» Jetico Personal Firewall

Начал осваивать Jetico в паре с Каспером 2009, возникают вопросы . Вот не могу понять, почему логер часто при HTTP-запросе Оперы указывает в качестве причины разрешения таблицу для для обработки почтовых и новостных запросов:
2008-09-24 22:36:01 таблица Opera news reader TCP/IP получение данных C:\Program Files\Opera 9\opera.exe 127.0.0.1 81.176.69.85 1248 80 PID: 1376; Connection: 780

VN8

Цитата:

Где собака порылась?

Порылась она, вероятно, в KAV 2009. Кому принадлежал указанный PID: 1376? Есть вероятность, что не Опере, а KAV, да и работает ("слушает") он через localhost, и даже IP, который Вы указали в примере, принадлежит "им". По существу: я пробовал эту связку, писал где то выше, даже с установленным, для совместимости, параметром в реестре UseKavsend 1, при изменении любой настройки KAV, в стеке начинает твориться бог знает что и работа связки становится не предсказуема. Я потестил такую связку на двух машинах (разное железо), на обоих работала по разному. На одной, при нагрузке возникал "не правильный" трафик, путались пакеты (похоже на Ваш случай), отображались UDP пакеты (которых не было) и т.д. На другой всё вроде бы ни чего, но Джетика при нагрузке регулярно падала, без причин. Попробуйте проверить, как вариант, открыть 200 вкладок и обновить все.

Цитата:

...устранить этот казус

Попробуйте убрать разные таблицы, и создать отдельные для каждого приложения, с полным набором правил, как будет себя вести? Выставить проверку Контрольных сумм, для всех участвующих приложений, если не выставлена, был такой глючёк, правда на старых сборках.
Есть ещё вариант, если не гнаться за циферью версии, поставить в связку KAV 7.0.0.125, с ним вообще ни одной проблемы нет. А спор, какой лучше, новый KAV, или старый, решится когда создатели выложат исходники обоих продуктов - то есть никогда.

Судя по всему, без сильного шамана не обойтись . Барабашки в системе уже поселились, заныкали индикатор раскладки клавиатуры с панели задачь, а иногда и вообще не дают раскладку переключить в некоторых приложениях, в логах регулярный полтергейст. Вот ещё один казус вдополнение к предыдущему:

2008-09-25 12:56:32 таблица svchost DNS connection TCP/IP отправка пакетов (UDP) C:\WINDOWS\system32\svchost.exe 10.8.x.x 255.255.255.255 68 67 PID: 1468; Connection: 565    

VN8
Если в правилах не накосячено, то весьма вероятно, что конфликт с Касперским.
Не хочешь отказываться от Каспера - ставь KIS, в чем проблема-то?
Подружить Каспера с другим фаерволом - задача очень нетривиальная, дружит он только с собой, да и то не всегда.

VN8

Цитата:

Вот ещё один казус вдополнение к предыдущему:

Какая версия Jetico хоть, а то мы может на разных языках говорим?
Собственно, не видя самих таблиц, и правил которые в них у Вас прописаны, сделать какие то выводы трудно. В логе кроме названия правила, казусов нет. Происходит DHCP запрос, который режется ниже стоящим правилом. По этому поводу, я выше дал совет: составить для каждого приложения (для avp.exe, svchost.exe, и т д.) отдельную таблицу, с набором правил, дать каждому правилу название и включить логи, посмотреть, что будет.

Цитата:

...а подбирать к этому продукту антивирь по остаточному принципу исходя из максимальной совместимости - фтопку.

ИМХО KAV 2009 близко не стоит к тем продуктам, к которым надо подбирать. А ко всему, собирая втихую информацию на машине и отправляя своим хозяевам, даже при снятой галке "о сотрудничестве" (на пять IP, по UDP), мной был изгнан и забыт. Да и в последних тестах Клементи показал себя, можно сказать, ни как.

XenoZ

Цитата:

Не хочешь отказываться от Каспера - ставь KIS, в чем проблема-то?

Повелся на лёгкий и гибко настраиваемый фаер .

