» Jetico Personal Firewall

Victor_VG
Из шапки, думаю, пока не надо ссылки убирать на v.1, хотелось бы верить, что они не пойдут на такое кощунство .
HarDDroN

Цитата:

Может подскажете как сделать "stealthed" ?

Я выше написал, беты не ставлю и честно говоря представления не имею, какие нововведения там сделали. Опять же только предположения. Для начала проверь не добавили ли по умолчанию в IP Table ответы на пинг, если есть [more=подобные]
Событие: Исходящий пакет
Протокол: ICMP
Тип/код ICMP: 0

Событие: Входящий пакет
Протокол: ICMP
Тип/код ICMP: 8

Не ошибись, только именно эти.[/more] правила отключи, если не нужны. И второе: действие на полученный пакет. Ну в данном случае нас интересуют, два действия: Drop (пакет просто сбрасывается, но могут быть кое-какие негативные последствия) или Reject (тут, уже выдается сообщение об ошибке на хост, передавший пакет), так вот если применяется Reject, от ответа зависит как определится состояние твоего порта. Это вкратце, если интересно подробнее, то куда то сюда. Собственно если они изменили что то в этой обработке, то тут врядли что то сделаешь, только писать им. Но для начала проверь первый вариант, что я написал с ICMP.

Dimitr1s
в IP Tables ничего такого нет, я сначала увидел ответ на ICMP пинг и удалил
вообщем, ничего такого в IP tables нету (
ээх, придётся возвращаться к комоду!

Добавлено:

Цитата:

NiBbLe
Помнится кто-то мечтал, об всплывающем окне, как у Оутпоста - набросал на досуге.
Брать здесь.
Тестовая версия - может, кто свой вариант напишет.
ПисАл для Джетики 2.

ни у кого этого нету, а то ссылка битая
P.S.:Dimitr1s
у вас на этих тестах всё stealthed?

HarDDroN

Цитата:

ээх, придётся возвращаться к комоду!

Цитата:

у вас на этих тестах всё stealthed?

Я уже сомневаюсь, про какую версию сейчас идёт речь?
Я использую последнюю, стабильную версию 2.0.2.9, ни каких проблем ни с невидимостью, ни вообще каких-либо других проблем нет, на этом тесте в том числе:

Trojans Test
Advanced Port Scanner

Dimitr1s
ок перехожу на 2.0.2.9, а у вас нету
Цитата:

NiBbLe
Помнится кто-то мечтал, об всплывающем окне, как у Оутпоста - набросал на досуге.
Брать здесь.
Тестовая версия - может, кто свой вариант напишет.
ПисАл для Джетики 2.

у вас этой проги нету? (jpf2 attack reminder?

HarDDroN

Цитата:

у вас этой проги нету?

Представления не имею что это и к чему, об всплывающем окне, как у Оутпоста никогда не мечтал.
После установки разных "прог" из сети, функционал которых тебе не понятен, потом не удивляйся, если как минимум поимеешь проблемы с прогами установленными.

Цитата:

Ты забыл добавить самое важное: любому доверенному процессу, т.е. такому в котором ты уверен, что он не содержит вредоносный код.

ну скажем так.. я даже микрософту не доверяю на 100% :) однако для того чтобы система работала, доверять приходится.

Цитата:

Далее запускается процесс вредоносный имеющий в коде вызов сетевых функций (с целью передать собранную у тебя инфу) и написан он так, что бы отработать помощью/через SERVICES.EXE, по совпадению через те же некоторые функции которые мы разрешили в предыдущем случае для легитимного процесса. Далее произойдёт что: вредоносный процесс должен бы отработать через уже разрешённые для исполнения функции в process attack для SERVICES.EXE, но так как в коде есть вызов сетевых функций сработает indirect access и ты получишь запрос.

если следовать логике, на попытку использования services.exe вредоносным процессом должен среагировать process attack.

Цитата:

Абсолютно вменяемый. На самом деле так оно и есть.

не верю. из всех виденных мной хипсов такой паранойей страдает только жетика.

