+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Zapory sieciowe (Firewall'e) (https://safegroup.pl/forum-9.html)
+--- Wątek: SpyShelter Firewall (/thread-4263.html)
RE: SpyShelter Firewall - ichito - 26.09.2015
@wortax
Wg mnie to nie jest "wina" programu, ale jedna z jego funkcji..."kontrola startu aplikacji" to moduł, w którym określać możemy co nam i w jaki sposób się uruchomi...np. jeśłi nie chcę by przeglądarka internetowa uruchamiał się z menadżera plików (Free Commander), to do jego procesu dodaję regułę blokowania procesu przeglądarki...wtedy może się ona uruchomić z pulpity czy zasobnika, ale nie da rady z ikony procesu widocznej w FC....dostaniemy komunikat.
Ten moduł to jakby zbiór nadrzędnych reguł...jakby coś w stylu anti-exe czyli blokowania zdefiniowanych programów.
Niektóre programy rozumiemy i znamy mniej, ale nie oznacza to, że są one czemuś winne
Pamiętam kilka lat temu spory o działanie ThreatFire i zrzuty, że sypie FP i ostrzega o uruchamianiu czy akcjach znanych programów, co było bzdurą, bo dla tego programu każda akcja na pewnym poziomie czułości była podejrzana.
RE: SpyShelter Firewall - wortax - 26.09.2015
Być może. Teraz badam SpyShelter z innej strony. Zablokowałem w svchost.exe ruch na wszystkich portach (na połączeniach wychodzących i przychodzących na prtokoółach tcp i udp). I co ?? Przeglądarka normalnie działa i w logach przepuszcza ruch z svchost.exe... Muszą tam być jakieś ukryte reguły globalne zezwalające ruch dla svchost.exe. Zresztą sprawdźcie se sami
Microsoft może spać spokojnie, zwłaszcza jak ma się Windows 10
RE: SpyShelter Firewall - nikita - 26.09.2015
SSF cały czas blokuje mi proces auto-aktualizacji Opery. SpyShelter zablokował ustawienia hook dla procesu opera_autoupade.exe - Kod akcji 33. Wygląda jakby klikanie "zezwól" i tworzenie reguły nie pomagały. Spotkał się ktoś z tym?
RE: SpyShelter Firewall - gravity1287 - 26.09.2015
(26.09.2015, 12:31)wortax napisał(a):Chwila. Blokując svchost.exe chcesz mieć zablokowany Internet? Nie wiem na ile to prawda, bo piszę z tego co kiedyś słyszałem/wyczytałem/dowiedziałem się i może żyję w wielkim błędzie, ale svchost.exe to proces "nadzorujący" uruchamianie innych procesów, taki jakby kontener dla nich. Jeśli więc za jego pomocą uruchomi się przykładowo Internet.exe (a właściwie to Internet.dll, bo proces ten ładuje .dll) dający dostęp do internetu, to dlaczego sądzisz, że zablokowanie procesu svchost.exe spowoduje blokowanie Internet.exe. Przecież regułę masz tylko na svchost.exe, który faktycznie nie robi połączenia z internetem, tylko np. pokazuje statystyki karty sieciowej ile kb danych przez nią przepływa, ale sam Ci internetu nie tworzy/udostępnia/whatever..[Aby zobaczyć linki, zarejestruj się tutaj]
Być może. Teraz badam SpyShelter z innej strony. Zablokowałem w svchost.exe ruch na wszystkich portach (na połączeniach wychodzących i przychodzących na prtokoółach tcp i udp). I co ?? Przeglądarka normalnie działa i w logach przepuszcza ruch z svchost.exe... Muszą tam być jakieś ukryte reguły globalne zezwalające ruch dla svchost.exe. Zresztą sprawdźcie se sami
To tak jakby Twój ojciec (firewall) zabronił Ci (jesteś procesem svchost) jeździć swoim sportowym samochodem żebyś nie spowodował wypadku i nie rozbił mu auta(Internet). Ale ty masz syna (proces potomny wywołany przez svchost, który może uruchomić Internet) i dajesz mu kluczyki, a on powoduje wypadek. I nagle ojciec się dziwi że jego Ferrari roztrzaskane, chociaż cały czas siedział z Tobą i Ciebie pilnował :crazy:
Jak chcesz zablokować Internet w przeglądarce to wskazujesz plik przeglądarki i tam blokujesz. SS nie ma reguł globalnych, więc możesz blokować tylko pliki. Także chcąc zablokować Internet przez SS, musisz znaleźć pliki które sprawiają że ten Internet działa. I nie jest to svchost, bo svchost tylko pośredniczy w uruchomieniu Internetu, ładując usługi w postaci plików .dll, dzięki którym masz internet. Teraz wystarczy tylko znaleźć wszystkie pliki .dll pozwalające na korzystanie z internetu i je zablokować
Aha, żeby było "łatwiej", bezpośrednio z interfejsu SpySheltera nie dodasz reguły dla pliku .dll takiego jak Wlansvc.dll (siedzącego w katalogu system32), odpowiedzialnego za działanie usługi Autokonfiguracji sieci WLAN. Ułatwię Ci zadanie: możesz jednak wejść do C:\Windows\System32 i tam znaleźć nazwa_plik.dll, kliknąć go PPM i z menu kontekstowego SpySheltera wybrać Dodaj do listy ograniczonych lub Dodaj do listy wyjątków. Wtedy pojawi ci się ten plik .dll na liście reguł i tam sobie zmodyfikujesz jego regułę. Miłej zabawy!
