Feltettem a McAfee Host Intrusion Prevention Client 7.0-át (állítólag sok díjat nyert alkalmazás), tökéletesen beépül a VirusScan Enterprise-be, egyébként egyre elégedettebb vagyok a MVE-al, most is megfogott egy csomó kártevőt. De jó, már van egy tökéletes HIPS-em.

Tudnál segíteni?

Az a problémám, hogy mióta feltettem a McAfee Host Intrusion Prevention Client 7-et, nem működik a VirusScanban Buffer Overflow Protection. Lehet hogy átvette ez a HIPS a Buffer Overflow irányítását? Utána tudnál nézni? Lécci! Lécci! Nagyon szépen megkérlek nézz utána.

A lap alja fele jobb szelen, leirtak alapjan valoszinuleg ez tortent. Foleg mivel ennek a figyelese a HIPS dolga lenne.

SCJP 6

Azt írja (ha jó a NeuroTran 2007 szövegfordító szoftver) védelem a támadásból eredő Buffer Overflow végrehajtás, nem értem, lefordítanád?

Amúgy mi a véleményed erről a HIPS-ről?

Amúgy itt írnak róla: [link]

Most milyen tűzfalat használsz?

I put a joke into the joke so you can laugh while you laugh,

Buffer-overflow exploit prevention—Patented McAfee
Host IPS technology prevents code execution resulting
from buffer-overflow attacks, one of the most common
methods of attacking servers and desktops.

Bufer tulkcsurdulas exploit vedelem -- A szabadalmaztatott McAfee
HIPS technlologia megakadalyoza a buffer tulcsurdulasbol, ez az egyik leggyakorabban alkalmazott tamadasi forma serverek es asztali gepek ellen, eredo kod futatast.

-----

Tenylegesen meg nem volt vele dolgom, az IS 2006 vagyis a 8as valtozat nem szerepelt tul jol a matousec fele lekatesteken. Viszont a nalad fentlevo megoldas valalatok szamara keszult igy lehet, hogy az jobb munkat vegez. Termeszetesen vallatok szamara mas vedelem kell, mint egy sima egyedul allo gep eseteben. Ha ugy erzed, hogy rendesen mukodik es meg vagy elegedve vele akkor ne csereld le. Tokeletes vedelmet ugy sem fog tudni egyiksem nyujtani.

SCJP 6

Ennek a HIPS-nek a tűzfalát. Próbáltam telepítenia McAfee Firewall Corporate Edition 8.5-öt de azt írta hogy már fut egy tűzfal és nem telepíthető.

Tetszik hogy a tűzfal része abszolút nem kérdezősködik, mindent automatán intéz.

h_143570 a nod32 proxy-s dolgát csak úgy tudtad megoldani, hogy kilőtted a webes forgalom figyelését?

I put a joke into the joke so you can laugh while you laugh,

Igen, de nemreg kijott egy uj valtozatt, igy megprobalom azzal is, hatha javitottak. A rendszeren eddig OFP2008 volt fen, de a biztonsag kedvert megnezem Comodo 3al is.

SCJP 6

Igy visszont fogalmad sincs, hogy mit csinal pontosan.

SCJP 6

Tudtommal nem javították ki. Itt a changelog:
Changes in version 3.0.621:
Firewall
* Fixed synchronization through ActiveSync while firewall is in Automatic Mode
* Fixed Incorrect IP Packet checksum issue
* Fixed issue with creating duplicate rules
Outlook/Outlook Express/Windows Mail
* Improved general performance by several optimisations
* Interactive Toolbar (turn off icons/text, large icons)
* Possibility to rescan selected/unscanned/all messages in folder for viruses and spam
* Possibility to add Names instead of e-mails to blacklist
* Possibility to turn off ESET toolbar in OE/WM
* Added Alt+S shortcut to mark message as spam
GUI
* Extended options available from system tray menu
* Fixed delays when creating exclusions
* Export logs into XML or TXT
* Fixed problem of multiple threat notifications
* Fixed problems saving changes of some settings
* Fixed several minor bugs related to GUI
Installer
* Detection of security products known to cause compatibility issues

Meg úgy tudom, hogy ez tudatos volt a programozók részéről.
De azért megnézheted.

