» Kaspersky Anti-Hacker

Raptor
сегодня поставил на пробу.
В памяти стабильно 3 мегабайта, что меня очень порадовало. Нагрузка на систему не ощущается совесм со стороны этого файрволла. Буду тестировать стабильность на след.неделе.

albel
Забавно: я пересел с каспера на агнитум, а ты наоборот. Правда агнитум предирчивый что-то уж очень --- каспер настроил и забыл. Еще недельку посижу, если "не освоюсь" перееду обратно. Только вот проверки Code injection в каспере нет, как я понимаю.

скачал, поставил. до этого стоял Tiny Personal Firewall 2.хх какой-то, который я естественно грохнул. KPF установился, скушал ключик от Benelux Retail до 2005 года ... но в окнах "активные сетевые приложения", "активные соединения", "открытые порты" - пустота. ничего нет вообще. и неописанный в правилах TheBat 3.x спокойненько забрал почту с сервера, хотя Антихакер должен был возмутиться и потребовать создать правило. виндовский брандмауэр разумеется отключен, бегунок регулировки безопасности в положении "запретить все" действительно запрещает ...
мне вот интересно, отчего такое бывает, кто в этом виноват и как это лечить
ну и еще, на самом-то деле он в такой ситуации работает или нет?

PS кстати с предыдущей версией то же самое у меня было ...
PPS конфигурация: WinXPSP1, диалап, lan'a нет и не предвидится ...

MANtiCORE
Так, на всякий случай спрошу:
1. Стоит ли флажок Сервис - Параметры - [x] Запускать модуль защиты сразу при старте системы? (у себя вчера с удивлением обнаружил, что по умолчанию он не был установлен).
2. Включён Средний уровень защиты?
3. Что стоит в Правила для приложений? (если можно, то список сюда кинуть)
4. Какие правила есть для фильтрации пакетов?

albel
1. стоит. ставил, убирал - без толку
2. конечно. даже когда ставил высокий - то же самое - любая программа спокойно лезет в интернет. а Антихакер этому никак не препятствует и ничего не просит
3. сейчас под рукой нету списка ибо убил я Антихакера. но стандартные настройки. по умолчанию у меня были. НО! при этом я пользуюсь браузером Мозилла и почтовиком Бат. а ни того ни другого там просто не было прописано.
4. х.з. я там ничего не трогал. все было по умолчанию. сказать точно не смогу ибо убил я его.

PS недавно поставил товарищу его - там все нормально работает ... становится все чудесатее и чудесатее

MANtiCORE
действительно, странно.

All
Почти неделя прошла. Делюсь впечатлениями: KAH - устойчивая и отличная программа. Без проблем работает с ослом (и вообщес p2p).
Пока не разобрался, какое правило надо прописать, чтобы фтп-сервер работал в режиме PORT, Если не хочется делать "Разрешить всё".
В общем, настроил и забыл.
А, ну да, памяти ест МИНИМАЛЬНО! Я в шоке. Страшное дело, работает и работает, если так и дальше пойдёт без проблем, можно даже купить версию . Большой путь был пройден разработчиками начиная с версии 1.0

albel
21:52 18-12-2004
Цитата:

В памяти стабильно 3 мегабайта

У меня 10 (VM). Тем не менее, переехал с Outpost обратно на KAH --- для локальной машины самое то. Соответствует тому, что я все время пропагандирую: программа для пользователя должна строиться на концепции: включил, раз настроил и забыл.
Хотя и здесь у меня есть вопросы: вот настроил я ReGet как программу, относящуюся к типу File transferring (ReGet, GoZilla...). Пытаюсь соединиться с одним из TLF-овских серверов и получаю сообщение от KAH:

Цитата:

Application ReGet 4.1 is trying to establish a connection to remote address ххх.ххх.ххх.ххх and by the port хх

А чем это действие отличается от тех, что попадают под тип File transferring (ReGet, GoZilla...)? Кроме как тем, что для данного сервера установлен флажок Использовать пассивный режим для FTP вроде бы ничем. Этого достаточно.
И еще: Про invisible mode в KAH о PASV mode можно забыть? Или как-то можно выкрутиться. Хотя теоретически все ясно --- как удаленная машина установит со мной соединения, если она меня не видит... Просто в свое время спасался от атак бластероподобных только включением режима невидимости. Видать, ничего тогда через PASV не качал.

TCPIP

Цитата:

Пытаюсь соединиться с одним из TLF-овских серверов и получаю сообщение от KAH

порты нестандартные.

albel
21:36 24-12-2004
Цитата:

порты нестандартные.

