» Agnitum Outpost Firewall Pro

grbdv 22:18 14-03-2012
Цитата:

А на соседнйе XP - 5

У меня на XP (от M$) тоже 5. А у знакомого на компе, не подключенном к Инет, на таком же XP - 7 (правда там сборка типа "зверь").

Возможно, количество и от ОСи зависит.

Добавлено:
Но читал я именно о не более 5, возможно, это было написано, когда еще Win7 и в помине не было.

grbdv

Цитата:

Сам по себе что-ли изменился? И откуда это что-то возьмется?

Цитата:

Да как же не смогу ,если смогу ОП работает, Нетлимитер работает, Нод работает, ПМ постоянно открыт на втором мониторе. Ну как можно не заметить?

Зайдёшь ты на сайт, а там одэй-эксплоит... Дальше рассказывать как тебе на комп (с отключенной проактивкой) свежий зверёк установится?
Установится и не посмотрит на твой нод, ОП (что это кстати такое?), и Нетлимитер!

Цитата:

Если бы я не был такой болтун, то ответил бы кратко...

Отдыхай иногда от компа и глядишь вместо потока сознания будет что-то дельное и позитивное рождаться.

WatsonRus

Цитата:

Но читал я именно о не более 5...

Win XP SP3, оригинальный образ, чистая установка (на виртуалке) - работает 5 процессов svchost.exe!

WildGoblin
Цитата:

Зайдёшь ты на сайт, а там одэй-эксплоит

Дай адрес, плз. Попробую. Самостоятельный код я увижу в ПМ (процесс-монитор Русси). Если же пристроится в какой-нибудь легтитимный процесс, то увижу активность в адрес туда, куда не разрешал. Если он прибьет кого из моих - опять увижу и в интерфейсе и в ПМ. Ну, пусть даже в брайзер или РСС-читалку - с максимальными свободами... АктивХ у меня всегда отключен, Ява тоже. Не знаю, как можно ко мне пролезть, не подходя (физически) к моим компам. Доверенных в ОП нет. Ни сетей, ни процессов. Хде дыра? Давай адрес, короче, если встретится.

Цитата:

Отдыхай иногда от компа и глядишь вместо потока сознания будет что-то дельное и позитивное рождаться.

Да оно и так прэ, что не знаешь, куда деваться. ОП - это я уже английский с русским напрочь попутал - ОутПост. И не OP и не АП. Отдыхать надо.



Добавлено:
Да! И не надо забывать, что я сам-то не Пномпень сижу за компом - не ведусь (стараюсь) на инжиниринг. Серфинг - разнообразнейший, но все ведь чисто... В декабре пересел на Нод4, так с того времени 182 угрозы. Из них 12- сайты. Все остальное - почта и мое под контролем (кейгены, кряки и пр). Стерильно. ОП молчит. Для меня ЧП, если обучалка всплывает (помнишь clr.microsoft,com и time.nist.gov? я жаловался) И так - годами. Где подвох? ЧЯДНТ?

grbdv

Цитата:

Самостоятельный код я увижу в ПМ (процесс-монитор Русси).

Ты работаешь с постоянно включенным procmon'ом и отслеживаешь всё в реальном времени? Не, вот так - ТЫ В РЕАЛЬНОМ ВРЕМЕНИ ОТСЛЕЖИВАЕШЬ ВСЮ АКТИВНОСТЬ с помощью Process Monitor?
Если да, то тогда тебе ничего не страшно!

Если серьёзно, то такое просто невозможно - отслеживать всё в реальном времени в Process Monitor, потому и придумали проактивку!

P.S. Советую всё же загрузится с флэшки и проверить систему на наличие руткитов. NOD он ведь дружелюбный - со всеми мирно уживается.

WildGoblin
Нет, я конечно же не "отслеживаю в реальном времени" в прямом смысле слова :) Он просто вместе с теликом постоянно болтается на одном из мониторов. Поглядываю частенько.

Я, конечно, попробую на досуге провериться из под заведомо чистой оси... Я бросил это делать о-очень давно, т.к. по причинам выше пришел к выводу, что это пустая трата времени. Тем более есть привычка сразу после заразы на сайтах руками кеш чистить.

Да, Нод относительно миролюбив. Давно приметил. Но ты так даже и не намекнул на слабое звено. Где подвох? Через что в такой схеме я могу попасть?

grbdv

Цитата:

Но ты так даже и не намекнул на слабое звено. Где подвох? Через что в такой схеме я могу попасть?