Dimitr1s
Версия последняя 2.0.2.6. Попрбую конечно Ваш совет про прописку персональных правил без всяких ссылок на отдельные таблицы, но муторно это. Реализация привязки к разным правилам одних и тех же готовых шаблонов мне в Jetico очень понравилась - экономит время при настройке.
Приведу для наглядности таблицу приложений и настройку правил для Оперы в картинках - может углядите чего не так:

Рис. 1 Таблица приложений


Рис. 2 Таблица Оперы


Рис. 3 Таблица для чтения RSS


Рис. 4 Таблица для e-mail-клиентов


Рис. 5 Таблица для браузеров


Рис. 6 Таблица для обработки DNS-запросов


Обнаружил сей час вот такой косяк:


Похоже что-то накрутил я не так, жаль что защиты от дураков вроде меня в Джетико не предусмотрено. Как поправить? Я пока ни каких успехов не добился.

VN8
Ну начнём с главного:
Цитата:

Обнаружил сей час вот такой косяк:

Говорит о том, что где то есть пересечение взаимоисключающих правил. Пройтись по всем таблицам и найти, на предмет пересечения правил "Спросить" и "Запретить". Опять же в третий раз повторю, проще и надёжней прописать все правила, для всех приложений в отдельных таблицах, сделать один раз и не долго, останется на всегда.
Цитата:

но муторно это.

Для себя ж стараетесь.
Цитата:

Рис. 1 Таблица приложений

Хотя можно и как угодно, но лучше, во избежании бардака, сетевые правила и таблицы, разместить в "Сетевой активности" и проследить что бы правила не пересекались (правильно расположить, не нужные и дубли удалить).
Если не уверены на сто процентов зачем так надо, таблицы (особенно для приложений) должны заканчиваться так:

(таблиц: Таблица IP и Сеть, это не касается).
Если включена служба DNS-клиент, все приложения делают запросы через svchost.exe, лишние таблицы/правила DNS, можно удалить.
Если ни как не хотите отказываться от таблиц по умолчанию, проставьте перед правилами "Продолжить", правило
Попробуйте так сделать для начала, как будет работать?

VN8
Цитата:

Повелся на лёгкий и гибко настраиваемый фаер .

Легкий по весу - да; по настройкам - не сказал бы...

Цитата:

Обнаружил сей час вот такой косяк:

Application-Ask User-Network Activity:
вверху: accept
внизу: ask

accept='1' ask='0' - Application filter: network communications -> bypass
accept='0' ask='1' - Application filter: network communications -> learning mode
accept='0' ask='0' - Application filter: network communications -> stop learning

Комбинация accept='1' ask='1' - неопределенная (запрещенная)
('1' - флажок установлен, '0' - снят)
Неаккуратно играясь с флажками в таблице Network Activity (да и в любой другой, завязанной на главное окно), можно получить в Application filter: network communications самый неожиданный эффект. Помогает грамотная расстановка флажков и перезагрузка компа. Перезагрузкой гуя лечится не всегда.

Стоит английская версия, на русский, надеюсь, переведешь сам...

Попахивает багом: на похожий глюк натыкаюсь уже второй раз.

XenoZ

Цитата:

Легкий по весу - да; по настройкам - не сказал бы...

Немного off:
В новом KIS'е сделали проще некуда, "Автоматический режим", ткнул кнопку и всё "настроено".
Сам читал, юзверь пишет им в саппорт: "Установил KIS, пока изучал интерфейс, обновились все продукты от Adobe, на пол "гектара" и слетели реги ибо варёз, а трафик очень дорог, как же так?" Ему отвечают: "Нормально всё, так и задумано, не разбираетесь в продукте, не клевещите."

Dimitr1s
Ответный OFF: в КИСе, imho, все сделано по принципу - СЮДА_НЕ_ЛЕЗЬ_ЭТО НЕ_ТРОГАЙ_МЫ_ЛУЧШЕ_ЗНАЕМ_ЧТО_ТЕБЕ_НАДО

А Джетика в настройках да, легка... когда разберешься и в идеологию въедешь

XenoZ

Цитата:

Легкий по весу - да

Бережное отношение к системным ресурсам и подразумевал. С настройками тут как раз всё не просто, по крайней мере, для меня.

Dimitr1s

Цитата:

В новом KIS'е сделали проще некуда, "Автоматический режим", ткнул кнопку и всё "настроено".
Сам читал, юзверь пишет им в саппорт: "Установил KIS, пока изучал интерфейс, обновились все продукты от Adobe, на пол "гектара" и слетели реги ибо варёз, а трафик очень дорог, как же так?" Ему отвечают: "Нормально всё, так и задумано, не разбираетесь в продукте, не клевещите."

