DefenseWall V3

[QUOTE=rav;540521]Значит, или экспертный режим, или скачивалось доверенным браузером, или эта зона попала в исключения недоверенных приложений, или была вручную запущена доверенной/перемещена в доверенную зону. Чудес не бывает, недоверенность наследуется.[/QUOTE]
Теперь понял, видимо 2ое (кстати, а как быть в том случае, что я писал ранее, нестандартный путь хрома и он запустился как доверенный), скачал тест через недоверенный файрфокс, DW спросила как его запустить.
Кстати во время теста вылетел интернет, может и совпадение, но лог выслал на почту.
[QUOTE=rav;540521]Зачем? Как это относится к защите доверенной зоны песочницы?[/QUOTE]
В общем понятно, для этих целей придется ставить отдельный продукт. :xmas:
Взаимодействует/конфликтует ли DW с встроенным брандмауэром ?
[QUOTE=rav;540521]Там же, где и все остальные логи. Закладка "Events log".[/QUOTE]
Понятно, буду ждать ситуаций.
[QUOTE=rav;540521]Чудес не бывает. Значит, что-то изменилось. Но программа не удаляет элементы таких критических списков. Нужно просто изменить статус защиты этого файла.[/QUOTE]
А вот с этим случаем всё непонятно, ибо ничего не менялось точно.

[QUOTE=Surfer;540602]кстати, а как быть в том случае, что я писал ранее, нестандартный путь хрома и он запустился как доверенный[/QUOTE]
Вопрос не в нестандартном путе, а в отсутствии соответствующих ключей реестра, видимо. Либо там невалидная информация.

[QUOTE=Surfer;540602]
Кстати во время теста вылетел интернет, может и совпадение, но лог выслал на почту.[/QUOTE]
Ответил в почту.

[QUOTE=Surfer;540602]
Взаимодействует/конфликтует ли DW с встроенным брандмауэром ?[/QUOTE]
Скорее, живут раздельной жизнию, не мешая друг другу.

[QUOTE=Surfer;540602]
А вот с этим случаем всё непонятно, ибо ничего не менялось точно.[/QUOTE]
Ничего не могу сказать. Гадать не умею, а технической информации нет.

[QUOTE=rav;540608]Вопрос не в нестандартном путе, а в отсутствии соответствующих ключей реестра, видимо. Либо там невалидная информация.[/QUOTE]
Так это глюк, или нормальное поведение ?

[QUOTE=Surfer;540613]Так это глюк, или нормальное поведение ?[/QUOTE]
Надо смотреть. Мне нужно содержание следующих ключей реестра:

HKEY_CLASSES_ROOT\ChromeHTML\shell\open\command

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Google Chrome

Эмм, видимо забыл упомянуть, что хром портабельный (версия 4.0 девелоперские билды), запускается через лоадер, поэтому данных ключей в реестрее нет (даже когда запущен). По дисконнектам и их причинам завтра посмотрю.

[QUOTE=Surfer;540639]Эмм, видимо забыл упомянуть, что хром портабельный (версия 4.0 девелоперские билды), запускается через лоадер, поэтому данных ключей в реестрее нет (даже когда запущен).[/QUOTE]
Ну тогда естественно. Как мне его искать? Чудом?

Забыл поставить галку о том, что нужно удалить настройки при деинсталляции, теперь не устанавливается новый билд, пишет триал истёк.
Что удалить ?

[QUOTE=Surfer;558544]Забыл поставить галку о том, что нужно удалить настройки при деинсталляции, теперь не устанавливается новый билд, пишет триал истёк.
Что удалить ?[/QUOTE]Скорее всего, нужно удалить [URL="http://www.softkey.ru/catalog/program_ver.php?sphid=29600604&ID=23576#o50505"]499 рублей[/URL] из карманов ;)

[QUOTE=Surfer;558544]Забыл поставить галку о том, что нужно удалить настройки при деинсталляции, теперь не устанавливается новый билд, пишет триал истёк.
Что удалить ?[/QUOTE]
В смысле "что удалить"? Если есть желаение пользоваться программой далее, но нет желание тестировать- текущая цена 499 рублей. Если есть желание быть тестировать далее- нужно написать мне на почту, договоримся.

[QUOTE=rav;558670]В смысле "что удалить"? Если есть желаение пользоваться программой далее, но нет желание тестировать- текущая цена 499 рублей. Если есть желание быть тестировать далее- нужно написать мне на почту, договоримся.[/QUOTE]
А разьве нерелизный софт можно купить ? :) Тема вроде для тестирования как раз. Ок, напишу.