Дык? Какие будут ваши предложения? Разрешить ReGet делать вообще все, что пожелается или каждый раз на всякий такой сервер с нестандартными портами создавать отдельное правило? Или просто расширить диапазон портов для типа File transferring (ReGet, GoZilla...)? Тогда как расширить? В смысле какой диапазон указывать?

TCPIP
я разрешил всё, чтобы не мучиться
Как расширить диапазон портов для правила File transferring (ReGet, GoZilla...) не знаю, не смотрел.

albel
10:59 26-12-2004
Цитата:

я разрешил всё, чтобы не мучиться

Отлично. Тогда все ясно. Немного неудобно, прямо скажем... Это получается здесь 2 варианта: либо брать, что дают, либо разрешать все?..

TCPIP
нет, можно ещё порты прописывать. Скажем, для осла у меня следующие правила:
Это правило разрешает приложению EMULE.EXE отправлять и принимать UDP-пакеты, если выполняются условия:
удаленный порт: 4665
Это правило разрешает приложению EMULE.EXE устанавливать соединения с удаленными компьютерами по протоколу TCP, если выполняются условия:
удаленный порт: 4661
Это правило разрешает приложению EMULE.EXE отправлять и принимать UDP-пакеты, если выполняются условия:
удаленный порт: 4672
Это правило разрешает приложению EMULE.EXE отправлять и принимать UDP-пакеты, если выполняются условия:
локальный порт: 4672
Это правило разрешает приложению EMULE.EXE устанавливать соединения с удаленными компьютерами по протоколу TCP, если выполняются условия:
удаленный порт: 4662
Это правило разрешает приложению EMULE.EXE принимать входящие соединения от удаленных компьютеров по протоколу TCP, если выполняются условия:
локальный порт: 4711
Это правило разрешает приложению EMULE.EXE принимать входящие соединения от удаленных компьютеров по протоколу TCP, если выполняются условия:
локальный порт: 4662
Это правило запрещает приложению EMULE.EXE любую сетевую активность
И вполне душевно всё работает

albel
08:38 27-12-2004
Цитата:

нет, можно ещё порты прописывать

Так вот и получается, что скажем для ReGet нужно прописвать порты на HTTP, FTP, UDP, MMS... Да еще нельзя в одном правиле задать и точку, и диапазон. Либо один порт, либо диапазон. Так что на тот же FTP нужно правило отдельно для порта 21 и отдельно на порты 1024-65535.
Да потом они еще начинают ругаться, что это правило перекрывает другое правило...

Цитата:

Это правило запрещает приложению EMULE.EXE любую сетевую активность

А это зачем? Как это совместимо с остальными правилами?

Кстати: у меня что-то в русском KAH строка меню, и все команды меню в ней, русские! Это так и должно быть? До этого стояла английская версия, но я ее специально перед установкой русской удалил, чтобы не возникло случайно конфликта версий.

TCPIP

Цитата:

А это зачем? Как это совместимо с остальными правилами?

правила выполняются последовательно, сверху вниз. Это правило стоит последним, чтобы окромя разрешённых осёл никуда не лез и KAH не задавал дурацких вопросов в режиме обучения.


Цитата:

Кстати: у меня что-то в русском KAH строка меню, и все команды меню в ней, русские! Это так и должно быть?

ну да, она же русская версия , там ещё и справка на русском.

albel
00:58 28-12-2004
Цитата:

команды меню в ней, русские!

Да, это я классно сказал! "В Китае все жители китайцы, и сам император --- китаец." Хи-хи. Разумеется, проблема в том, что команды меню в русской версии --- английские.

Цитата:

правила выполняются последовательно

Усе понятно. Это хорошо, зроблю у себя.

TCPIP

Цитата:

команды меню в русской версии --- английские.

это, наверное, из-за прошлой аглицкой версии. У KAH очень сильная привязка к реестру

albel
09:41 28-12-2004
Цитата:

У KAH очень сильная привязка к реестру

Забавно! Выпущу версию KAH.1.7.Bilingual-TCPIP... Надо бы еще добавить функционал проверки знаний. Пущай периодически спрашвает: Как называется меню Service по-русски? А как называется флажок Режим невидимости по-английски? При неправильном ответе блокировка доступа в интернет на 60 с.

