» Jetico Personal Firewall

Сваял небольшой хелп по основной проблеме при настройке Джетики. При одобрении аудиторией, те, у кого "access granted", могут закинуть в шапку.
[more=Как настроить правила в "Process Attack Table"]
"Process Attack Table" - зона повышенного риска. Здесь собраны функции и методы, к-рые наряду с легальными приложениями активно используются троянами и вирусами:
"Attacker installs system-wide Windows hook" (атакующий внедряет dll в процесс (системный hook));
"Attacker starts application with hidden window" (атакующий запускает приложение в скрытом окне);
"Attacker writes to application's memory" (атакующий производит запись в память приложения);
"Attacker injects own code into application" (атакующий внедряет в приложение собственный код);
"Attacker modifies child process" (атакующий изменяет дочерний процесс);
"Low-level access to system memory" (низкоуровневый доступ к памяти).

В данной таблице у многих возникают проблемы, особенно с правилом "Attacker installs system-wide Windows hook". Полезно вспомнить основную функцию файервола: "НЕ ПУЩАТЬ" и акцент, соответственно, - на запрет.
Можно использовать следующую методику: при возникновении запроса - запретить (reject), дальше смотреть на поведение приложения, пославшего запрос. Если оно продолжает нормально работать, то так и оставить. Иначе возможны три варианта реакции приложения на запрет:
1. приложение завершает работу/не запускается
пример: большинство игрушек от Reflexive Arcade, правила "Attacker installs system-wide Windows hook" и "Attacker writes to application's memory", - при запрете завершают работу.
2. приложение рапортует о невозможности выполнить какую-либо операцию
пример: Paint Shop Pro 7, правило "Attacker installs system-wide Windows hook" при включении функции захвата экрана, - при запрете рапортует о невозможности запустить эту функцию.
3. приложение функционирует не полностью
пример: GTA San-Andreas, правило "Attacker installs system-wide Windows hook", - при запрете не работает клик мышью.
В этих случаях вердикт можно заменить на "разрешить" (allow), но в начале полезно убедиться, что запрос послало доверенное приложение, а не троян и т.п.

"Attacker starts application with hidden window" (атакующий запускает приложение в скрытом окне).
В большинстве случаев, это вполне безобидная функция, хотя может быть и действием трояна. Обычно запрос возникает при открытии одного приложения другим. Тут нужно просто смотреть, кто что запускает и, если это соответствует ожидаемому эффекту, то разрешить (по желанию ).

"Attacker injects own code into application" (атакующий внедряет в приложение собственный код),
"Attacker modifies child process" (атакующий изменяет дочерний процесс),
"Low-level access to system memory" (низкоуровневый доступ к памяти).
На эти правила нужно обращать особое внимание, т.к. их срабатывание обычно сигнализирует о криминале в системе (не сталкивался ).

Информация к размышлению:
Создавать для приложения пару из правил "Attacker installs system-wide Windows hook" и "Access to network" (доступ к сети) нужно внимательно. Разрешив первое и запретив второе, при запущенном приложении, можно остаться и без сети и без И-нета. Если же выход в сеть/И-нет для данного приложения нежелателен, то можно сразу после правила "Access to network" добавить правило "Deny all" (запретить все) для этого же приложения. Наверное, будет нелишним пояснить, что "Access to network" означает не выход в сеть или И-нет непосредственно, а всего лишь возможность для приложения и его потомков использовать сетевые ресурсы.
Примечание: правило "Access to network" по умолчанию создается в таблице "Ask User"

В заключение - небольшой список приложений, к-рые нормально функционируют при запрете в правиле "Attacker installs system-wide Windows hook":
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Label Creator\CDLabel.exe
C:\Program Files\Total Commander\Totalcmd.exe
C:\Program Files\Microsoft Office\OFFICE11\FRONTPG.EXE
C:\Program Files\K-Lite Codec Pack\tools\gspot\gspot.exe
C:\Program Files\Ahead\Nero Toolkit\InfoTool.exe
C:\Program Files\Movie Maker\moviemk.exe
C:\Program Files\Crystal Player\Crystal.exe
C:\Program Files\Total Commander\Plugins\exe\AkelPad.exe
C:\Program Files\IrfanView\i_view32.exe
C:\Program Files\Opera\Opera.exe
C:\Program Files\Jasc Software Inc\Paint Shop Pro 7\anim.exe
C:\Program Files\PonyProg2000\PONYPROG2000.EXE
C:\Program Files\Atmel\AVR Tools\AvrStudio4\AVRStudio.exe
C:\Program Files\Elaborate Bytes\CloneDVD2\CloneDVD2.exe
C:\Program Files\P-CAD 2002\pcb.exe
C:\Program Files\P-CAD 2002\Sch.exe
C:\Program Files\Light Alloy\LA.exe
C:\Program Files\Ahead\Nero Wave Editor\DXEnum.exe
C:\Program Files\Paint.NET\PaintDotNet.exe
C:\Program Files\CyberLink\PowerDVD\PowerDVD.exe[/more]

Наконец-то !