На это ещё в предрелизные времена многие жаловались, но разрабы сказали, что, мол, идите все лесом, у нас свой взгляд на самый правильный фаер: зачем ограничивать приложения, которые обычно безобидны.


Цитата:

Хотя можно и как угодно, но лучше, во избежании бардака, сетевые правила и таблицы, разместить в "Сетевой активности" и проследить что бы правила не пересекались (правильно расположить, не нужные и дубли удалить).

Хм, а на кой тогда таблица приложений? Кстати, в какой таблице лучше блокировать отдельные порты?
Спасибо всем за науку, пойду дальше разбираться.

VN8

Цитата:

Хм, а на кой тогда таблица приложений?

В Джетике можно пойти разными путями, в том и прелесть, но если только начали осваивать, лучше пойти самым лёгким, я бы посоветовал так:
Таблицу Сеть и таблицу Таблица IP не трогаем (по умолчанию).
Таблица Приложение - Вычищаем всё лишнее оставляем так:

Таблица Спросить пользователя - поступаем аналогично:

Доступ в сеть и Косвенный доступ в сеть - соответственно наполняем правилами по запросу, без необходимости в этих таблицах, ни чего не режем (если естественно программа не вызывает явных подозрений), как и в таблицах Контроль процессов и Контрольные суммы.
Все сетевые правила и таблицы, сосредотачиваем в таблице Сетевая активность, составляем (о чём выше был разговор), каждому приложению свою таблицу и обязательно прописываем к ней полный путь, тогда проблем будет меньше (или вообще не будет).
Выглядеть должно примерно так:

Там же размещаем общие правила типа - Открыть порт для соединений, Открыть порт для пакетов (UDP), тут опять же можно расположить ещё таблицы: Выше общих правил таблицы (приложения в них) не смогут их (общие правила) использовать (это если надо совсем зарезать, включая "прослушку" портов). А дальше проявите фантазию, сами уже .

Цитата:

в какой таблице лучше блокировать отдельные порты?

Смотря какие, если для всех таблиц (типа IP TV, через мультикаст и т.п.), то в Таблице IP, для приложений в ихних же таблицах (учитывая, что срабатывает правило, которое выше). Вообщем так где то.
PS Будете делать отдельные таблицы, следите (пока не будете абсолютно уверены), что бы они заканчивались как на фотке в низу, и обязательно для каждого правила полный путь к exe'шнику. В итоге, получите вопросы именно по этому приложению и авто-создание правил именно в этой таблице. Как пример таблица для лиса:

Dimitr1s
Сколько всего полезного, может FAQ или help для usera сделаете (вместе с XenoZ
)? По тихоньку и в шапку... а то тяжко собирать со всех страниц по нитке. Помница начал осваивать jetico (в начале года), да забросил из-за дел насущьных. Щас опять берусь =)

XenoZ

Цитата:

accept='1' ask='0' - Application filter: network communications -> bypass
accept='0' ask='1' - Application filter: network communications -> learning mode
accept='0' ask='0' - Application filter: network communications -> stop learning

Да уже всяко препробовал - не выходит ни чего. Можно либо "bypass" выставить, либо при отметке одного из чекбоксов learning mode/stop learning, они отмечаются оба автоматом, как на картинке. С чекбоксами в самой таблице вроде впорядке всё.

Dimitr1s
После переноса правил для приложений в таблицу сетевой активности и зачистки лишнего, как Вы и советовали, пациент пошёл на поправку: полтергейсты из логера исчезли, теперь там всё, вроде, предельно корректно выводится. Спасибо. Однако вдруг появилась какая-то локальная активность, которой ранее, до изменения настроек заметно не было, и без которой теперь ни одно веб-приложение в сеть выйти не может, а один раз и вовсе дисконнект приключился. Пришлось создать в таблице сетевой активности 3 общих правила без указания приложений:

Действие Протокол Событие Локальный адрес Удалённый адрес Удалённый порт

TeeHa1F

Цитата:

...может FAQ или help для usera сделаете...