народ не подскажете. вот проверял систему с нескольких сайтов (http://www.hackerwatch.org/probe/) и везде пишут, что все нормально, но открыт 21 порт и это типа опасно. во-первых, это реально опасно? и тогда второй вопрос, как в сабже (версия 1,7) это дело прикрыть, что то у меня не получается...
да и ещё. в "правилах фильтрации пакетов" изначально все включено, м.б. есть смысл что-то выключить? поделитесь оптимальными настройками, инет скоростной(quantum.ru), но обычный, без всяких роутеров и т.п.

Trespasser
21 порт - это фтп-сервер. Если нет фтп сервера, то вроде как можно вполне его прикрыть.

Цитата:

и тогда второй вопрос, как в сабже (версия 1,7) это дело прикрыть, что то у меня не получается...

правило фильтрации пакетов. Думается, где-то так:

Код: Это правило блокирует TCP пакет, если выполняются условия:
локальный порт: 21

Поставил KAH 1.7. Вроде работает, одного не пойму - он что, при старте системы запускается ярлыком из "автозагрузки"? Как-то несолидно и ненадежно. А для чего тогда опция "запускать модуль защиты сразу при старте системы"? Или без нее он запускается, но не работает? Ну ладно, можно убрать его из автозагрузки, а прописать в реестре руками, только какого черта он каждый раз при запуске открывает свое окно?!!. Как его заставить запускаться в свернутом режиме?

lucky_Luk
21:58 10-01-2005
Цитата:

А для чего тогда опция "запускать модуль защиты сразу при старте системы"

Цитата:

Kaspersky Anti-Hacker защищает ваш компьютер сразу после старта ОС Windows. Вы можете отключить этот режим, и защита будет действовать только после входа пользователя в систему.

Это, видимо, следует понимать, что этот флажок позволяет запускать KAH сразу после того, как будет запущена подсистема Win32. В противном же случае, он будет запускаться, только после выполнения процедуры входа в учетную запись.

TCPIP Понятно, а что со свернутым режимом, или придеться терпеть главне окно дальше?

lucky_Luk
вообще странно, что главное окно у вас появляется при старте. У меня программа по умолчанию стала загружаться свёрнутой в трей.

albel Може это из-за XP SP2? У меня когда-то KAH на XP SP1 стоял, проблем не было. Есть какой-то параметр, который можно прописать в свойствах ярлыка чтобы KAH не открывал окно, или что-то нужно поправить в реестре? Версия программы 1.7.130.0 - это случайно не "улучшение" функциональности в этой версии?

Народ, такая вот проблемма с этим KAH (версия 1.7.130):
Поставил его на той неделе, позапускал все программы которые у меня работают с сетью, провел обучение. Сначала все было нормально, но сегодня началась такая вот фигня - уже третий раз выскочило сообщение, что с адреса такого-то проведена атака "Сканирование TCP-портов". Атака отражена, компьютер блокирован. Самое интересное - в двух случаях из трех - "атака" предшествовалась автоматическим обновлением AVP for Workstation 5.0 через FTP сервер, установленный на моей машине. Как только обновление завершалось (судя по логу FTP сервера) - сразу KAH поднимал тревогу. Кто нибудь сталкивался с чем нибудь подобным? Может тут что в фильтрах подправить надо? Просветите!

Добавлено:
И в тоже время - сейчас через админкит спровоцировал повторное обновление баз - прошло на ура, KAH даже не пошевелился. А два предыдущих раза - так и не дал закончить.

Ошибается он часто, на спикерфон(программа общения в лок.сетях), в голосовом режиме часто выдает попытку сканирования портов

lucky_Luk
Причем тут sp2? У меня программа стояла и до sp2 и его после установки. Ничего не изменилось при запуске.
У меня другой вопрос.
А выгрузка-загрузка правил для приложений и пакетов (портов) реализована?
Допустим, если перенести настройки на другой компьютер, а не настраивать всё заново.

ivas

Цитата:

А выгрузка-загрузка правил для приложений и пакетов (портов) реализована?

нет. Только если через реестр, наверное. Это таки грустно
Если Вы официальный пользователь , можно написать в тех.поддержку, бо фича нужная

Прочитал о нем в рассылке http://subscribe.ru/archive/inet.thoughts.lamerblog/ (выпуск только не помню) - писали, вроде простой. Согласен, прост, даже слишком, но мне не понравился тем, что банеры не режет - а банеры это мусор и тормоза

albel
А тот, кто скачал с сайта триальную версию и пользуется ею третий день - официальный пользователь?
Это к вопросу о возможности обращения в тех.поддержку