====

Собсно, линк для скачки: http://www.jetico.com/jpf2setup.exe

Changelog [more=тут]
Important notes. Read before installation.
- Jetico Personal Firewall v2 is beta software. It has numerous improvements and may contain bugs.
- Please do not use it on production systems.
- Please uninstall previous versions of Jetico Personal Firewall software before installing this one.
- Installation program does not mark Jetico Personal Firewall server to start at boot time. Instead, it sets server startup type to "Automatic".
- Jetico Personal Firewall package does not contain Configuration Wizard program.

Removed features
- Windows 9x/Me system support discontinued. Please use Jetico Personal Firewall v1 for these systems.

System-related changes
- Jetico Personal Firewall v2 runs as privileged Windows service. It can protect computer before user logon.
- Native support for Windows XP Fast User Switching and Terminal Services.
- Jetico Personal Firewall supports Access Control Lists for all main functions. Administrator can configure ACL to grant access to particular firewall functions for any user or group.
- Windows XP Service Pack 2 Security Center support.

User interface changes
- Improved rule editing interface.
- New popup message. The new look for popup dialog is presented. Popup message text and rule creation options can be modified.
- Firewall variables formerly controlled by Configuration Wizard, are integrated into main application window.
- Language file support for easy localization. All translatable words and phrases are taken from single UTF-8 encoded text file.

Configuration changes
- New XML-based open configuration file format. Detailed documentation is available upon request.
- The new version maintains single protected firewall configuration for all users.
- Simplified controls for configuration.
- New hash handling scheme. Separate table for hash checking.
- Each firewall filtering layer has own root table.
- New automatic variables (per-connection) for local connections are supported.

Changes in firewall rules
- Rules support lists of parameters where possible.
- IP rules support IP address ranges.
- Low level protocol rules support filtering by MAC address.
- Application rules have events for direct and indirect access to network. Indirect access details are also available.
- New module for hash checking created.
- Application, Process attack and Hash checking rules support wildcards in file paths.

Logging subsystem changes
- Log entries can be associated with rule.
- Firewall can create rule based on log information.
- New WELF-compatible text log format. WELF is supported by many log analyzers.
- Improved log control.
[/more]

А обещались в июле... что-то не охота бетку ставить.

Уже качнул, завтра попробую...

kesic
Один день просрочки - это вам не микрософт...

Список изменений впечатляет. Только одно не очень - похоже пора открывать топик в варезнике
Попробовал поставить на виртуальной системе - после ребута JPF не запускается, вылетает с ошибкой

Seva I
Аналогично на VirtualPC Windows 2000 SP4. При установке согласился использовать "вшитую" лицензию фаервола.

У меня вылетел на VMware. Наверное, дело в этом, но неохота бета-версию фаера испытывать на рабочей машине

Seva I

Цитата:

неохота бета-версию фаера испытывать на рабочей машине

У меня на реальной машине то же, что и на виртуальной. В том числе и деинсталляция - только руками...

Встал как влитой. Пока полет нормальный. Настроек туева хуча, если с первой версией подружился через полгода как поставил то с этой наверное уйдет не меньше времени (в лучшем случае). То что в Варезник тему надо отправлять это огорчает, надеюсь спецы сделают кейген а разработчики не будут все свои силы бросать на борьбу с этим "злом" хотя я уже сейчас готов выложить за этот файер определенную сумму (ну нравиться он мне).

wezir

Цитата:

Настроек туева хуча

Они там с настройками чего то делали, и теперь старый конфиг не подойдет? Нехорошо опять все настраивать.

Ang
у тебя стандартные пути папок Program files и Documents and Settings? У меня нет - может из-за этого вылетает...

Seva I

Цитата:

у тебя стандартные пути

Да, у меня стандартные. Может на Jetico.com инсталлятор обновился и можно попробовать ещё раз? Я не могу этого узнать, т.к. с огорчения снёс тот, что загружал.

Дистрибутив действительно изменился, но у меня результат тот же Правда, как я ни старался удалить руками, но от предыдущей инсталяции все же хвосты остались - JPF ругнулся на наличие предыдущей установки

Seva I
Закачал заново (размер 2943312 байт). На виртуалке инсталлировался, но после перезагрузки - та же ошибка.

Цитата:

Дистрибутив действительно изменился

хм.., я позавчера скачал версию 2,0,0,5b и сегодня та-же версия...
правда не поставил т.к. не смог снести первый Jetico (повисает при деинсталяции)

Попробовал 2 бету... Море удовольствий . Сегодня утром в 9:18 (после переустановки системы) накатал телегу в саппорт, сейчас, в 12:39, получил ответ (отвечают ребята оперативно ):

Цитата:

Hi, Alexander.

I'm sorry about problems with JPF beta. Actually, we fixed uninstaller problem
today and fixed setup program is already available. You can try quick fix:
1. Download http://www.jetico.com/bcuninstall.exe
2. Copy it to your windows directory (C:\Windows or whatever else)
3. Run Add/Remove programs -> Uninstall JPF.