[QUOTE=Surfer;558771]А разьве нерелизный софт можно купить ? [/QUOTE]
Учитывая, что обновление на V3 будет абсолютно бесплатным для всех пользователей, у которых рабочие лицензии- да, можно! :)

DefenseWall V3 установил на Vmware (XP SP3). Firefox, thunderbird отмечены как untrusted application. На вкладке Firewall для обоих приложений выставлено "deny for untrusted". Тем не менее, оба приложения нормально выходят в инет. Это нормально ?

На вкладке "Firewall" для них должно быть "allow for untrusted"- это стандартное состояние по умолчанию. И если они выходят в Сеть- значит, так оно и есть. Хотелось бы посмотреть на скриншот вкладки "Firewall".

в том и дело, что я изменил правило для firefox на "deny for untrusted"... firefox по прежнему выходит в инет.

Значит, что-то не то. Я у себя на не могу воспроизвести эту ситуацию. Нужно попробовать скачать и установить последнюю сборку Beta5. Если проблема всё ещё сохраняется, то нужно обязательно написать мне на электронный ящик техподдержки, я пришлю драйвер с отладочным выводом.

Ок. Возможно, у меня старая версия. от 7дек. 2009г.
[quote]CRC32: C3DF47D6
MD5: 4754B22E22D723533048F7D27D22BC5A
SHA-1: B1FB8AEB6314824C6664D0DA760CE9EAA3451A3F[/quote]

От 7 декабря? Древность несусветная. Свежая сборка Beta5 залита для тестов буквально десять минут назад.

Действительно, в свежей сборке фаерволл блокирует untrusted application, если для приложения выбрано запрещающее правило. [b]rav[/b], как в дальнейшем вы планируете развивать DefenseWall: отдельно HIPS и отдельно HIPS+Firewall? Следует ли ожидать в будущем усиления связки HIPS+Firewall дополнительным компонентом?

1. Как я уже обещал, будут отдельные версии HIPS и Personal Firewall (которая фактически есть HIPS+сетевые фильтры), различающиеся ценой и одним ключом в реестре. :)
2. Если всё пойдет так, как я расчитываю, то следующим компоненто в связку пойдёт чей-нибудь антивирусный движок для автоматической вычистки трупиков зловредов с компов.

При тестировании DW, как-то было выдано сообщение от недоверенного процесса, что не найден модем. Я открыл окно запущенных процессов и увидел, что среди доверенных есть процесс admin.exe (скриншот, к сожалению, не сделал). После очистки системы через "File and Registry Rollback", файл admin.exe не был найден.

Не знаю, что за admin.exe такой. Может, [url=http://virusinfo.info/showthread.php?t=36245]вот это[/url] оно?

[QUOTE=rav;582222] Может, [URL="http://virusinfo.info/showthread.php?t=36245"]вот это[/URL] оно?[/QUOTE]
Возможно. Также может быть [URL="http://www.auditmypc.com/process/admin.asp"]это[/URL].

[size="1"][color="#666686"][B][I]Добавлено через 6 часов 14 минут[/I][/B][/color][/size]

Наткнулся ещё раз. :)
Фаерволл отключен.

[URL=http://www.radikal.ru][IMG]http://s006.radikal.ru/i213/1002/75/ab8ff4c5316a.jpg[/IMG][/URL]

Вот сейчас запустил admin.exe и он оказался среди доверенных процессов. DW в трее при этом показывает, что имеется 2 недоверенных процесса. Нажимаю на "Stop Attack" и вылетает BSOD.

[URL=http://www.radikal.ru][IMG]http://s004.radikal.ru/i208/1002/2d/6fb2d463e929.jpg[/IMG][/URL]

[URL=http://www.radikal.ru][IMG]http://s56.radikal.ru/i154/1002/a9/79184a5b85b0.jpg[/IMG][/URL]

[QUOTE=avsdeg;583694]Вот сейчас запустил admin.exe и он оказался среди доверенных процессов. DW в трее при этом показывает, что имеется 2 недоверенных процесса. Нажимаю на "Stop Attack" и вылетает BSOD.[/QUOTE]
admin.exe в недоверенной зоне? Какая версия DefenseWall? Он скачивался недоверенным браузером?