Слабое звено это отсутствие проактивной защиты. Эксплуатация уязвимости и последующая установка на твой комп всякого-разного - ты этого просто не заметишь так как "поглядывать частенько" в логи (которые размером даже не в километр, а в сотни световых лет! ) это не серьёзно.

Цитата:

пусть даже в брайзер или РСС-читалку - с максимальными свободами... АктивХ у меня всегда отключен, Ява тоже. Не знаю, как можно ко мне пролезть, не подходя (физически) к моим компам.

Не явой единой... есть ещё уязвимости системных служб, уязвимости в различных библиотеках (открываешь какой-нибудь tiff и у тебя тут же исполняется нечто ) и т.д. и т.п.

(во времена когда деревья были большими под WinXP, без SP, был замечательный эксплоит который через секунду после конекта к уязвимой машине давал доступ к ком. строке, а следовательно возможность грузить на удалённую машину что хочешь...)

WildGoblin
Цитата:

Слабое звено это отсутствие проактивной защиты

Не согласен. Надо ведь в комплексе оценивать систему безопасности, а не по наличию-задействованию в ней того или иного механизма. Надо в оценке учитывать практику применения этой системы, результаты, а ты их игнорируешь.

Я чуть иначе изъяснюсь. Пусть даже нечто и может ко мне проникнуть, за мгновение внедриться и т.д. Ну а дальше-то что? Сетевая активность этого нечто сразу же будет выявлена. Системная - тоже с высокой вероятностью.

Я исхожу из посылки, что деструктивные вирусы практически сошли на нет. Во всяком случае нет их массового распространения, как троянов etc. Если некий деструктив (как недельной давности письма) и проэпидемит Сеть, то информация распространится моментально и среди юзеров и среди вендоров обороны. А всякие трояны-логеры - ну пусть пролезут (хотя и этого не было) - я их вычислять даже не буду - сами в глаза бросятся.

И, главное. Идеальной защиты не бывает. И мы ведь меряемся не наличием-отсутствием той или иной защиты, а уровнем издержек на обеспечение некоего "нормального", т.е средне-нивелированного, общепризнанного, что ли, уровня безопасности. Разве не так?

grbdv

Цитата:

Надо ведь в комплексе оценивать систему безопасности, а не по наличию-задействованию в ней того или иного механизма.

Так ведь не получается комплекса без проактивной защиты! Можно обойтись без антивирусных баз, но какая может быть в нынешнее время защита без проактивки?!

Цитата:

Надо в оценке учитывать практику применения этой системы, результаты, а ты их игнорируешь.

Практика одного человека мало влияет на общую статистику...

Цитата:

Я исхожу из посылки, что деструктивные вирусы практически сошли на нет.

Кому они сейчас нужны (если только на заказ...) - интереснее/прибыльнее делать различные блокеры-вымогатели (вот как раз с ними справляется только проактивка).

Цитата:

Разве не так?

Вроде так...

Лично для меня HIPS (говоря про проактивную защиту я имею ввиду прежде всего HIPS) это 90% всей защиты.

Цитата:

...интереснее/прибыльнее делать различные блокеры-вымогатели (вот как раз с ними справляется только проактивка).

Я ни разу не сталкивался сам. Лечить-то много лечил людей, а вот сам - не видел :( Нужен пример. Адресочек. После расскажу, как и что у меня отработало или наоборот :)

Уменя щаз последняя 4-ка, в ней Anti-Leak выключен (галка снята), Component Control LEvel == Disabled. Из плагинов - Aattack Detection, DNS и для блезиру работает Anti-SpyWare на базах от Царя Гороха :) EAV4 - постоянно свежий.

WildGoblin 13:08 15-03-2012
Цитата:

Лично для меня HIPS (говоря про проактивную защиту я имею ввиду прежде всего HIPS) это 90% всей защиты.

Имхо, использование HIPS (и антивируса) сугубо субъективное дело. Лично я убедился, что мне ни проактивка, ни антивирус не нужны. Дискутировать на эту тему не буду, тем более, что оффтоп; большей частью у меня те же аргументы, что у grbdv.

grbdv

Цитата:

Нужен пример. Адресочек. После расскажу, как и что у меня отработало или наоборот

Свежак (отсутствующий в базах) лучше тут поискать.

addhaloka

Цитата:

Имхо, использование HIPS (и антивируса) сугубо субъективное дело. Лично я убедился, что мне ни проактивка, ни антивирус не нужны.