As for "CoCreateInstance hr=0x80080005" bug, it means that JPF
server encountered some startup ptroblem. We are working on this case.


> > After installation and system reboot two popup messages appears:
> > MainDoc: "CoCreateInstance hr=0x80080005" (or hr=0x80070005)
> > and
> > Jetico Personal Firewall: "Could not contact with Jetico personal
> > Firewall Server. Can not continue. Sorry".
> >
> > On trying to uninstall program popup message appears:
> > BCInstall: "Error read logfile, err code 0".
> >
> > What does it mean?
> >
> > Installation file - jpf2setup.exe, MD5=78678ae9cb7446b6ede00897bcda1ed1
> > OS - Windows XP Pro SP-2 RUS

Sincerely yours,
Nail Kaipov

=================================================
Jetico, Inc. phone: +358-9-25173030
Tekniikantie 14, fax: +358-9-25173031
02150, Espoo e-mail: info@jetico.com
Finland http://www.jetico.com

"BestCrypt data encryption software for
Windows 9x/NT/2000/XP and Linux"

"BCWipe data erasing software for
Windows 9x/NT/2000/XP and Unix"

"Jetico Personal Firewall for
Windows 9x/NT/2000/XP"

Latest versions, news, information
from: http://www.jetico.com

=================================================

У кого проблемы с удалением - могут попробовать.

beta 2
так и не удалось мне его запустить пишет "CoCreateInstance hr=0x80070005" ...

2Makak
Как сообщают разработчики:
Цитата:

We are working on this case.

Эта... Дык! Давайте, как говорится, жить... ...дружно!

Переписывался я с разработчиками довольно долго по поводу разных вишей, да спросил, когда зашла речь - почему, мол, не выложат бету, раз она уже есть. В ответ ребята сказали, что специально тестируют только у себя внутри, посколку иначе тогда их зае...т.

Словом, всем желающим тестить бету, да ещё низкоуровневого приложения, напоминаю: "Бета" - она и в Африке... Жди релиза. Или - юзай. Но не плачь.

Но это отличный шанс опробовать реализованные пожелания и новые фичи, которых, по словам разрабтчиков и по ченчлогу, там немало, и уточнить последние детали. Как вариант логического следствия: если пожеланий не делал, то и нефиг опробывать, юзай пред. финал.

ЗЫ. Это не тем, кто уже, %-) а тем, кто ещё (кто вдруг наткнется в последних постах на номер свежей версии и ломанется качать).

2VitRom

Цитата:

Эта... Дык! Давайте, как говорится, жить... как эта... дружно!

Так вроде никто никого не грызет (пока!.. ). А те, кто уже... На сайте ребята честно предупреждают:

Цитата:

Important notes. Read before installation.
Jetico Personal Firewall v2 is beta software. It has numerous improvements and may contain bugs.
Please do not use it on production systems.
Please uninstall previous versions of Jetico Personal Firewall software before installing this one.
Installation program does not mark Jetico Personal Firewall server to start at boot time. Instead, it sets server startup type to "Manual".
Jetico Personal Firewall package does not contain Configuration Wizard program...

Я вляпался - сам виноват. Переставил систему, для теста отдельно поставил еще одну...
Сейчас сам с разработчиками переписываюсь, - баг они пока не победили.

XenoZ
Так у тебя новая версия "завелась"? Какие есть изменения (положительные)? Почему народ обмолвился о варезнике, халява кончилась?

жаль что она платная будет

такая трабла с етой стенкой: все вроде настроил
но когда пингую локал или впн серв и запускаю чтонить например качать или прогу коннектиться через инет (стим) ни то ни то не пашед ни стим ни скач ни пинг 100% потери это что за лаги?????

2kesic
Положительных изменений пока никаких - разработчики воюют в багом
Цитата:

MainDoc: "CoCreateInstance hr=0x80080005" (or hr=0x80070005)

А насчет варезника, вот:

Цитата:

Jetico Personal Firewall setup - v 2.0.0.5 beta

License Information

    This is a first installation of Jetico Personal Firewall.
    Please choose license information to be installed:
     License, embedded to the Setup program
     External license -> Load license received from vendor

    License type:

    Version for evaluation purposes.
    The demo version will have all features of the commercial version
    till 30 октября 2006 г..
    After the date Firewall configuration changes will not be saved.

    Click Start button to start copying files.

2All
Тут мне Nail подкинул идейку, я ее потестил, закинул ему логи. Посмотрим, что получится...

Добавлено:
overclock
Ты про 2 Бету или 1.0.1.61?

я про 1.0.1.61

2overclock
Ну, и что она у тебя в лог пишет?

пишет к другой таблицен ни пинг ничего не идет когда кач идет типа но тоже не качает

2overclock

Цитата:

пишет к другой таблицен ни пинг ничего не идет когда кач идет типа но тоже не качает

Переведи.

XenoZ
Спасибо за инфо, я, пожалуй останусь сидеть на старой версии.