Показано с 1 по 6 из 6.

Дыра в Agnitum Outpost Firewall Pro v6.5.3

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.02.2007
    Сообщений
    45
    Вес репутации
    47

    Дыра в Agnitum Outpost Firewall Pro v6.5.3

    Форумчане, обнаружил тут странное поведение сабжа.
    Проблема заключается в следующем - не контролируется загрузка драйверов программами. В настройках Локальной безопасности само собой стоит галка в пункте NT-подсистема/загрузка драйвера, но при запуске любой программы (например CPU-Z, GPU-Z и т.д.) они спокойно запускаются и работают, аутпост даже не пикает.

    Возможно причина кроется в том, что я работаю под пользовательской учеткой. Аутпост, само собой, был установлен из под админа. При этом, если запустить вышеуказанные программы под пользователем - они ругаются, что не могут загрузить драйвер - недостаточно полномочий (что разумеется логично), а при запуске из под Админа через "запустить от имени" - они запускаются и работают, но, как я уже сказал, Аутпост - ни гу-гу.

    Связался с саппортом, согласно их рекомендациям включил отладочный режим, сделал логи, выслал их и все запрошенное - в результате, после МЕСЯЧНОГО ожидания и моего вопроса "как там дела?" мне ответили, что дескать - попытки загрузки драйвера не обнаружены (читай - сам дурак).

    На мою робкую реплику что не приходит ли вам в голову, уважаемые, что механизм логирования полагается на информацию, предоставляемую ему другим модулем, который отвечает собственно за перехват "опасных" событий (в данном случае - загрузки драйвера в память). И если этот модуль глючит, то ни ядро отпоста, ни процедура логирования никаких данных и не получат?!
    В ответ - все еще тишина...

    У меня скоро лицензия на него заканчивается, вот и думаю - то ли купить еще, т.к. как файер - он меня устраивает (много лучше чем КИСа по удобству и наглядности), но с такими приколами - кто их знает что там еще криво работает?

    Если кто имеет возможность проверить - буду благодарен.
    Напомню - надо установить аутпост под админом (само собой), а потом зайти в систему под обычным пользователем и запустить какие-лиюо программы, грузящие драйвер.

    Или кто что думает по этому вопросу?

    спасибо.

    ОС: ВинХР Рус, почти последние патчи и апдейты.
    Из сторонних секурити программ стоит только КАВ 8.0.0.506 - ТОЛЬКО АНТИВИРУС, все остальные модуля (включая проактивку и прочее) даже не установленны. При том что в "доверенных" обоих программах они друг у друга прописанны.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.02.2007
    Адрес
    Минск, Беларусь
    Сообщений
    569
    Вес репутации
    563
    Вот тут посмотрите:
    http://anti-malware.ru/hips_test_ring0
    Касаемо проблемы Outpost - все дело в том, что в настройках правил у Вас разрешено services.exe грузить драйвер. Это правило предлагает создать хипс, как только какое-либо приложение пытается загрузить драйвер через SCM.
    anti-malware.ru

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.02.2007
    Сообщений
    45
    Вес репутации
    47
    Цитата Сообщение от vaber Посмотреть сообщение
    Вот тут посмотрите:
    http://anti-malware.ru/hips_test_ring0
    Касаемо проблемы Outpost - все дело в том, что в настройках правил у Вас разрешено services.exe грузить драйвер. Это правило предлагает создать хипс, как только какое-либо приложение пытается загрузить драйвер через SCM.
    Читал, много думал... спасибо за инфу.
    Кстати у меня обучающий режим никогда включен и не был, а что до service.exe - конечно ему разрешена загрузка драйверов.

    Это что ж получается, официальная дырень? И как с этим бороться - есть ли способ кроме как перейти на другой продукт?

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    419
    Цитата Сообщение от Flooter Посмотреть сообщение
    Это что ж получается, официальная дырень? И как с этим бороться - есть ли способ кроме как перейти на другой продукт?
    Советую обратиться с этим вопросом не сюда, а в официальную техподдержку вендора.
    http://www.softsphere.com - DefenseWall, DefencePlus

  6. #5
    Full Member Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.11.2007
    Сообщений
    115
    Вес репутации
    41
    В версии 6.5.4 воспроизводится?

  7. #6
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.02.2007
    Сообщений
    45
    Вес репутации
    47
    Цитата Сообщение от OSSP2008 Посмотреть сообщение
    В версии 6.5.4 воспроизводится?
    Еще как!
    Счас убрал у servce.exe разрешение на загрузку драйвера - действительно, при запуске CPU-Z аутпост вывалил запрос на загрузку драйвера от имени servce.exe.

    Счас боюсь перезагружаться, т.к. наверное задолбаюсь "да" нажимать...

    PS: Кстати автоматом система не обновилась с версии 6.5.3 до 6.5.4 - "все модули последние", мля...
    Меня все больше и больше интерес разбирает - ЧТО ЕЩЕ там так же через ЖО работает?

Похожие темы

  1. Agnitum Outpost Firewall
    От Geser в разделе Межсетевые экраны (firewall)
    Ответов: 242
    Последнее сообщение: 15.05.2010, 15:51
  2. В Agnitum Outpost v2-3 кажется найдена дыра
    От orvman в разделе Межсетевые экраны (firewall)
    Ответов: 29
    Последнее сообщение: 18.12.2005, 20:18
  3. Agnitum Outpost Firewall Pro 3.0.543.431
    От SDA в разделе Софт - общий
    Ответов: 7
    Последнее сообщение: 26.11.2005, 19:33
  4. Agnitum Outpost Firewall PRO 2.6.451.402
    От egik в разделе Межсетевые экраны (firewall)
    Ответов: 23
    Последнее сообщение: 11.07.2005, 22:00
  5. Agnitum Outpost Firewall 2.1
    От Geser в разделе Межсетевые экраны (firewall)
    Ответов: 4
    Последнее сообщение: 21.09.2004, 20:12

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00222 seconds with 16 queries