» Jetico Personal Firewall

Dimitr1s

Цитата:

при патче ты теряешь цифровую подпись exe'шника программы, которая глубоко встраивается в систему. А на счёт политики Microsoft и цифровых подписей это отдельная тема

а что винда нормально работает только с "оцифрованными мс" программами? Мне казалось что это опционально в целом - больше дело зависит от кривизны рук программистов\крякеров
Цитата:

Во вторых, "сломаная" программа будет работать как угодно не предсказуемо, тем более от ребят

по поводу патча конечно да - как он "ломает" программу неизвестно. Соот-но вопрос вобщем по существу у кого как работает последний варезный релиз стабильно ли или как? Если нет то каккой постабильнее будет?
Цитата:

ем более от ребят, которые едят хлеб на криптографии.

несколько пофасно конечно (но я вас не виню), но замечу что все на чём то едят хлеб в программировании, но это увы не избавляет от безбожно глючного ПО, каковым на данном этапе является (опять же увы) jetico


Добавлено:
PS
Event Type:    Error
Event Source:    Application Error
Event Category:    None
Event ID:    1000
Description:
Faulting application jpf.exe, version 2.0.2.6, faulting module ntdll.dll, version 5.1.2600.5594, fault address 0x0001b1fa.

greenfox

Цитата:

Faulting application jpf.exe, version 2.0.2.6, faulting module ntdll.dll, version 5.1.2600.5594

По сути ошибки: проще говоря, ntdll.dll является прослойкой, для передачи функций, между пользователем и ядром системы. Тут два варианта:
Первый: Если ошибку вызывает только патченый jpf.exe и больше проблем нет, попробуй всё же поставить "чистый" дистрибутив с [more=триальной]-----BEGIN SIGNED MESSAGE-----
LICENSE_TYPE: Evaluation version
EXPIRATION_DATE: Thu Dec 11 15:50:06 2008 (4940E24E)
Signature:
BIGAJDvyr2wanfWsqYFuH/RdzMJWmyhHkMl4sTpbhPsjLBGainA8BJb9bLAca/89qdzc
0IILlgwyk+tEt44CfGQ0ya80my5WUTAnpjUMnygX7COTa/eDo/EdzYE4TsM6yG/z
ZDwtoq9/Csf0e8W6r22GRghb55DM78PhGwQGuToy3Bo=
-----END SIGNED MESSAGE-----[/more] лицензией и посмотри как будет.
Второй вариант: Если и с чистой установкой будет та же проблема, копай в сторону ntdll.dll, у меня на (SP3 + все обновы) версия ntdll.dll 5.1.2600.5512 к примеру, может файл испорчен или заменён был чем то, попробуй восстановить, ещё вроде хостфикс был 951312 менявший ntdll.dll, попробуй удалить если стоит (тут точнее не скажу).
По поводу остального, цифровых подписей, безбожно глючного ПО, кривых рук программистов - согласись зачем усугублять, ещё и "ломкой", программу, которая по твоему и так достаточно не стабильна.

greenfox, Dimitr1s
[more=ntdll.dll]C:\WINDOWS\system32\ntdll.dll
on Microsoft Windows XP Workstation version 5.2600


File Version Information :

Version language : Русский
CompanyName    : Корпорация Майкрософт
FileDescription    : Системная библиотека NT
FileVersion    : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
InternalName    : ntdll.dll
LegalCopyright    : © Корпорация Майкрософт. Все права защищены.
OriginalFilename    : ntdll.dll
ProductName    : Операционная система Microsoft® Windows®
ProductVersion    : 5.1.2600.2180

Creation Date    : 18/08/2004 15:00:00
Last Modif. Date    : 18/08/2004 15:00:00
Last Access Date    : 03/12/2008 14:30:51
FileSize    : 712192 bytes ( 695.500 KB, 0.679 MB )
FileVersionInfoSize    : 1844 bytes
File type    : Dynamic Link Library (0x2)
Target OS    : Win32 API (Windows NT) (0x40004)
File/Product version    : 5.1.2600.2180 / 5.1.2600.2180
Language     : Русский (0x419)
Character Set    : 1200 (ANSI - Unicode (BMP of ISO 10646)) (0x4B0)

Build Information :
Debug Version    : no
Patched Version    : no
Prerelease Version    : no
Private Version    : no
Special Build    : no[/more]
WinXP SP2 RUS + все обновления. Jetico 2.0.2.6 (официальный). Проблем с сетью не наблюдал.
(откуда у вас такие билды?... ну, на SP3 возможно билд 5512... а 5594-то откуда? или это Виста?)