Цитата:

Во первых: эта таблица в первую очередь информативная, по большому счёту тут ни запрещать, ни разрешать ничего не надо. А свою задачу подсчёта хэша выполняет исправно.

тогда зачем это нужно? лучше бы вообще не делали, меньше багов было бы

Цитата:

Во вторых: по поводу предложения авто-обновления хэша уже существующего

не авто обновления, а так как это сделано в том же оутпосте или кисе. при изменении файла выдается запрос не о том, что "такой то процесс с таким то хешем", а о том, что "у такого то процесса поменялся хеш с такого то на такой. [разрешить и обновить хеш \ убить процесс]"

Цитата:

Ты скорее всего придёшь к выводу, что доверять можно только программе имеющей цифровую подпись

доверять можно себе. если я не изменял и не обновлял такой то ехе, а он изменился, то понятно что.

Dimitr1s
Это прога, она делает следующее:
при обнаружении атаки всплывает окошко с подробностями атаки (нечто подобное есть в Outpost) Я её не могу найти, её написал NiBbLe (он здесь зареган), написана специально под джетику вторую
Кстати, я поставил версию 2.0.2.9 - результаты сменились на stealthed!!! и рожицы стали зелёными!!

Добавлено:
кстати, в IP Tables нашел следующее:
1.разрешить    Разрешить ICMP Ping    ICMP    входящий пакет    Тип ICMP пакета: 0    
2.разрешить Разрешить ICMP Ping     ICMP исходящий пакет     Тип ICMP пакета: 8        
это нужно удалять?

tahomavlz

Цитата:

если следовать логике, на попытку использования services.exe вредоносным процессом должен среагировать process attack.

Уже описал выше и описано по твоей ссылке.
Цитата:

не верю.

Возьми отладчик и проверь.
Цитата:

тогда зачем это нужно?

Описал выше, описано в справке, обсуждалось не раз.
Цитата:

лучше бы вообще не делали, меньше багов было бы

Что не делали? Подсчёт хеша исполняемых файлов? Серьёзно?
Цитата:

а так как это сделано в том же оутпосте или кисе. при изменении файла выдается запрос не о том, что "такой то процесс с таким то хешем", а о том, что "у такого то процесса поменялся хеш с такого то на такой.

КИС и оутпост считают хэш процесса? Интересно как это реализовано и как это вообще возможно. То что процессы имеют различные идентификаторы с которыми оперируют подобные программы ясно, но пытаться вычислить хэш процесса (т.е. величину постоянно изменяемую) и ещё сообщать об этом, по моему что то новое. Скрин можно?
Цитата:

доверять можно себе. если я не изменял и не обновлял такой то ехе, а он изменился, то понятно что.

Исполняемый файл, может иметь расширение не только .ехе. Уже писал, но поясню ещё раз, при изменении хэша, установить доподлинно тот ли это файл за который он себя выдаёт можно только если файл имеет электронную цифровую подпись которую защитная программа имеет возможность сверить с базой данных, так вот, что бы не вводить в заблуждение пользователей в Джетике реализовано, что при не совпадении SHA-1 файл считается как новый и пользователь мог сделать выбор сам. Если не ясно поясню дополнительно, если злонамеренно был подменён исполняемый файл firefox.exe, Джетика не будет "кричать" что у исполняемого файла программы Firefox изменилась контрольная сумма, хотите заменить. Так как, по мнению авторов, большинство увидев знакомое название программы нажмут "да". Подобное объяснение когда то прочитал на оф. форуме и в принципе согласен, что так правильнее. А как не захламлять таблицы, много раз писали.

HarDDroN

Цитата:

кстати, в IP Tables нашел следующее:

Не надо удалять, это входящий эхо-ответ (Echo Reply) на твой же эхо-запрос (Echo Request).
Только почему два раза, два правила одинаковые или из лога взял?

Цитата:

Если не ясно поясню дополнительно, если злонамеренно был подменён исполняемый файл firefox.exe, Джетика не будет "кричать" что у исполняемого файла программы Firefox изменилась контрольная сумма, хотите заменить. Так как, по мнению авторов, большинство увидев знакомое название программы нажмут "да".

