» Agnitum Outpost Firewall Pro

Цитата:

NTOSKRNL.EXE - запретить ... файл пошли на virustotal.com

NTOSKRNL.EXE послать :)

Добавлено:
Убедиться, что на дисках не его двойников

cdrom2
MPC для MOV, может какой-то внешний кодек использует? Тем более, вижу, что mpc из klite'а. Возможно, при открытии MOV, этот кодек пытается зарегится в системе (ну или напакостить). А с другими плейерами не проверяли, такое же поведение Outpost или нет?

addhaloka

Цитата:

А с другими плейерами не проверяли, такое же поведение Outpost или нет?

C Windows Media Player карина такая же. И опять в Журнале ни слова про NTOSKRNL.EXE, хотя в antileak.log запись есть... Бага, однако...

А вот сама попытка запуска NTOSKRNL.EXE - вопрос...

Ну да господи, ты же запретил сетевую активность ему? Не шлет никакие даныне в сеть? Ну и все, бог с ним.

Так то оно так. Но был бы черный\белый список приложений запрещенных к запуску другими процессами, то и проблем бы не было... Да и другие настройки Anti-Leak недостаточно гибки (постоянно приходится работать в Режиме обучения)

У меня постоянно режим Блокировки, я вообще проблем не имею. Если чо-то куда-то не смогло вылезти, значит я тупо это не разрешил и тут нет никакой проблемы.

Kein, ну, на 7 это жестко :)

Это применительно к 4 приходится держать блокировку - она при возникновении диалога на создание правила все равно трафик пропускает. А в 7 вроде бы закрыли этот баг.

Да и с т.з. вылавлиния возможной заразы - ОП ее молча заблокирует, и ты о ней ни сном, ни духом :(( Не лазить же постоянно по логам?

Я когда за компом сижу - в обучение. Отлучаюсь - в блокировку.

Kein

Цитата:

У меня постоянно режим Блокировки

А как тогда разрешить приложению А запускать необходимое приложение В так, что бы при этом приложение А не запускало нежелательное приложение С? (Опять же - это полезно при активном заражении) Никак нельзя!

И т.д. для других настроек Anti-Leak...


asbo

Цитата:

Я когда за компом сижу - в обучение. Отлучаюсь - в блокировку.

Полезная была бы фича "автоматическое переключение на блокировку" по условию.

Есть ли возможность посмотреть "стандартные правила для приложений", а так же их отредактировать?

Tim72, посмотреть можно - сразу после установки, до появления инет-активности сохранить конфигурацию и потом изучать. А дальше, в режиме обучения, после появления запроса на создание правила нажимать ОК. В большинстве случаев создатся правило по умолчанию. Выбираем это приложение в списке и смотрим, что для него создалось. Также есть режим "самообучения" с примерным же функционалом. Нюанс в том, что при участии в ImproveNet, созданные однажды правила могут после автоматом модифицироваться., также, как и после обновлений.

Только сразу предупрежу - с т.з. безопасности эти правила не выдерживают никакой критики. Впрочем, оно и понятно...

Редактировать джентльменский набор по умолчанию, создание шаблонов - все осталось в 2-ке, когда все это добро было в текстовом виде. По соображениям безопасности.

asbo
Ясно... т.е. создать некий шаблон, и затем применять его к различным приложениям - не получится, мда... картина молоутешительная, либо "Двое из ларца одинаковых с лица", либо ковырять каждое приложение...

Tim72, именно так :( Меня время от времени посещает мысль откатиться на 2-ку именно из-за этого. Столько копий было сломано, когда они сменили формат... Но и аргументация у них была железная - эти текстовые файлы легко подменялись, и аля-улю, паси гусей ...

Если интересно, то вот как это выглядело
Блин, я везде 2-ку поминаю... 3-я версия имеется ввиду.

Кто нибудь сталкивался со случаем, когда OFP блокирует запуск chkdsk.exe (проверка диска) при загрузке системы? Либо диск занят (used), либо окно с проверкой диска даже не появляется.

А откуда в загрузке chkdsk.exe? Часом, не autochk имеется ввиду? Так он до ОП стартует. Да и, вообще, до всего...

Цитата:

А вот сама попытка запуска NTOSKRNL.EXE - вопрос...

Думаю, что все-таки, это очередной глючок Аутпоста. При установке kLite'а нечто похожее выдал:

asbo
Имеется в виду проверка диска C: при загрузке системы. Просто недавно столкнулся с подобной фигней... Помогло только удаление и переустановка OFP.