Dimitr1s

Цитата:

По сути ошибки: проще говоря, ntdll.dll является прослойкой, для передачи функций, между пользователем и ядром системы. Тут два варианта:
Первый: Если ошибку вызывает только патченый jpf.exe и больше проблем нет, попробуй всё же поставить "чистый" дистрибутив с триальной лицензией и посмотри как будет.
Второй вариант: Если и с чистой установкой будет та же проблема, копай в сторону ntdll.dll, у меня на (SP3 + все обновы) версия ntdll.dll 5.1.2600.5512 к примеру, может файл испорчен или заменён был чем то, попробуй восстановить, ещё вроде хостфикс был 951312 менявший ntdll.dll, попробуй удалить если стоит (тут точнее не скажу).

я сейчас поставил 2.0.2.7 с другим патчем, посмотрю как себя ведёт эта "сборка". ПО системе - да, стоит как раз СП3 с постСП3-паком где есть тот самый патч kb951312, который меняет ntdll на указанную в логе ошибки версию.
Позже если трабл останется попробую поюзать как триал так и патч этот удалить соот-но.
Цитата:

По поводу остального, цифровых подписей, безбожно глючного ПО, кривых рук программистов - согласись зачем усугублять, ещё и "ломкой", программу, которая по твоему и так достаточно не стабильна.

так это безспорно - вопрос только что без патчей есть только триальная версия И как на зло нет свободных денег (да ещё и бэта-тестирование ПО выполнять за них)

XenoZ

Какая Vista? Это или очередной "эксперимент" проводится в Редмонде, либо, а я уже не раз встречался с такими фактами, это чья-то модификация библиотеки для обеспечения защиты своей программы. Последние месяца три-четыре банкиры на этом "поприще" стали заметно отличаться. Последнее что не решаются ещё трогать их программисты это само ядро - ntoskrnl.exe/ntoskrnlmp.exe. А ntdll.dll/user32.dll/shell32.dll модифицируют не задумываясь о последствиях. На вопрос: "Почему ломаете систему затирая вызовы системных библиотек?" часто следует ответ: "Иначе мы не можем подключить к программе защиту от фирмы "Рога и Копыта". Спрашивайте у них зачем и что они делают! А нас их защита более чем устраивает - объём нашей работы снижается во много раз и думать не надо, а деньги платят те же...". А контора "Рога и Копыта" говорит просто "Мы патентуем данный метод защиты и решения на его основе. Потому до получения патента на изобретение - без комментариев!". Этот ответ у них у всех типовой. Столкнулся с модификацией ядра не из-за JPFP, а при восстановлении у людей сети после вирусной атаки. Как оказалось там даже брандмауэр банковские программисты специально снесли для облегчения себе работы. Зато содрали с людей хорошо - 138576,78 рублей за программу, и ещё почти 170000 рублей за её "настройку". Я как эти счета увидел - дар речи потерял - такие деньги за халтуру... Да её красная цена рубля два на рынке в базарный день - сбоит, висит, да вдобавок и сама троян... Там не им платить, а с них деньги получать.

XenoZ
На SP3 изначально 5512, а KB вышеописанное, ставит 5594. На работе поэкспериментировал, "заводская" 2.0.2.6 и с тем и с другим работает без проблем...

greenfox

Цитата:

без патчей есть только триальная версия

Написал в личку, может подойдёт такой вариант.

Victor_VG
Ты их всех уволил, как я понимаю, так что нам, можно спать спокойно.

Dimitr1s

У меня тот вариант что в Варезнике с модификацией. Данное обновление поверх SP3 не стоит, зато стоит .NET35 SЗ1 и никаких ошибок не наблюдается, несмотря на очень сложную конфигурацию машины.

Victor_VG
Честно говоря, ни разу не наблюдал ни зависимостей, ни обращений "чистой" Джетики и её драйверов, ни к одному ресурсу из пакета .NET Framework 3.5 SP1. Если только в "крякнутой" функцию проверки лицензии "отломали" с учетом взаимодействия с ресурсами .NET 3.5 . А если серьёзно, про патч спорить не буду, у меня его нет, т.к. бог знает что на машину не тащу. Тут хозяин-барин.