А то, что выдаётся сообщение о новой программе, большинство точно так же не нажмут "да", увидев знакомое название программы? Что-то я не пойму, в чём принципиальное отличие, если Джетика кричала бы о новой программе или об изменённой программе… Что так, что эдак невнимательный пользователь нажмёт "да", а внимательный будет думать, с чего файл поменялся. Только в первом случае таблица захламляется кучей записей, а во втором — нет.

CaptainFlint
все так, но это не повод, чтобы ничего не делать, потому как Jetic'а здесь не при чем, человеческий фактор всегда был, есть и будет... есть.

CaptainFlint

Цитата:

Что-то я не пойму, в чём принципиальное отличие, если Джетика кричала бы о новой программе или об изменённой программе…

Разница есть и очень большая: сообщить пользователю о том что изменился исполняемый файл известной ему программы (хотя на самом деле, может быть совсем не так) - то есть возможно ввести в заблуждение, соврать. Другое дело сообщить, что стартует новое приложение.
Цитата:

Только в первом случае таблица захламляется кучей записей, а во втором — нет.

Как информация к размышлению: у пользователя Оутпост, навскидку было за сотню правил для svchost.exe и примерно столько же для IE. Он удалил стандартные правила и создавал на каждый запрос (по разным портам и адресам) новые. Попытки убедить, что как бы неправильно это, встречены были очень агрессивно.

Dimitr1s

Цитата:

Разница есть и очень большая: сообщить пользователю о том что изменился исполняемый файл известной ему программы (хотя на самом деле, может быть совсем не так) - то есть возможно ввести в заблуждение, соврать. Другое дело сообщить, что стартует новое приложение.

Прошу прощения, но я не понял этого ответа. Приведу простой пример: был файл C:\Program Files\Firefox\firefox.exe с определённой хэш-суммой, в таблице Application checksum для него были прописаны соответствующие правила. Теперь этот файл изменился по какой-то причине: то обновилась версия, то ли зловред влез и чего-нибудь зловредного туда воткнул, то ли вирус полностью удалил firefox.exe и вместо него подсунул свою копию. Неважно, в любом случае мы запускаем FF, Джетика обнаруживает изменённую чексумму. Теперь два варианта поведения:
1 (текущий вариант): выдаётся окошко, что запущено новое, ранее не встречавшееся приложение с таким-то путём и такой-то чексуммой — разрешить или запретить (возможно, запомнив в таблице)?
2 (обсуждаемый вариант): выдаётся окошко, что у известного Джетике приложения вдруг поменялась чексумма — разрешить (обновив запись в таблице) или запретить доступ?

Так вот, я никак не возьму в толк, чем второй вариант хуже первого? Уж если пользователь включил проверку чексумм, то факт изменения исполняемого файла в любом случае привлечёт его внимание. С какой радости он должен тыкать "да" только из-за того, что это якобы тот же самый firefox.exe? Раз чексумма поменялась, это однозначно другой файл, и любой разумный человек это понимает. Собственно, фиг с ней с формулировкой, пусть даже Джетика выдаёт точно такое же сообщение, как сейчас: дескать, запустилось новое приложение, но пусть при сохранении не добавляет новую запись, а обновляет существующую. Чем был бы плох такой вариант?


kil0byte

Цитата:

все так, но это не повод, чтобы ничего не делать, потому как Jetic'а здесь не при чем, человеческий фактор всегда был, есть и будет... есть.

Эм… я немножко о другом спрашивал. Не о том, как можно избежать человеческого фактора, а о том, каким образом человеческий фактор повлиял на выбор разработчиков в реализации обсуждаемой фичи именно так, а не иначе.

CaptainFlint

Цитата:

Так вот, я никак не возьму в толк, чем второй вариант хуже первого?

Идеологически, первый вариант честен, второй, чистой воды ложь.
Я прокомментирую Ваши варианты:

Цитата:

1 (текущий вариант): выдаётся окошко, что запущено новое, ранее не встречавшееся приложение с таким-то путём и такой-то чексуммой — разрешить или запретить (возможно, запомнив в таблице)?