[QUOTE=rav;583731]admin.exe в недоверенной зоне?[/quote]
Он есть во вкладке "Untrusted Applications".
[QUOTE=rav;583731]Какая версия DefenseWall?[/quote]
V3, скачанная пару дней назад.
[QUOTE=rav;583731]Он скачивался недоверенным браузером?[/QUOTE]
Да.

[B]avsdeg[/B], дело происходит в виртуал боксе или в реальной системе?

[QUOTE=Alex_Goodwin;584024][B]avsdeg[/B], дело происходит в виртуал боксе или в реальной системе?[/QUOTE]
VirtualBox.

Тогда очень странно. Я запускал на VirtualPC и VirtualBox- всё в порядке, стартует и работает в недоверенной зоне. А что говорит "File properties" пункта "DefenseWall" контекстного меню? "Untrusted"?

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

Да, как я понимаю, там стоит Windows XP?

[QUOTE=rav;584186]Тогда очень странно. Я запускал на VirtualPC и VirtualBox- всё в порядке, стартует и работает в недоверенной зоне.[/QUOTE]
Да, у меня сейчас тоже самое.

Переход admin.exe в доверенные процессы воспроизводится не регулярно.

[QUOTE=rav;584186]А что говорит "File properties" пункта "DefenseWall" контекстного меню? "Untrusted"?[/QUOTE]
Да.
[QUOTE=rav;584186]Да, как я понимаю, там стоит Windows XP? [/QUOTE]
Да, Windows XP Pro SP3.

[QUOTE=avsdeg;584193]Переход admin.exe в доверенные процессы воспроизводится не регулярно.[/QUOTE]
А что-нибудь ещё на машине из софта по безопасности стоит?

[size="1"][color="#666686"][B][I]Добавлено через 24 минуты[/I][/B][/color][/size]

Я посмотрел свой код на предмет возможных мест, откуда могут произрастать ноги этой ошибки. Новая сборка загружена на сервер, нужно проверить её на предмет проблемы с admin.exe, поскольку я воспроизвести её, как ни пытаюсь, не могу.

[QUOTE=rav;584201]А что-нибудь ещё на машине из софта по безопасности стоит?
[/QUOTE]
Нет.

[size="1"][color="#666686"][B][I]Добавлено через 29 минут[/I][/B][/color][/size]

[QUOTE=rav;584201]
Я посмотрел свой код на предмет возможных мест, откуда могут произрастать ноги этой ошибки. Новая сборка загружена на сервер, нужно проверить её на предмет проблемы с admin.exe, поскольку я воспроизвести её, как ни пытаюсь, не могу.[/QUOTE]
То же самое.

Всё понятно. Тут дело в том, что зловредный процесс постоянно себя перезапускает. При этом, когда DefenseWall пытается выяснить, какой статус у процесса, то его запись уже удалена и визуально он будто бы доверенный.

Реального же пробоя системы безопасности нет. Только виртуальный. И, судя по всему, такое вот не лечится- сразу в морг. :)

[QUOTE=rav;584332]Всё понятно. Тут дело в том, что зловредный процесс постоянно себя перезапускает. При этом, когда DefenseWall пытается выяснить, какой статус у процесса, то его запись уже удалена и визуально он будто бы доверенный.

Реального же пробоя системы безопасности нет. Только виртуальный. И, судя по всему, такое вот не лечится- сразу в морг. :)[/QUOTE]
Понятно, спасибо.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 19 минут[/I][/B][/color][/size]

Встретился со зловредом, который постоянно создает новый процесс IEXPLORE.EXE (окон нет). Это не критично для работы системы?

[URL=http://www.radikal.ru][IMG]http://s003.radikal.ru/i201/1002/d5/5a23f75d876e.jpg[/IMG][/URL]

Ну, это не критично за исключением того, что жрутся дополнительные ресурсы системы. Но зловред может и так их отъесть, без использования дополнительных процессов.

Хотелось бы, чтобы программа запоминала последнюю открытую вкладку.
PS по впн пока тихо.

Это сделать несложно, а какой смысл? Я понимаю- в браузерах это важно, а в Defensewall зачем?

Часто приходится смотреть лог, поэтому было бы намного удобнее.

Иконка об отклченных файрволах как-то настраивается или ей висеть обязательно ?
2 иконки имхо многовато :)

Обязательно. И по-другому выводить соответствующее сообщение не выходит.

Илья, извините если немного не в тему, но Вы планируете подписывать DW цифровым сертификатом или, если это по каким-либо причинам неприемлемо или неудобно, может стоит хотя бы указать на сайте контрольные суммы файлов дистрибутива?