Comodo-val is ugyan ez a helyzet sajnos. Nem képes proxy-t szűrni az sem. Most per pill nekem is ki van lőve a web traffic figyelése nod32-ben.

[ Szerkesztve ]

I put a joke into the joke so you can laugh while you laugh,

Akkor ugytunik, hogy ez az eset reszerol egy tervezesi hiba. A changelogoknak nem mindig lehet hinni, de a cfosspeed kapcsolat figyeloje sajnos megerositeni latszik, hogy tovabbra is ez a helyzett. Lehet, hogy irni kene a supportnak. visszont, ha ez szandekos akkor igy az osszes tuzfallal inkompatibilise valtak.

SCJP 6

Elvileg van zűzfal, ami megbirkózik vele. Valamelyik fórumon olvastam. De ott sem tudtak konkrét nevet adni, mert csak egy moditól idéztek a wilders-en.

I put a joke into the joke so you can laugh while you laugh,

Na, ezaz! Voltam olyan hülye, hogy egy ismeretlen crack fájlt megnyitottam csak úgy.
Na és mi a fura? Hogy azt a fájlt, amit letöltöttem felismeri kedves Kaspersky barátunk, viszont amiket ez a szemét felrakott a gépre, azt az istennek sem. Nod online scanner sem. Nagyon új lehet még
Na Virustotal vizsgálat eredmény: Avast, Microsoft (!!!...???), Webwasher és Avira sikeresen felismeri. Na most megnézem, van-e valamelyiknek online scannerja, nincs kedvem rakosgatni. Most próbálok Kasperskynek elküldeni egy fájlt

[ Szerkesztve ]

Cogito ergo sum

Nem értem, hogy hogy függ össze a hsz-od az enyémmel.

I put a joke into the joke so you can laugh while you laugh,

hát... sehogy Bocs, valszínű mellékettintottam.
Nem találom sehol sem az aktiváló kódot, sem a kulcsot. Nem tudok regelni, és így nem tusdom elküldeni a fájlt Kasperksyéknek. Vagy ha simán elküldöm Citromaillel, úgy is jó?

Cogito ergo sum

Ez erdekes akkor van az ESS-en kivul olyan amelyik elboldogul, jo lenne megtudni, hogy melyik az. Foleg azert mert akkor kiderulne, hogy kit kellene piszkalni a javitas maitt.

SCJP 6

A virustotal automatikusan elkuldi minden gyartonak, ha legalabb az egyik talal benne kartevot. Egy miset a citromailes megoldas is meger.

SCJP 6

Tehát ha simán feltöltök egy fájlt, és azt egy vagy több irtó vírusosnak találja, akkor automatice küld egy üzenetet az összes cégnek? Ez jó. Addig karanétnba rakom a sztem vírusos fájlokat, addig se csinálnak semmit (mondjuk eddig "csak" a feladatkezelőt tiltotta le nekem)...
Lehet Citromaillel is elküldöm őket, hátha érek vele vmit

Cogito ergo sum

Ha levélben küldöd, akkor érdemes a fájlt betömöríteni zip-be, majd lejelszavazni, és a jelszót mellékelni az e-mail-ben. Meg a biztonság kedvéért írd oda, hogy milyen fájlokat csatoltál, nehogy félreértés legyen belőle kaszperszkiéknél.

I put a joke into the joke so you can laugh while you laugh,

Érdekes, egy másik fájlt meg csak a Microsoft talál vírusosnak. Egyre jobb...

Cogito ergo sum

Itt van egy COMODO-s fórum a dologról. Itt írják a Look'n'Stop-ot, de nem tudják biztosra, hogy az megy-e proxy-val.