Дело в том, что всё что здесь написано - исключительно ИМХО. Сами разработчики, не горят желанием сделать нормальный FAQ, кроме старого (2007 год) хелпа, найти из официального, что то проблематично, включая и их оф. форум. Количество оф.информации стремится к нулю.
VN8

Цитата:

После экспериментов было установлено, что реально необходимо для веб приложений только одно первое глобальное правило "0.0.0.0-0.0.0.0-0"

Не мудрено, что всё работает , т.к. 0.0.0.0-0.0.0.0-0 означает любой локальный адрес-любой удалённый адрес-любой удалённый порт. Все три правила удалить.
Исправлено: Пардон не заметил сразу, отвлёкся, что правило с нулями откр. порт для пакетов (UDP). В этом общем правиле можно ни чего не указывать в качестве адресов/портов, а также создать ещё одно общее разрешающее открыть порт для соединений, то же можно ни чего не указывать. Без этих правил ни чего работать не будет: первое разрешает открывать порты на прослушку по UDP, второе по TCP. (указывать что то безсмысленно, т.к. почти всегда идёт всё_на_всё).
Очень не хотелось бы писать FAQ, для продуктов ихней лаборатории... Поэтому в общих чертах, постараюсь попроще:
KAV работает как локальный прокси, правда с небольшими отличиями, слушает 1110 порт (начиная с KAV 7.0.0.3** добавили ещё 19780 и начались проблемы в связках со сторонними фаерами), ещё раз посоветую поставить версию KAV 7.0.0.125, в ней этих проблем нет. Так вот, для более менее сносной работы с версиями выше *.125, в реестр надо добавить "костыль" в ветке HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\AVP8\profiles\TrafficMonitor\settings найти параметр UseKavsend и изменить его значение на 1, НО! при изменении любой настройки KAV, "костыль" слетает и необходимы или перезапуск KAV, или перезагрузка.
Для "общения" приложений с avp.exe, через System, создадим правило в самом верху таблицы Сетевая активность:
Действие Протокол Событие Приложение Локальный адрес Удалённый адрес Удалённый порт

VN8
Цитата:

Да уже всяко препробовал - не выходит ни чего.

Так всяко и не надо Поставь переключатель в положение bypass и смотри в таблице: флажки должны быть сняты. Затем в таблице поставь флажок ask и перегрузи машину. В таблице accept должно быть самым первым правилом, ask - предпоследним (перед системным continue), возможно, что это критично.

Появится время и желание, - настучу в саппорт по этому багу

XenoZ

Цитата:

Появится время и желание, - настучу в саппорт по этому багу

Решил то же с флагами поиграться . Удалось достичь такого эффекта:


VN8
Попробуй: выгрузи Джетику, открой в C:\Program Files\Jetico\Jetico Personal Firewall\Config файл настроек: jpfconfig.xml (желательно чем-нибудь получше блокнота), найди строку начинающуюся так: <rule type="7" action="ask" name="Доступ в сеть"...> (... - там значения идут). Удали аккуратненько только её одну (стоку целиком от < до > ), вместо неё вставь такую: <rule type="7" action="ask" name="Доступ в сеть" log="1">
По идее должно стать по умолчанию:

Dimitr1s
Как я понял, режим флажка указывается строчкой ниже:

Код: <rule type="7" action="ask" name="Network Activity" log="3">
<control id="5" state="0x2" />

Прошедшей ночью Джетико был взят приступом и измором (по крайней мере, мне в это хочется верить), советы Dimitr1s и более аккуратная работа руками спасла отца русской демократии . Решил я вернуться к истокам и начать с нуля. С помощью мастера конфигурации была восстановленна исходная нетронутая грязными ламерскими руками конфигурация, которая затем была подвергнута аккуратному, вдумчивому редактированию без всяких размахиваний шашкой на право и налево. Как ни странно, но у меня вроде всё вышло . В журнале порядок, левых запросов, о которых я писал в прошлом своём посте, не наблюдаются, приложения ходят в сеть, даже правила для Каспера у меня вышли практически такие же как у Dimitr1s, за исключением мелких нюансов, некоторые из которых, возможно, имеют место быть из-за разности версий Каспера у нас.
По-поводу двойного чекбокса не угадал никто . Всё дело оказалость в неприметной на первый взгляд неактивной таблице "Allow everything", в которой содержится одно единственное правило с действием "разрешить" по умолчанию без каких-либо параметров. В первый раз я эту таблицу без задней мысли удалил вместе с другими ненужными мне предустановленными шаблонами, как оказалось зря.
Ещё раз всем спасибо, особенно Dimitr1s .