Запускается файл, хэш которого не совпадает, ни с одним из известных, имеющихся в базе Джетики т.к. установить принадлежность файла технически не возможно.
Цитата:

2 (обсуждаемый вариант): выдаётся окошко, что у известного Джетике приложения вдруг поменялась чексумма — разрешить (обновив запись в таблице) или запретить доступ?

Запускается файл известного приложения, хэш которого изменился (хотя на самом деле, технически, принадлежность файла к этому приложению, установить невозможно и вероятно файл не имеет ни какого отношение к этому приложению).


Цитата:

Приведу простой пример: был файл C:\Program Files\Firefox\firefox.exe с определённой хэш-суммой, в таблице Application checksum для него были прописаны соответствующие правила. Теперь этот файл изменился по какой-то причине: то обновилась версия, то ли зловред влез и чего-нибудь зловредного туда воткнул, то ли вирус полностью удалил firefox.exe и вместо него подсунул свою копию.

Вот именно, Вам сообщается, что файл известного приложения изменился, хотя на самом деле, не изменился, а возможно это совсем другой файл и к известному приложению отношения не имеет. Как пример если я распакую файл TOTALCMD.EXE, или заменю иконки в WinRAR.exe на свои, то вот это и было бы изменение файла известного приложения. Но установить правильно, это технически не возможно, так как и в случае если бы я заменил TOTALCMD.EXE на зловредный, не имеющий отношения к тоталу файл, одинаково Вы получите лживое сообщение.
Вот с ЦП другой вопрос, если TOTALCMD.EXE подписанный доверенной цифровой подписью, имеющейся в базе Джетики был заменён файлом TOTALCMD.EXE опять же с ЦП которую удалось проверить по базе, вот в этом (и только в этом) случае можно рапортовать об изменении файла известного приложения. Так что Джетика в нынешней реализации выдаёт честные запросы, в этом собственно и спор.

Dimitr1s
то есть Вы хотите сказать, что Jetic'а совершает ту же самую операцию, по идентификации довренного приложения, только вместо, стандартного во многих программах, хэширования, использует систему доверенных цифровых подписей?

И еще, поясните, что Вы имеете ввиду, говоря, что "правильно установить изменение файла известного приложения технически не возможно", а то я что-то не возьму в толк.

Цитата:

Уже описал выше и описано по твоей ссылке.

по моей ссылке описано что это и как оно работает, но не описано почему сделано именно так и никак иначе. по идее, process attack должен отлавливать все потенциально вредоносные действия. а indirect access - следствие того что эти действия были разрешены. или я чего то не понимаю?


Цитата:

Идеологически, первый вариант честен, второй, чистой воды ложь.

практически, первый вариант легко запутает юзера, второй нет. вот например я, запрос о "новом файле" разрешу не задумываясь, если имя файла не какое нибудь подозрительное. а при запросе о "измененном файле" подумаю, почему он мог измениться. и если не придумаю ничего хорошего - в топку.

Цитата:

Запускается файл, хэш которого не совпадает, ни с одним из известных, имеющихся в базе Джетики т.к. установить принадлежность файла технически не возможно.

принадлежность - его путь. правило создается для пути. юзеру показывается путь, а не название приложения. 2 разных приложения не будут находиться на одном пути => либо апдейт, либо вредонос.

Цитата:

Только почему два раза, два правила одинаковые или из лога взял?

поправил в предыдущем моём посте, просто второе не скопировалось

Dimitr1s
Что ж, спасибо за разъяснение. Совершенно не согласен с такой трактовкой, но, по крайней мере, я её хотя бы понял наконец-то. Комментировать не буду, tahomavlz это уже сделал (я собирался написать фактически точно то же, что и он).