Dimitr1s

Цитата:

Написал в личку, может подойдёт такой вариант.

да спс, интересный момент конечно. Думаю сюда можно запостить тоже - метод же не криминальный, а кому-н помочь может.
Единственный тут нюанс с этим "вечным триалом" что придётся "постоянно" мониторить новые версии, что само по себе плохо:
- новые версии новые баги, а бэта-тестирование не моя стратегия, да и банально времени нет;
- опять же надо тратить время на мониторинг - помнить что время у софтины закончится юзанья, что надо апгрейдиться и т.д. Опять же увы времени нет - в идеале софтина должна быть поставлена, сконфигурирована под себя и работать. Такие вещи как файервол или антивирь всё же покупаются (ставтся) для обеспечения рабоыт прикладного софта всё же, а не для того что бы с ними самими пользователь мучался

Но вариант рассмотерть коенчно можно такой

08-December-2008 | v.2.0.2.8
Changelog:
Visual Studio build process hangup fixed.
Hash calculation problem fixed.
Stateful ARP filtering imroved.
Process protection improved.
Registry monitoring improved.
New "change process privileges" process attack event introduced to control process privelege elevation.
Ukrainian translation created by Xa0c.
Language files updated.
Configuration template updated.

Changelog заманчивый , потестим.

Dimitr1s
Цитата:

Hash calculation problem fixed.

Мдя... Что там пофиксено, еще не разбирался, но сразу наткнулся на запрос с Event 0... При подтверждении к-рого создается правило, разрешающее все...

XenoZ
Да очередная поделка похоже...

Цитата:

Hash calculation problem fixed.

Теперь как раньше (при всех снятых флагах в Ask) не работает как надо, получается как ты описал. Что б заработало нужно в Ask выставлять так:

спасибо и на этом.
Цитата:

Process protection improved.

В Изменение важного объекта системы, как был в event'е один "важный" win.ini, так и остался.
Цитата:

Registry monitoring improved.

Добавили немного ключей.
Цитата:

New "change process privileges" process

Очередная пока_не рабочая фича. При запрете половина процессов прекрасно продолжают работать.
Из "нового" замеченного:
Теперь Punto Switcher вешает Джетику "с концами" (раньше, если подождать , отпускал), кто пользует - добавьте сразу в Контроль процессов к правилу Punto: Изменение важного объекта... и Изменение привелегий...
У меня The Bat! стал стартовать раза в два дольше (остальное без изменений вроде).

В принципе понятно что происходит, в погоне за прохождением тестов Матусека (после недавнего "падения" Джетики вниз), бросились накручивать проактивку и заодно на нас потестить, отсюда и все эти полу-рабочие/не рабочие фичи.
Теперь же, по достижении Level reached 10+:

будем надеяться количество, постепенно будет переходить в качество.

Не работает таблица "Сеть"!

Установил Висту х64. Мой любимый Оутпост с ней как-то непонятно работает: то не грузит рабочий стол, то невозможно выключить комп. Снес... Почитал "Лучший фаервол". Ага, выбор пал на Jetico Personal Firewall Скачал последнюю версию, установил, прописал правила. Два часа читал форум, вроде настроил, вроде разобрался с логикой, по которой правила создаются. Стал устанавливать Адоб Акробат Ридер - 1000 запросов! Да-да-да-разрешить... Установил с горем-пополам Запускаю - система подвисает! Причем реагирует только на RESET. Как я понял, для Jetico это нормально? И можно ли ваще отключить этот контроль компонентов? Т.е. оставить только сетевую часть? Или существует какое-то унивесальное правило?

Dimitr1s
Цитата:

Теперь как раньше (при всех снятых флагах в Ask) не работает как надо, получается как ты описал. Что б заработало нужно в Ask выставлять так:

И такая бодяга как раз при Event 0. Если событие (Event) нормальное (Access to network, Indirect access, Network activity), то правило создается корректно. Что бы это значило, нулевое событие? Может, это то, что раньше было нулевой хэш-суммой?
Типа выкрутились...


Цитата:

будем надеяться количество, постепенно будет переходить в качество.

Надежда умирает последней...
(как говорится, аннунах это чудо, откат на 2.0.2.6 и вся любоФ...)

Добавлено:
Mularik
Обрати внимание на правила для процесса Reader_sl.exe (Adobe Acrobat SpeedLauncher), особенно в таблице Indirect access. И лучше поставить 2.0.2.6. На 2-х последних билдах косяков немеряно...