Aleksandr SHCH, т.е, все-таки, autochk? Так он в интернет и не лезет... Какая блокировка имеется ввиду?

На всякий случай - давно, под XP было. Какая-то прога, заблоченная ОП на выход в инет, при загрузке успевала-таки ломануться на хомяк и запалить свою регистрацию. Редко, но бывало. Я тогда писал здесь об этом. Но ОП, однозначно, была 4-ка. Может и Ваш случай из этой серии, но - см. вопросы выше.



Добавлено:
addhaloka, я постов 100500 назад просил cdrom2 послать этот кернель на тоталь... Может Вы это сделаете?

asbo
Цитата:

я постов 100500 назад просил cdrom2 послать этот кернель на тоталь

Я сразу его и послал...

ИМХО, файл MOV хотел, что бы его просмотрели не программно, а аппаратно...

asbo
Имеется в виду, что OFP не дает проверить диск C: на ошибки.

С запросами на изменение памяти ntoskrnl.exe тоже сталкиваюсь.

asbo
Послал я этот кернел на VirusTotal; результат немного предсказуем: 0/42

А вот еще одна шарада от Agnitum:


Это Outpost выдает при запуске инсталляторов, сделанных в 7-zip SD. То, что при этом ничего в автозагрузку и реестр не добавляется, и что используемые SFX модули при создании архива чистые, проверено.
Имхо, 7-Zip SFX архив имеет такое же отношение к "изменению критических значений реестра", как и кодеки видео/аудио к NTOSKRNL.EXE; а именно, все это глюки самого Аутпоста (antileak'а наверно), имхо.

cdrom2, значит, сразу на капу нажал?
Цитата:

Я сразу его и послал...

... у тебя дома жена, сын двоечник, за кооперативную квартиру не заплачено, а ты тут мозги пудришь. Плохо кончится, [more=родной...]
Вот я, в 14:31 05-04-2011, даю Вам рекомендацию проверить кернель.
Вот Вы, в 14:54 05-04-2011, проверяете вместо кернеля плейер
И вот я, в 15:20 05-04-2011, еле сдерживая гогот, скромно улыбаюсь и говорю, что кернель, кернель(!) пошли и проверь двойники.

Что Вы мне ответили? Правильно - ничего. Закончился на этом диалог наш... Но, в 15:49 05-04-2011 Вы правите свой пост, добавляя отчет по кернелю. Правите, зная, что страница следующим постом перелистнется. И делаете это явно не в надежде, что я бдительно слежу за архивной целостностью Ваших постов.

Вы же не первый день на форуме... Вы почему собеседников за дебилов считаете, и заставляете их сомневаться в том, что было, а чего не было?

И, вот, перечтите на досуге п. 2.20.2. главы VIII Соглашения по использованию и
п. 2.20.3. главы VIII Соглашения по использованию, Гедеван Александрович...[/more]

Добавлено:
addhaloka, ну что ж.

Самое главное - то что не появилось (одновременно у нескольких людей) заразы маскирующейся под этот кернель.

Второй плюс - то что, практически однозначно, выявлено, что ОП делает стойку на некоторые кодеки (у меня не проявилось) и на 7-Zip.

Осталось найти энтузиаста, который снесется по этому поводу с саппортом или, на крайняк, с английским форумом.

addhaloka, а можно ссылочку на этот инсталлятор. Я этот кернель с кодеками так и не смог увидеть на 7-ке в виртуалке, может хоть на это посмотрю...

Да еще этот chkdsk...

asbo

ftp://majorgeeks.mirror.internode.on.net/multimedia/K-Lite_Codec_Pack_710_Mega.exe

Качал оттуда же и инсталлятор тот же на данный момент.

А к 7-Zip'ам только к SD SFX вяжется. К обычным(стандартным) SFX ноль внимания

p.s. Может еще от OS зависит? Взять, например, Avast - разработчики его усиленно пилят под 7-ку, а под XP в нем, в результате этого, разного рода глюки и баги появляются.

asbo

Цитата:

Плохо кончится

Цитата:

Я бОшку даю на отсечение, что в стандартных условиях НИКАКОГО NTOSKRNL.EXE никакая программа вызывать не должна.

Так почему запускается NTOSKRNL.EXE? Какие условия нестандартны? Если ответа нет - "бОшку в студию".