Остался ещё один вопрос: чем всё-таки плох вариант, когда Джетика говорит, что приложение новое, при этом обновляя существующую чексумму? Всё-таки если человек согласился разрешить работу приложения, значит он сам своей рукой удостоверяет безо всяких подписей, что таки да, это именно то самое приложение, просто с обновившимся файлом, а никак не некая новая неизвестная зловредная программа. Так почему бы в этом конкретном случае не обновить запись этого же самого обновившегося приложения в базе вместо добавления нового? Ведь, если так рассуждать, то тут как раз и получается ложь: человек (царь и владыка на своём компе) чётко сказал: это — то же самое приложение! А Джетика берёт и своевольно добавляет его как новое.

kil0byte
1. Пока нет, к счастью. 2. Если я в ресурсах файла изменю атрибуты и значок и стану выдавать за другую программу, в свойствах и при запуске будет виден значок и название той программы. Узнать что это не так можно или изучив код, или запустив. Если же изменить хоть один байт в файле имеющим цифровую подпись, цифровая подпись теряется, на основании только этого, можно сделать вывод что программа не та за которую себя выдаёт, независимо какой значок и что написано в свойствах.
tahomavlz

Цитата:

process attack должен отлавливать все потенциально вредоносные действия. а indirect access - следствие того что эти действия были разрешены. или я чего то не понимаю?

Если код одной из взаимодействующих программ содержит вызов сетевых функций, приложения дополнительно обрабатываются в таблице indirect access, а так как большинство программ (почему некоторые не могут напрямую отфильтроваться, причин может быть масса описывать не буду, учи сам) работают вызывая через ядро функции других программ, для которых в таблице process attack уже были созданы разрешающие правила, может произойти утечка, для этих случаев, как дополнительная защита выступит indirect access.
tahomavlz
CaptainFlint
Вопрос не в том как кому удобнее (сколько пользователей столько может быть и вариантов, мне существующий кажется самым удобным, вам нет) и как какой из вариантов может ввести в заблуждение отдельно взятого юзверя, а в том как правильно, отобразить запрос, на запуск файла, хеш которого не совпадает ни с одним имеющимся в базе. Почему нынешний вариант мне кажется правильным во всех отношениях, я попытался изложить.
CaptainFlint

Цитата:

Остался ещё один вопрос: чем всё-таки плох вариант, когда Джетика говорит, что приложение новое, при этом обновляя существующую чексумму?

Но это уже совсем не логично получается.
Цитата:

Всё-таки если человек согласился разрешить работу приложения, значит он сам своей рукой удостоверяет безо всяких подписей, что таки да, это именно то самое приложение, просто с обновившимся файлом, а никак не некая новая неизвестная зловредная программа. Так почему бы в этом конкретном случае не обновить запись этого же самого обновившегося приложения в базе вместо добавления нового?

На самом деле, прекрасно понятен вопрос спора между существующей реализацией и сторонников иной, более упрощённой, автоматизированной. Суть которого: неважно что там будет написано и как правильней, как безопасней - лишь бы не нажимать много кнопок, но, опять же согласитесь, в конечном итоге он ведёт к той самой, заветной, одной_большой_кнопке, нажав на которую получаешь "полную защиту" (как не поверить если известный бренд гарантирует) и при этом не вдаваясь не в какие подробности. Я спорить не буду о невозможности такой реализации в принципе. Вопрос в другом, зачем пытаться уговаривать разработчиков делать ещё одну поделку_комбайн, их и так сейчас сколько угодно много, на любой вкус. То, о чём здесь спор, реализовано во многих продуктах, а куда деваться тем кто не хочет ничего лишнего и кого не пугает лишний раз удалить правило или нажать кнопку в обмен на почти полную прозрачность происходящего и приемлемую надёжность и стабильность, тем более вот оно, подобное, уже существует. Тем более хотелось бы, что бы доделали более важные вещи: Нормальный контроль записи в реестр, а не то как сейчас реализовано, Изменение важного объекта системы, неплохая задумка, но пока в зачаточном состоянии пока, да много чего ещё.

Dimitr1s
то есть дело в несовершенстве технологии хэширования перед сертификацией?