Mularik

Не для Jetico, а для режима обучения. Просто иной раз сама система "долго думает". Будут созданы нужные правила - вопросы иссякнут. Не обращай внимания, просто обучай её. А на это нужно время.

XenoZ
Скорее всего, они пытаются реализовать, то что многие просили - что бы хэш подсчитывался один раз и запрос возникал бы только при изменении оного. Только получилось как всегда, немного недоделанным .
Цитата:

...откат на 2.0.2.6 и вся любоФ...

Да пару-тройку версий можно смело пропустить, ради спокойствия . А базу, я ночью пересобрал и забэкапил на будующее, с учётом новинок, от этого уже не отвертеться .

Victor_VG
Я не понимаю, для чего нужно время? Я один раз устанавливаю Акробат Ридер. Для этого нужно 555 правил в фаере устанвливать (причем, заметь, для одного единсвенного приложения)? Сколько же правил будет, например для Офиса 2007??? Система вообще пустая. Значит после того, как я там установлю все необходимые программы, база Jetico будет 100(200-500)М / 10000000 записей????
XenoZ
Очень интересная програмка Сначала создаем правило, потом пользуешься? У Акробат Ридера несколько сотен dll'ок. На все правила создавать?

Mularik

Цитата:

Два часа читал форум

По видимому два часа мало, т.к почти все твои вопросы подробно обсуждались, поэтому коротко:
Цитата:

Стал устанавливать Адоб Акробат Ридер - 1000 запросов!

Для Джетики каждый запущенный процесс - отдельный и это правильно, так и должно быть (все временные процессы запущенные из %temp%, при установке того же Acrobat'а тоже считаются отдельными). Как бороться вариантов много и все они обсуждались - как вариант, если очень доверяешь устанавливаемому приложению, создаёшь вверху таблиц правило Разрешить Всё, и включаешь на время установки программ, или переключаешься из трея на таблицу Разрешить Всё (на время установки).
Цитата:

И можно ли ваще отключить этот контроль компонентов? Т.е. оставить только сетевую часть?

Тоже самое, создаёшь вверху таблицы, которую хочешь отключить, правило Разрешить - и всё. Так же можно поставить контроль за определёнными действиями процессов в педпоследнем правиле таблиц Спросить - как пример тут:

Цитата:

Для этого нужно 555 правил в фаере устанвливать (причем, заметь, для одного единственного приложения)? Сколько же правил будет, например для Офиса 2007???

Ни сколько если пользоваться во всплывающем балуне кнопочкой На этот раз:

Цитата:

У Акробат Ридера несколько сотен dll'ок. На все правила создавать?

Если DLL не запускается как процесс, то не обрабатывается.
Цитата:

Очень интересная програмка Сначала создаем правило, потом пользуешься?

А как по твоему надо (возьмём вирус), чтоб он отработал, а потом правила?

Dimitr1s
Спасибо за разъяснения. Но, ИМХО, считать все программы вирусами - мягко говоря, неправильно.
Вообще, для меня непонятно, для кого вообще создан сей продукт? Для обычного пользователя? НЕТ. Тут профи репу чешут, как его заставить правильно работать.
Обчный пользователь просто со стула упадет в обморок, когда его начнуть заваливать этими вопросами. Для продвинутых пользователей? Тоже нет, ибо уровень должен быть уж ну очень продвинутым. Даже в игрушки фиг поиграешь
Всем спасибо за ответы.
"Извините, был напуган" (С) Эта "программа" не для меня.

Mularik
Jetico ничего не считает.
Считает ВАША таблица правил. Как и что вы нарисуете так Jetico и будет считать. Если вы захотите чтобы спрашивало определённые вещи - оно и будет спрашивать. Не захотите чтобы спрашивало - не будет. Всё определяете именно вы.
Jetico тем и хороша, что будет она закидывать вас вопросами (и если будет то какими вопросами и по поводу чего именно), или не будет.. всё это зависит только от ВАС.
Никто не запрещает выборочно или полностью разрешить или запретить абсолютно все возможные запросы. Никто не заставляет вас держать такую таблицу правил Jetico, заваливающую вас запросами по любому поводу.
Jetico тем и хороша, что только вы определяете чего вы хотите от неё. Только вы указываете ей как именно она должна себя вести. Разработчики дали нам в руки замечательный гибкий инструмент для этого. Но это только инструмент. Сам по себе он ничего не делает за вас, пока вы не научите его это делать. Это почти чистый лист, который по умолчанию только кричит вам обо всём что видит (а видит он всё).
Вам необходимо понимать чего вы хотите и понимать логику таблиц правил в Jetico. Это цена всемогущества. Это цена полного контроля. Естественно не все могут заплатить эту цену. Необходим определённый минимальный уровень знаний и желание разобраться с этим замечательным инструментом и его поведением, НАСТРОИТЬ его раз и навсегда чтобы он вёл себя всегда именно так как вам бы того хотелось, не в ущерб безопасности. Jetico за вас сама по себе ни с чем поверьте не разберёться. Jetico лишь инструмент.. Набор правил. ВАШИХ правил!