Некоторые у себя дома входную дверь не запирают.


Добавлено:
grbdv

Цитата:

...в ней Anti-Leak выключен (галка снята)...

IMHO правильно, что отключен - толку от такого старья нет.
Цитата:

...и для блезиру работает Anti-SpyWare на базах от Царя Гороха

Какой смысл его включенным держать?

WildGoblin
Цитата:

Свежак (отсутствующий в базах) лучше тут поискать.

Ну, ты люьезен, как обычно. Я думал, ты мне ссылку дашь, которая меня наверняка убъет. А тут я должен все бросить и вникнуть в нюансы темы, выбрать ссылку, а потом она окажется не той, которая тебя удовлетворила бы :) Давай верную ссылку, которой ты бы поверил.


Цитата:

Цитата:...и для блезиру работает Anti-SpyWare на базах от Царя Гороха
Какой смысл его включенным держать?

Для блезиру == Для проформы == Шоб було = Да просто так == По инерции
Вдруг какое старье и захватит...

angeliuzinus

Цитата:

так и должно быть ?

Дата обновленной базы сигнатур обычно отстает на 2 дня. Сегодня 15.03.2012 в 21:47 Иркутского база сигнатур от 13.03.2012. Это нормально.

grbdv

Цитата:

А тут я должен все бросить и вникнуть в нюансы темы, выбрать ссылку...

То есть мне надо самому подогнать тебе не засвеченный сайт с установленным работающим эксплоитом, эксплуатирующим одэй-уязвимость, который загрузит тебе на комп что-то хорошее и позволит этим самым оценить тебе же свою защиту?

WildGoblinДык, а нафига тогда эксперимент, если его достоверность априори будет под сомнением визави? Вот, пока писал, подогнали сылку из указанной тобой темы. Взгляни - пойдет? (В ПМ)

grbdv

Цитата:

Дык, а нафига тогда эксперимент, если его достоверность априори будет под сомнением визави?

Почему же под сомнением.
Начни с лик-тестов, которые как раз рассчитаны на пробитие проактивной защиты.

Цитата:

Взгляни - пойдет?

После того как включил ява-скрипты для того сайта, веб фильтр каспера прохрюкал на вредоносный скрипт. Нужно будет отключить всё кроме хипса и потестировать - вечером так и сделаю...

Цитата:

Начни с лик-тестов, которые как раз рассчитаны на пробитие проактивной защиты.

Не-е:) Я уже вырос из этих штанишек. Они же требую интерактивности (а я-то ведь не совсем дурной) или конфигурации, ослабленной по сравнению с моей стандартной. Раньше все проходилось на ура. Давно уже плюнул.

Цитата:

После того как включил ява-скрипты для того сайта, веб фильтр каспера прохрюкал на вредоносный скрипт. Нужно будет отключить всё кроме хипса и потестировать - вечером так и сделаю...

Я, к сожалению, раньше выходных не смогу. Поторопился. Надеюсь, ссылка не помрет до субботы. А скрипты у меня, кстати, включены всегда. Вот и понаблюдаем.

grbdv

Цитата:

А скрипты у меня, кстати, включены всегда.

Не самое верное решение (разрешать исполнение ява-скриптов для всех сайтов) с точки зрения безопасности.

WildGoblinСогласен, но 90% того, что я юзаю на повседневку требует включенных скриптов, застреливаешься включать-выключать. А почему ты уже второй раз акцентируешься именно на "ява-"? У меня даже нет выбора, в браузере просто - Allow Scripts. А там, я понимаю, хоть Java, хоть VB...

grbdv

Цитата:

Согласен, но 90% того, что я юзаю на повседневку требует включенных скриптов, застреливаешься включать-выключать.

У меня в Opera по умолчанию исполнение ява-скриптов отключено - включаю только для нужных сайтов (включить надо один раз, в настройках сайта - т.е. нет необходимости постоянно вкл/выкл).

Цитата:

А почему ты уже второй раз акцентируешься именно на "ява-"?

Разве Opera исполняет какие-то скрипты кроме java?

Цитата:

У меня даже нет выбора, в браузере просто - Allow Scripts.