Цитата:

Я этот кернель с кодеками так и не смог увидеть на 7-ке в виртуалке

Плохо смотрите.
По этой причине (NTOSKRNL.EXE) отказался от ОП. Проигрыватель запускаешь - висяк, потом оконце с вопросом как в сообщении addhaloka с вопросом об изменение памяти. Видеоредактор, тоже самое, висяк - вопрос. В ручную создавал правила для этого злосчастного NTOSKRNL... Толку ни какого.

cdrom2, Вы со своим кернелем разберитесь вначале, а потом уж с моей головой :) Хотите пободаться? Я доставлю Вам эту радость.
Я тебя поцелую. Потом. Если захочешь...
А пока перечтите вот это. Вы походу второй раз в одной лепешке... Хоть первый раз и косвено. Ничему Вас жизнь не учит.





Добавлено:
DenverWolf
Цитата:

Плохо смотрите.

Прдн, чем обязан? Повежливей впредь, вначале свои очки протирайте. Вы готовы что-то показать публике, кроме идиотских сообщений ОП? Впрочем, у Вас и этого нет... (По этой причине (NTOSKRNL.EXE) отказался от ОП)

asbo
Про вежливость как раз стоит Вам напомнить. Я же в свою очередь не хамил, и не пытался даже. А привел лишь наблюдение. С одной лишь ремаркой - NTOSKRNL.EXE одна из причин.

2All - мне кажется, что вся симптоматика, описанная выше, более чем убедительно свидетельствует о недоработанности и кривизне защитных механизмов антилик у ОП. И это весьма весомый аргумент от отказа от этой фичи и передаче ее функций нормальным антивирям. Фаеру же оставить фаерово.

Добавлено:

Цитата:

Я же в свою очередь не хамил

Вы начали обращение ко мне со слов "Плохо смотрите." Даже если так, у Вас были разве какие-либо основания для утверждения этого? И, даже если были, Вы всегда так обращаетесь к посторонним?

Касательно кернеля - тут разведено столько флуда... Но никто ни одного скрина не показал, ни одного лога. Покажите этот кернель! Покажите в процессах, в службах. Только, заради Бога, не показывайте логи ОП. В данном случае.

Цитата:

Даже если так, у Вас были разве какие-либо основания для утверждения этого?

Файлик этот лежит в папочке по адресу: C:\Windows\System32\ntoskrnl.exe + и в х64: C:\Windows\SysWOW64\ntoskrnl.exe. Про х86 утверждать не могу, так как довольно длительное время пользуюсь исключительно х64 Осями. Все это касательно Ось 7. Какую он выполняет функцию, не знаю. Но лежит он уже сразу после установки ОСи. Ни один антивир/файервол на него не лает. Только ОП, виснет при обращении к нему, и вешает систему. Лично мое мнение, это все из-за кривизны последнего. Все написанное мной - личное мнение и наблюдения. Если судить по написанному на Википедии то: Ntoskrnl.exe — файл ядра операционных систем семейства Windows NT (NT 4.0, 2000, XP, 2003, Vista, 2008, 7, 2008 R2). Данный файл запускается загрузчиком ядра NTLDR в безопасном режиме.

Цитата:

Если судить по написанному на Википедии

Имхо, википедия это действительно . Само ядро - это комплекс библиотек и исполняемых файлов (ntdll.dll, hal.dll и т. д.). Ntoskrnl.exe (который тоже часть кода ядра содержит) все это дело при загрузке объединяет и грузит в память. Это все потом висит в памяти как процессы System Idle, System и т. п.

Цитата:

Только ОП, виснет при обращении к нему, и вешает систему.

Так доступ к памяти ядра запрещен; что в обычном, что в безопасном режиме. Поэтому неудивительно, что при попытках туда влезть и тем более изменить память, система будет просто крэшится.
Доступ туда возможен под отладчиком или если у программы (Аутпоста, вируса, трояна, etc), которая туда лезет, есть привилегии отладчика. Однако это не гарантирует отсутствия глюков и BSOD, при попытке доступа к памяти ядра.

Файлик... Блин, дожили, ядро системы, сердце ее - "файлик"... Только на третьей странице начало доходить до собрания ...

DenverWolf, что, вначале пишем, потом думаем? Запостились в ответ мне, почесали репу, а потом уж подумали - а что это за файлик? В оригинале Вашего ответа ни слова про вики :)

И, бзв, так что я плохо смотрел?! Вы с сидюком задолбали - для украшения поста что ли дергаете цитаты из меня? Потрепаться не с кем боле? У Вас вообще нет ОП . Что Вы здесь делаете со своими ценными воспоминаниями, суть которых только сегодня удосужились в вики посмотреть...