2 All
Я вот сейчас не могу выбрать COMODO или Jetico? Какой из них лучше? Для меня в джетике сложно только правила для пакетов писать, а остальное не проблема. Комодо лучше или джетика? По ликтестам полюбасу комодо, но для меня это не главное.

HarDDroN
Вот мне например с практической точки зрения больше Jetico нравится. Можно организовать структуру таблиц как тебе угодно, правила для программ сохраняются в отведенные специально для них таблицы, все четко по полочкам разложено, красота. Как бы ни говорили о сложности перехода на Jetico с других продуктов, лично для меня это кажется самой удобной и наглядной. Попробовал совсем недавно Online Armor, как бы хорош он не был, но он и в браузер залезет, удалит чета со страницы (у меня в Firefox и так есть кому страницы портить ), еще куда-нибудь, правила для приложений и процессов все в кучу свалены в одной таблице. Правда очень понравилось, что можно поставить на винду не "свежую", там где софта уже много стоит - при установке можно создать правила. Вот бы в Jetico такую опцию, ну или хотя бы чтобы при первом запуске стартовала в режиме "разрешить все". А то поставил на такую машину и на старте глухой подвисон. Comodo как-то тоже у меня и пару дней не продержался, да и тежелее он в последнее время становится, в интерфейсе всяких рюшечек подобовляли, тормоза лишние, особенно на старой моей машине, как там счас не знаю. ИМХО, в таком виде организация управления все на компе мне очень удобная и глазу приятно, не говоря уже про практичность. И пусть есть некоторые недочеты, ну исправят когда-нибудь, я надеюсь

HarDDroN
по мне, жетика намного логичнее и понятнее комода. и правила в ней писать уж никак не сложнее. в отличии от комода, за полгода использования которого у меня скопилось больше вопросов чем ответов. а последней каплей стал баг, изза которого отваливался фаер на интерфейсе впн клиента

Dimitr1s
в IP Table нашел следующее:
1.запретить | TCP пакет без флагов - сканирование типа NULL scan | TCP | Флаги TCP: FIN:0 SYN:0 RST:0 PSH:0 ACK:0 URG:0 ECE:0 CWR:0
2.запретить | TCP пакеты с комбинацией флагов FIN PSH URG - сканирование Xmas scan    TCP | Флаги TCP: FIN:1 SYN:0 RST:0 PSH:1 ACK:0 URG:1 ECE:0 CWR:0
а можно задать нечто подобное, например DoS атака, сканированние портов и т.д.? Просто нуждаюсь в IDS, которое в джетике напрочь отсутствует!

HarDDroN

Цитата:

в IP Table нашел следующее:
1. ...
2. ...

Если по умолчанию нет, добавь ещё в след за ними или в верх таблицы:
Правила для IP пакетов
3. запретить Контрольная сумма -> Контрольная сумма не верна
4. запретить Фрагментация -> Пакет фрагментирован
Если с последним правилом будут возникать проблемы (некоторые он-лайн игры, девайсы), смотреть логи и сделать для них исключения.
5. Если через твой компьютер не ходят другие машины и не нужно открывать доступ из вне (не содержишь Web-сервер, ftp и подобное) не лишним будет порезать в IP table трафик NetBIOS и RPC/DCOM.
6. Если не нужны (не используешь в торренте, клиентах для общения, нет умных холодильников и пылесосов) очень не лишним будет порезать трафик SSDP и UPnP
По пунктам 5 и 6, подробно описывал в шапке.
7. Сюда же можно добавить 113 порт (обсуждали в прошлой части
Для UDP/TCP запретить Входящий пакет Порт получателя 113
Итого вкупе с работающей Stateful Inspection (по мимо UDP/TCP, фильтруется ARP) и отключёнными по умолчанию ответами на пинг, набором этих правил режутся практически все известные способы атак.

Цитата:

а можно задать нечто подобное, например DoS атака

Правильнее будет DoS-атаки, изучи внимательно причины, условия, возможности DoS-атак, вопрос отпадёт сам собой.
Цитата:

сканированние портов

Обязательно нужно что б окошко всплывало, как в оутпосте?
Цитата:

Просто нуждаюсь в IDS, которое в джетике напрочь отсутствует!