Dimitr1s

Цитата:

Дело в том, что всё что здесь написано - исключительно ИМХО...

Эм, немного не понял смысл ИМХО:
1. ИМХО для того кому пишете, тоесть частный случай настройки jetico
или
2. ИМХО для вас, тоесть то как вы видете, думаете как правильно надо (желательно, но не факт что именно так) настраивать.
Хотя я понимаю настраивать тут можно как душе угодно, главное не загнать "себя" и программу в угол...

Добавлено:
Да и попутно, хотелось бы уточнить как правильно сбросить все настройки jetico? Чтобы далее воспользоваться конфигуратором... (тут есть пару идей, но хотелось бы сразу определиться).

XenoZ
Нет, по идее, при изменении флагов должны меняться значения после:
<rule type="7" action="ask" name="Сетевая активность" log="1"flags="0x1">
flags="0x1" - bypass
без флага - learning mode
??? - stop learning
Stop learning как раз и не выставляется, из-за баги этой сборки.
Но в принципе, внимание можно и не обращать, правила всё равно имеют высший приоритет, а это какой то баг гуя. То есть если в таблице выставлено:

то и будет режим stop learning и т.д., не зависимо что отображается в Политике.
За что я люблю Джетику, в ней все баги не критичные .
TeeHa1F
Под ИМХО, понимается что мне кажется что так лучше, а может я и не прав, почитать никакие оф.спецификации негде.

Цитата:

как правильно сбросить все настройки jetico?

Очень просто, удалить файл jpfconfig.xml (и на всякий случай jpfconfig.xml.bak), при выключенной Джетике, из C:\Program Files\Jetico\Jetico Personal Firewall\Config и запустить Configuration Wizard.

Dimitr1s
Возможно и так, что за параметр flags - не разбирался. Хотя статус контрола указывается именно в параметре state:

Код: <control id="5" name="Application filter: network communications">
<state name="bypass" />
<state name="learning mode" />
<state name="stop learning" />
</control>
...
<table id="11" name="Network Activity" action="continue">
<rule type="7" action="accept" name="" flags="0x1">
<control id="5" state="0x1" />
...
<rule type="7" action="ask" name="Network Activity" log="3">
<control id="5" state="0x2" />

В первой Джетике возможно заблокировать одним правилом и входящие, и исходящие соединения к определённому IP?

Не могу понять что за пакеты у меня блокируются джетикой.
Создал таблицу для utorrenta
accept    TCP/IP    receive datagram 26881    
accept    TCP/IP    inbound connect     6881    
accept    TCP/IP    outbound connect    1024-65535    
В модеме пробросил порт 26881
Торрент работает как надо, но иногда в логе появляются записи

2008-09-26 07:54:55    reject    IP Table (Block All not Processed Protocol Packets)    48    TCP    incoming packet    10.152.210.140    192.168.1.50    4960    26881    TTL: 125; TOS: 0; ID: ED9D; Don't fragment; TCP flags: SYN ; TCP Seq: 6C95E3F4    
2008-09-26 02:30:03    reject    IP Table (Block All not Processed Protocol Packets)    40    TCP    outgoing packet    192.168.1.50    10.152.55.52    26881    3743    TTL: 128; TOS: 0; ID: A72D; TCP flags: RST ; TCP Seq: B696CC3E    

Если в ip table разрешить работу по этим портам в работе торрента имхо ничего не меняется, но все таки интересно что это за пакеты.
Может быть надо где-то включить stateful inspection? И где необходимо использовать stateful inspection?

Sagus

Цитата:

...заблокировать одним правилом и входящие, и исходящие соединения к определённому IP?

Можно:
Действие Описание Адрес источника Целевой адрес

Добавлено:
Dimitr1s

Цитата:

TCP искать: флаг SYN, флаг RST.

Спасибо, почитаю.

Цитата:

Если всё работает, зачем создавать лишние правила, да ещё в IP Table!

Качается и раздается нормально, но значек состояния соединения желтый, хотя тест порта проходит нормально.
А в ip table лучше не создавать правила и сделать свою таблицу? Или ключевое слово "лишние"?
А если для этих пакетов создать правила именно для флагов syn и rst?