És itt a wilders-es diskurzus, most próbálom magam átrágni rajta.

I put a joke into the joke so you can laugh while you laugh,

A Comodo forumaban lehet, hogy van egy megoldas. Megtudnad nezni, hogy nalad mukodik-e ha igen akkor hozalatok az atalakitasnak es irok meg egy hibajelentest az Outpost fele. Elore is koszi es kellemes unnepeket neked es minden kedves forum tarsnak.

Update to the latest version of Comodo Firewall and Enable this feature:
Firewall -> advanced -> Firewall Behavior Settings -> Alert Settings -> Enable alerts for loopback requests

[ Szerkesztve ]

SCJP 6

Nah az új verziónál nem is vettem észre ezt a loopback requests jelölőnégyzetet, bár nem is tudom mit csinál.

Nah szóval loopback requests bekapcsolva:
-Ha a NOD32 Web Browsers opciójában a firefox elé teszek pipát, akkor az ugyan úgy ekrn.exe-n keresztül szaladgál.
-Ha nincs pipa előtte, akkor tűzfal rendesen látja a firefox által kezdeményezett adatforgalmat.

I put a joke into the joke so you can laugh while you laugh,

Megneztem, de sajnos az a beallitas sem segitett. Na akkor vissza fat dissziteni.

SCJP 6

Helyesbitenek ugytunik, hogy mukodik, akkor OFP2008 atmenetileg nyugdijazva.

SCJP 6

ha elküldöd a kasperskynek, valószínűleg nagyon hamar megjelenik a definíciót tartalmazó frissítés, egyszer éjjel 3-ig kínlódtam egy vírussal, a nagy részét kiírtottam, de még maradt 1-2 file, amit nem lehetett leállítani, így törölni sem, azokat elküldtem a kasperskynek, 3 óra múlva jött a válasz, és amikor felkeltem, a frissítésben benne volt.
az ef process manager egyébként gyakran jól jön ilyen esetben(pláne, ha a task managernek már lőttek)

úgy tervezték, hogy kibirjon egy atomtámadást is. De nekünk komolyabb fegyvereink vannak, mint pl Béla bá, a földmunkagépkezelő

Neked is csak úgy működik, ha a nod32-ben nem pipálod ki a böngészőket a web browsers menüben?

I put a joke into the joke so you can laugh while you laugh,

igen csak pipak nelkul, de igy is vedenie kellene.

SCJP 6

Redben, nekem is így van.

Kipróbáltam, hogy a web browsers beállításban ki van pipálva a firefox, majd így ellátogattam egy oldalra, ahol (elvileg) egy szkript vírus akar letöltődni. Nod32 riasztott rá, és forrásként az vírus url-jétjelölte meg.

Majd kivettem a pipát a firefox elől, és így látogattam meg megint az oldalt. Szintén riasztás, viszont forrás hely a róka Cache mappája.

Tehát véd a fájlrendszer védelem, csak nincs http filtering. Részemről megfelel ez a beállítás.

[ Szerkesztve ]

I put a joke into the joke so you can laugh while you laugh,

Meg az lenne erdekes, hogy mi a helyzett Vista alatt. Illetve remelhetoleg alkalmazkodnak egymashoz.

SCJP 6

Vistában mi különbség?

I put a joke into the joke so you can laugh while you laugh,

Ujra irtak az egesz halozati stacket, a pontos reszleteket nem ismerem, de lehet, hogy ot mar rendesen mukodne.

SCJP 6

Olvasgattam a különféle szakmai fórumokat és azt írják idézem:

A mérnök srácok általános véleménye a biztonsági szoftverekkel kapcsolatban az volt, hogy inkább McAfee, mint Symantec. Tisztán szakmai szempontból...

Csak nem lehet rossz vírusirtó a McAfee ha ennyien dícsérik, bár szerintem a SEP sem rossz.

Miért nem használsz ESET Smart Securityt? Elfogadja a NOD32-hez tartozó felhasználónevet és jelszót és akkor mehet a webforgalom figyelése funkció is.