Прочитай внимательно, ну здесь например, в чем, чего нет в Джетике (Джетика позиционируется как персональный фаерволл, будем исходить из этого), острая необходимость конкретно для твоей машины?

Dimitr1s
Спасибо за довольно развёрнутый ответ, все правила в шапке я давно создал, как только на джетику пересел. Ну а насчёт
Цитата:

Обязательно нужно что б окошко всплывало, как в оутпосте?

это у меня уже есть, вот JPF2 Attack Reminder

Цитата:

острая необходимость конкретно для твоей машины?

нет, просто люблю определённость
Остаюсь на джетике, благо на Windows 7 работает без глюков.

у меня вопрос, а что это за кнопка, для чего она, и как сделать её активной?




Добавлено:
да, и как ещё запретить диспетчеру задач винды завершать процессы джетики?
пробывал в Контроле процессов создать правило

Цитата:

запретить | тревога | запись в память приложения, внедрение кода в процесс, создание скрытого окна, установка системного перехватчика, модификация дочернего процесса, прямой доступ к памяти, запись в критические ключи реестра, сообщение другой программе, контроль над процессом, управление системными службами, изменение важного объекта системы, изменение привилегий процесса | C:\Program Files\Jetico\Jetico Personal Firewall\*.* | C:\Windows\System32\taskmgr.exe

- не помогло, процессы jpfsrv.exe, jpf.exe убиваются прямо на повал, а что если какой-нить зловред "заткнёт" джетику и его контроль?!

HarDDroN

Цитата:

у меня вопрос, а что это за кнопка, для чего она, и как сделать её активной?

Это для режима "Спросить" (или как он там в русском варианте переведён).

HarDDroN

Цитата:

да, и как ещё запретить диспетчеру задач винды завершать процессы джетики?
пробывал в Контроле процессов создать правило...

Во первых правило не правильно создано, как Источник угрозы (Attacker) ты указал Джетику, а как атакуемое приложение (Application) - taskmgr.exe, а надо на оборот. Добавил: Ещё учитывай такой момент: запрещающее правило с указанным Application , если у тебя уже есть разрешающее правило для taskmgr.exe, без указания Application, должно располагаться выше разрешающего. Во вторых маски, когда ставишь эксперименты, лучше не указывать, а напрямую исполняемые файлы. В третьих если работаешь с правами администратора, овчинка выделки не стоит, любой процесс, так или иначе, может быть вынесен. Ну и в четвёртых, Windows 7 (если у тебя она), Джетика пока официально не поддерживает, некоторые функции могут не контролироваться к примеру, со всеми вытекающими.

Цитата:

Во первых правило не правильно создано, как Источник угрозы (Attacker) ты указал Джетику, а как атакуемое приложение (Application) - taskmgr.exe, а надо на оборот

как раз таки атакуемое приложение у меня джетика, а источник угрозы - taskmgr, просто так скопировалось. Вы уж звиняйте, а что такое атакуемое приложение и источник угрозы я понимаю А насчёт Win7 - да вроде всё норм работает, накладок не заметил.

Цитата:

Это для режима "Спросить" (или как он там в русском варианте переведён).

Ого, спасибо. Не знал что в джетике можно даже окно алерта досконально настроить, чем больше джетику юзаю, тем больше уважаю финов! Такой продукт сбацали, молодцы!
аутглюк нервно куритв сторонке, а вот комодо ещё остаётся серьёзным конкурентом Jetico

HarDDroN

Цитата:

как раз таки атакуемое приложение у меня джетика, а источник угрозы - taskmgr, просто так скопировалось.

Тогда тебе сюда. Только там смогут понять вне зависимости как ты пишешь, как у тебя на самом деле.
Не поленился, зашёл под админом, создал правило:
запретить Attacker Путь\taskmgr.exe Application Путь\jpf.exe
Запустил диспетчер попробовал выгрузить гуй, получил:

и соответствующую правилу, запись в логе о блокировке.
Всё прекрасно работает, не вводи людей в заблуждение.