Цитата:

По умолчанию, Stateful Inspection включена и в правилах таблицы Network и в IP Table.

Есть такое. И получается что эти пакеты не подходят под него.

igor20

Цитата:

А в ip table лучше не создавать правила и сделать свою таблицу?

Так Вы же пишите, что уже создали таблицу для uTorrent'a, в ней и создавать для этого приложения.
Цитата:

Или ключевое слово "лишние"?

У Вас в таблице для уже создано правило для uTorrent: accept TCP/IP outbound connect 1024-65535, то что Вы создаёте в IP Table по этим логам - дубляж.
Цитата:

Есть такое. И эти пакеты не проходят через это правило.

Stateful Inspection режет не ожидаемые пакеты, под это могут попасть и отдельные (не все) пакеты из имеющихся правил если Stateful "посчитает" что они не правильны или не нужны. Посмотрите по логам, если основная часть пакетов по правилу проходит, а режутся отдельные то всё нормально так и должно быть.
Другой вопрос, если Stateful режет абсолютно все пакеты, по созданному в таблице правилу, тогда да, нужно создавать отдельное правило в IP Table и расположить желательно выше правил Stateful. Но судя по тому что Вы пишите:
Цитата:

хотя все качается и раздается нормально и тест порта проходит.

проблем нет.
По теме: если интересно про Технологию Stateful Inspection

Ковыряюсь в Джетике где-то уже день четвёртый, и приходит осознание, что Джетика - это ВЕЩЬ. Я уже готов уплатить за него нажитое непосильным трудом.
Однако, журналу не хватает, ИМХО, гибкого фильтра как в Аутпосте, текущая его реализация через уровень логирования да ещё и через отдельное окно, вызываемое из главного меню, опять же ИМХО, не очень кошерна. XenoZ, я так понял, ты с разрабами время от времени переписываешься, у них там в планах не стоит прикрутить к логеру вменяемой фильтрации?
Не встречал ли кто-нибудь в сети какие-либо шпаргалки или рекомендации по допустимым типам скрытых процессов для конкретных приложений и системных служб. А то уж очень не хочется настраивать фильтр контроля процессов методом научного тыка, т.к. я вот лично практически понятия не имею без какого разрешения данная софтина/сервис может без ущерба для себя и окружающих работать, а без какого нет. Проще, ИМХО, сразу прописать вручную все допуски и разрешения для наиболее распространённых программ и сервисов.

Dimitr1s

Цитата:

Так Вы же пишите, что уже создали таблицу для uTorrent'a, в ней и создавать для этого приложения.

Да, но эти пакеты не попадают в эту таблицу, а блокируются IP Table (Block All not Processed Protocol Packets). Т.е. после фильтров Stateful Inspection. Вот меня и заинтересовало, что пакеты идут на порт торрента, но не обрабатываются его таблицей.

Цитата:

По теме: если интересно про Технологию Stateful Inspection

Спасибо, обязательно посмотрю.

ps извиняюсь за дублирующиеся сообщения

igor20

Цитата:

Да, но эти пакеты не попадают в эту таблицу

Так выше вроде бы подробно расписал, почему Stateful режет отдельные пакеты, и что сделать если режет все (редко но и такое бывает).
Цитата:

ps извиняюсь за дублирующиеся сообщения

От ни когда не поздно .
VN8

Цитата:

А то уж очень не хочется настраивать фильтр контроля процессов методом научного тыка

Если софт легитимный и не вызывает подозрений, то же касаемо и сервисов - ни чего запрещать в проактивке и не надо, на первых порах (вся не нужная сетевая активность порежется в аналогичной таблице). Если подозрения есть (кряки там и т.п.) то велкам на VirusTotal и пристально следить за: внедрение кода в процесс, установка системного перехватчика, запись в память приложения, сообщение другой программе (а то через IE всё ценное улетит ).
В Контрольных суммах запрещать вообще ни чего не надо, она для подсчёта SHA-1 и больше для информации. И желательно поддерживать порядок в этих таблицах, если правила однотипные, не плодить, а собирать в одно:

При обновлениях exe'шников, не создавать новые, а обновлять контрольные суммы в уже созданных правилах. Можно по алфавиту (по названию exe к примеру) раскидать .