Belinkelnéd ezt a vírusos oldalt? Szeretném a McAfee-t letesztelni.

Szerinted elég a következő védelem a kártevők ellen?

1. McAfee VirusScan Enterprise 8.5i. 2. McAfee Antispyware Enterprise Module 8.5. 3. McAfee Host Intrusion Prevention Client 7. 4. Spy Emergency 2007. 5. Easy SpyRemover. 6. Spybot + Spyware Terminator (mindkettőnek ki van kapcsolva valós idejű védelme, immunizálásra használom és időnként lefuttatom őket) 7. Router tűzfal.

Remélem jól döntöttem a McAfee mellett...

Lehet, de a HIPS reszeben nem sok bizadalmam van, azonkivul az alternativ bongeszok eleg szepen feltapolhatoak webes tamadasok ellen.

SCJP 6

Az mitől van, ha meglátogatok néhány húzós oldalt kiírja a McAfee a detected mezőben hogy hány kártevővel találkozott, de nem irtja őket, legalábbis a cleaned és a deleted mező üres. Ez azt jelenti hogy blokkolta őket, de mivel a weboldalakba van ágyazva a kártevő (nincs írási jogosultságom a weboldalon) írtani nem tudta?

Nem rossz ez a megoldas sem, persze ez sem bomba biztos. Persze bomba biztos megoldas ugy sincsen.

SCJP 6

Csak érdekességként írom, a biztonsági központ Comodo Firewall Pro néven ismeri fel ezt a HIPS-et.

A web oldalakba agyazott dragasagokat csak blokolni lehet, irtani nem. Sot ami megjobb, hogy rendszerint nem a kerdeses weboldalon vannak, hanem valamelyik dinmaikus tartalmat szolgalatot hater szerveren, igy kliens oldalon maximum cska blokolhatoak.

SCJP 6

Hát én megnyitottam a katz.cd-t, és a phazeddl.com-ot és talált vagy 12 kártevőt. Mindig ez van ha ezeket az oldalakat nyitom meg, nem is gondoltam volna hogy ilyen sok malware van ezeken az oldalakon...

Engem az idegesít, hogy a McAfee csak 93.15 %-ot szerzett az AV Comparatives legutóbbi on-demand tesztjén. Ez nagyon nagyon kevés. A Symantec 98.80 %-ot szerzett..., lehet hogy visszarakom a SEP-et. Teljesen tanácstalan vagyok. Másrészről a McAfee hagyományosan nagyon jól teljesít a VB tesztjén, ahol legutóbb olyan nagy nevek mint a Kaspersky, elbuktak. Komolyan nem tudom mi legyen..

Főként a backdoors (trójaiak) felismerése terén gyengélkedik ezen a teszten.

87% felett mar minden nagyon jo erededmeny az AV-Comperatives as az AV-Test.org os tesztek eseteben. A VB elbukasa par alaklommal nem gond, az visszont igen ha egymasutan tobbszor bukik a termek. A VB minimalis irany mutato manapsag, a zoo mintasak mar fontosabbak. Ugytunik, hogy az on-access teztek ujra eloterbe kerulnek az on-demand mellet.

SCJP 6

Na, egyelőre Virustotal szerint csak Avira imseri fel az általam találtak mindegyikét, úgyhogy most az települ fel, hátha sikerül kiírtanom mindet... zavar, h le van tiltva a feladatkezelőm.

Ami a teszteket illeti, szerintem 90% fölött már minden jó eredmény, meg most amit az egyik nem ismer fel, azt majd felismeri másik. És lehet, h ami jobb eredményt ért el, azt nem ismeri pont fel, amit a másik, amely kevesebbet gyűjtött, igen. Én példám épp a mostnai: alig van ami felismerné ezt a hülyeséget, ami a gépemre felmászott (bár szerencsére egyre több, de pölö Symantech ha jól emléxem még most se)

Cogito ergo sum