В Аутпосте можно включать/отключать разные скрипты для разных сайтов - в Веб-контроле (он у меня отключен - использую другие средства).

WildGoblin
Цитата:

В Аутпосте можно включать/отключать разные скрипты для разных сайтов - в Веб-контроле (он у меня отключен - использую другие средства).

Тоже давно отключен - слишком накладно по времени и хлопотно им управлять. Средствами браузера пользуюсь на примитивном уровне. И все.

Цитата:

Разве Opera исполняет какие-то скрипты кроме java?

Я Оперу не пользую. А скриптинг что на Яве, что на ВБ реализуется. Только Ява гораздо болше распространена.

Agnitum Outpost Firewall Pro 7.5.2 и avast 6.0.1426 - не загружается система xp , это ПРИГОВОР ... ИЛИ КАК ТО МОЖНО ИХ ПОДРУЖИТЬ...

ZOOPARKIN

Цитата:

это ПРИГОВОР ... ИЛИ КАК ТО МОЖНО ИХ ПОДРУЖИТЬ...

Подружить наверное можно...
Первым делом надо внести проги в исключения - и в авасте и в аутпосте. Затем курить настройки аваста и если не поможет, то смотреть из-за чего не загружается - какие дрова конфликтуют.

..как это все сделать...не грузится система и только в безопасном режиме возможно отключить автозагрузку...а больше ничего сделать не получается...а исключения там насколько помню..это чтобы папки не сканировались...

ZOOPARKIN, держите рецепт.
СносИте "Agnitum Outpost Firewall Pro 7.5.2 и avast 6.0.1426"
Установите Agnitum Outpost Firewall Pro 7.1, на него накатите 7.5.2
А теперь можете ставить и антивирус.
Должен помочь.
А любопытно, какой чипсет на вашей материнке?

WildGoblin
Ну, сходил я по этой ссылке. До Аутпоста дело не дошло. Нод заверещал. Я выбрал вариант удалить. Нод поместил их в Карантин:

Код: 12-03-17 11:22:13 AM    Real-time file system protection    file    ..\Content.IE5\NRTZ5SHO\radio_0.1[1].js    JS/Agent.NEK trojan    deleted (after the next restart) - quarantined    ****    Event occurred on a new file created by the application: ..\Maxthon.exe.
12-03-17 11:22:09 AM    Real-time file system protection    file    ..\Content.IE5\9SN79PSA\swfobject[1].js    JS/Agent.NEK trojan    deleted (after the next restart) - quarantined    ****    Event occurred on a new file created by the application: ..\Maxthon.exe.

grbdv,здесь находится неплохой антитроян с патчем. Установите. Какое будет мнение вашей системы?
Всем остальным, не рекомендую.
Пардон, что не по теме.

ZOOPARKIN

Цитата:

..как это все сделать...не грузится система и только в безопасном режиме возможно отключить автозагрузку...а больше ничего сделать не получается..

Загрузится в флэшки и отключить нужное в автозагрузке. Наверное вам не стоит заниматься таким сложным делом. Поставьте лучше в пару к Аутпосту KAV - там проблем точно не будет и настраивать особо ничего не надо.

grbdv

Цитата:

До Аутпоста дело не дошло. Нод заверещал.

Дропер уже давно в базах так что нет смысла проверять при включенном антивире - вот если бы антивирь отключить, а проактивку включить (в твоём случае надо просто выключить антивирь и проверить каково оно без проактивки).

Цитата:

Никаких новых процессов не возникло, как и сетевой активности.

Я же говорил - у меня даже на незащищённой системе ничего не сработало.

Добавлено:
Caravelli

Цитата:

...здесь находится неплохой антитроян с патчем.

Причём тут антитроян?

Напоминаю - изначально разговор был про то, что комп без проактивки беззащитен перед угрозами отсутствующими в базах антивируса (всё это конечно обсуждалось в контексте работы антилика Аутпоста).

WildGoblin
Другими словами, ты предлагаешь выключить Нод, чтобы сэмулировать новый вирус, якобы неизвестный ему? Щаз, попробуем.

Цитата:

Другими словами, ты предлагаешь выключить Нод, чтобы сэмулировать новый вирус, якобы неизвестный ему?

Типа того.

Цитата:

Щаз, попробуем.

Надо на какой-то другой ссылке пробовать - та что ты привёл какая-то не рабочая...