок в окошке, после этого действия, обычно все программы автоматически добавлялись), он не добавлял у себя в настройках путь к файлу, пока во время очередного "окошка" я не отодвинул его и не полез в опции, там его я "поймал" и выставил "разрешать действия"

Цитата:

1. Надо взглянуть - что в глобальных правилах антилик для этого параметра. Спрашивать или разрешать?

http://h1813090.stratoserver.net/files/share/4_4_2011/I73jwjqfDEyUJJw9OfM7Lg.jpg
http://h1813090.stratoserver.net/files/share/4_4_2011/7EqRK00bb0KfdULyrJasOQ.jpg

Но мне бы хотелось, чтобы запросы оставались для неизвестных. Автоматически разрешать всему подряд не думаю, что стоит, иначе смысл защиты?

djbub, честно говоря я несколько озадачен. Я расчитывал на п.п. 2 и 3 :( Если же он постоянно запускается из одного места, то... Фиг его знает. Можно вот как еще перепроверить - в списке правил для придложений - убедиться, что там только одна запись с его именем, а не несколько.

Касательно общих настроек - естественно, что хочется запросов, а не огульного разрешения-запрещения.

От греха подальше взглянуть надо еще b e,tlbnmcz и убедиться - выключено ли автосоздание правил и отключен ли ImproveNet.

djbub
asbo

Цитата:

Но мне бы хотелось, чтобы запросы оставались для неизвестных.

"Белый список" разрешенных для запусков (без запросов) не помешал бы... как впрочем возможность задавать связку "программе А разрешен\запрещен запуск программы В"

cdrom2
Цитата:

"Белый список" разрешенных для запусков (без запросов) не помешал бы...

Так в режиме обучения, как раз такой список и формируется постепенно. При желании можно это делать и руками, но это уже мазо :)

Цитата:

"программе А разрешен\запрещен запуск программы В"

Имо, в ОП и так напихано столько сикось-накось работающего функционала, свойственного именно антивирям. Надо заглянуть в горшок - это же фаер. Так пусть фаеру останется фаерово.

asbo

Цитата:

Так в режиме обучения, как раз такой список и формируется постепенно.

Так то оно так. И это нормально когда процесс периодически запускает только всего одно приложение. Но, например, есть такие процессы как SVCHOST.EXE, которые разрешают/запрещают (например "запуск сетевого приложения") нужное действие для многих приложений (...иногда на стадии активного заражения. И это могло бы частично препятствовать вредоносному действию. И это гораздо лучше чем отслеживание OLE-объектов Антишпионом).

cdrom2, я не знаю за безопасность венды - что уж там может svchost разрешать-запрещать, а то, что он обеспечивает ДНС, и то, что через него другие приложения могут лезть в сеть - это факт.

Не скажу за Win7, но на XP и 2003 можно и нужно(!) глушить его (svchost) практически подчистую. У меня заблокированы UDP out to 53, TCP out to 135, UDP out to (137, 138), UDP in from (137, 138). Вендовый ДНС остановлен (сам ОП обеспечивает), DHCP тоже во всей сети. Адреса - принудительно.

При запуске файла MOV появился алерт про запуск NTOSKRNL.EXE. Далее выбрал "Блокировать однократно". Но в Журнале записи о результатах действий с NTOSKRNL.EXE нет.
Посмотрел файл antileak.log - в нем запись о блокировке есть.

Эта бага известна?

cdrom2, 99% - вирь. Этот файл (NTOSKRNL.EXE) используется только на этапе загрузки. И дело не в собмтвенно MOV - к нему ведь какая-то программа сассоциирована.

asbo
Цитата:

к нему ведь какая-то программа сассоциирована

Media Player Classic 6.4.9.1 - проверено вирусов нет - 100%.

cdrom2, ну, прежде всего создай правило для этого NTOSKRNL.EXE - запретить все, ОП в режим блокировки, файл пошли на virustotal.com . Дальше действуй по результатам. У меня тоже MOV через MPC идет. Проверил сразу. Я бОшку даю на отсечение, что в стандартных условиях НИКАКОГО NTOSKRNL.EXE никакая программа вызывать не должна.

Репорт с virustotal.com

Репорт с virustotal.com NTOSKRNL.EXE


Логи Agnitum Outpost Firewall Pro #