всем привет,

есть локалка (модем подключен к серверу по усб, к серверу подключен комп по Ethernet), с сервера раздается инет, на обоих компах стоит JPF 1.0.1.61

такая проблема:
если включен JPF на сервере то второй комп не может выйти в инет, если там все выключено - все норамально работает....
Пытался исправить это след образом: в таблицах System IP table, System internet zone создал правила, во всех полях стоит any, кроме Source adress там стоит Local network, однако, это не помогло.

в Configuration Wizard на обоих компах локалка стоит в доверенной зоне

как сделать чтоб второй комп имел доступ в инет при включенном фаере на сервере?

кто имеет опыт по настройке доступа Virtual PC или VMware в инет или сеть?
ставишь Политику - разрешить все - выход есть .. при Оптимальной защите нет (((

Int21h
Транзитные правила должны быть расположены выше, в таблице, чем правила Stateful Inspection.

mleo

Цитата:

ставишь Политику - разрешить все - выход есть .. при Оптимальной защите нет (((

Выставить логи на правилах с Action - reject и всё сразу прояснится.

Int21h
Полистай топик, уже выкладывал типовые правила из серии "Jetico vs ICS"

Dimitr1s
поставил 2 правила в System Internet Zone (на входящие:протоколTCP, Sorce adress - any, dest-192.168.0.0/24, в графе сорце порт постаил галку на Override port и указал 80(т к не нашел другого способа задать сорц порт), dest port - пусто(any). На исходящие: протоколTCP, Sorce adress - 192.168.0.0/24, dest-any, в графе сорце порт пусто(any), dest port - постаил галку на Override port и указал 80(т к не нашел другого способа задать дест порт)). Оба эти правила стоят перед правилами Stateful TCP Inspection и Stateful UDP Inspection    ...все равно инет не проходит через сервер(

или мож я не туда их поставил? а надо было в System IP table перед отправкой на проверку(строкой) System Internet zone (incoming и outcoming)?

XenoZ
нашел только на 14(15) странице, но тот способ не сработал
        

Int21h
Что-то ты не там искал... стр.121
Правила для Джетики 2, но для первой тоже должны подойти.
(по-английски, т.к. писал в свое время для оффорума)

P.S. правила создавались по логам, проверены, рабочие.


Цитата:

dest port - постаил галку на Override port и указал 80(т к не нашел другого способа задать дест порт)

В Джетике 1 порт задается именно так: надо поставить галку на Override port.

XenoZ

спс за помощь,
прописал те правивила в Систем интернет зоне перед Стейтфул Испектион(в правилах взамен Internet ставил any), инет заработал, но аська(R&Q) не пашет, пишеть что не может приконектится (случаем не знаете по какому она протоколу работает?), торент оже не работает(

Int21h
Так те правила как пример. Открывают доступ к DNS-серверу (UDP 53 порт) и HTTP(s) (TCP 80, 443 порты). Для аськи нужно отдельно, по такому же принципу, открыть доступ на TCP порт 5190. Про торрент не скажу - не пользуюсь.

Int21h
Я вот не пойму, к чему столько мучений? Если:
Цитата:

Int21h писал...на обоих компах стоит JPF 1.0.1.61

создай на сервере одно правило, выше Stateful на адрес второй машины по типу any - any, а на ней разрули всё стандартным образом. Или на крайний случай "обрежь", опять же, в этом, одном правиле всё что не нужно, остальное разреши на адрес второй машины, если она тоже фаерволится. Так проще будет, т.к. торрент ограничивать бесполезно, по крайней мере, со второй машины ты его выпустишь из таблицы приложений.