PS.
Pochwal się jak znajdziesz już wszystkie pliki uruchamiane przez svchost, które sprawiają że działa internet
Wg twojego podejścia SS musiałby głębiej wchodzić w taki svchost.exe i badać co robią wszystkie uruchomione przez niego pliki .dll, a że svchost był stworzony do tego by ukryć jakie usługi uruchamia, to prawdopodobnie kontrola nad svchost nad każdym plikiem którego się dotknął zamuliłaby ci komputer. Dopóki w SS nie ma reguł globalnych do modułu Firewalla, dopóty nie ma sensu próbować stworzyć reguły dla wszystkich plików ograniczając działanie internetu. Chyba że zaryzykujesz i dodasz cały folder Windows i dasz regułę blokującą sieć dla folderu i wszystkich plików w nim się znajdujących - ale czy o to chodzi? Lepiej użyć firewalla obsługującego globalne reguły.
RE: SpyShelter Firewall - Quassar - 26.09.2015
No ja sie doszukałem luki gdzie SSFW - Zapora, w ogóle nie monitowała ruchu
Czyli każda aplikacja korzystająca, używająca tej metody byłą by nie widoczna dla SSFW.
Ale poprawka już dodana i działa prawidłowo
RE: SpyShelter Firewall - juh - 26.09.2015
Czy SpyShelter Firewall podczas uruchamiania systemu od razu blokuje ruch który spersonalizowałem? Czyli czy jest program aktywny w chwili uruchamiania systemu? I żaden inny program nie przeciśnie się, nie zdąży połączyć się z internetem? Ogólnie to czy to domena większości Firewalli?
RE: SpyShelter Firewall - wortax - 26.09.2015
(26.09.2015, 15:01)gravity1287 napisał(a):[Aby zobaczyć linki, zarejestruj się tutaj]
(26.09.2015, 12:31)wortax napisał(a):Przecież regułę masz tylko na svchost.exe, który faktycznie nie robi połączenia z internetem, tylko np. pokazuje statystyki karty sieciowej ile kb danych przez nią przepływa, ale sam Ci internetu nie tworzy/udostępnia/whatever..[Aby zobaczyć linki, zarejestruj się tutaj]
Być może. Teraz badam SpyShelter z innej strony. Zablokowałem w svchost.exe ruch na wszystkich portach (na połączeniach wychodzących i przychodzących na prtokoółach tcp i udp). I co ?? Przeglądarka normalnie działa i w logach przepuszcza ruch z svchost.exe... Muszą tam być jakieś ukryte reguły globalne zezwalające ruch dla svchost.exe. Zresztą sprawdźcie se sami
Właśnie że robi, nie raz już kilkadziesiąt MB zostało przez svchost.exe odebranych, podczas gdy w regułach była zablokowana na wszystkich portach i rodzajach połączeń. Nawet port 53 był zablokowany a mimo wszystko wszystko działa. Dziwne.
RE: SpyShelter Firewall - gravity1287 - 26.09.2015
(26.09.2015, 22:27)wortax napisał(a):Nie przez svchost.exe a przez usługę która z niego korzysta:/ A jak Ci tak zależy na blokowaniu svchost i połączeń przez niego przechodzących (nie wykonywanych) to wejdź już w Firewalla SS, aktywność sieciową i odszukaj wszystkie svchost. Klikasz 2x na svchost i po kolei dodajesz do blokowania każdy adres który pojawia się w serwerach tego procesu. Jest tego dużo, bo to nie jest svchost.exe tylko wszystkie usługi jakie są przez niego uruchamiane i się łączą z serwerami i to im zablokujesz dostęp. Jak pojawi się nowa usługa to znowu będziesz musiał odszukać nowe ip i zablokować.[Aby zobaczyć linki, zarejestruj się tutaj]
Właśnie że robi, nie raz już kilkadziesiąt MB zostało przez svchost.exe odebranych, podczas gdy w regułach była zablokowana na wszystkich portach i rodzajach połączeń. Nawet port 53 był zablokowany a mimo wszystko wszystko działa. Dziwne.
Może teraz zrozumiesz że jest procesów svchost.exe kilka/kilkanaście i to jest pośrednik uruchamiający inne usługi (obsługuje .dll, a exe'ki nie potrzebują svchost do działania). Natomiast on sam nie nawiązuje połączenia. A w innych firewallach działa zablokowanie svchost.exe i nie masz dostępu do Internetu po jego blokadzie, bo masz w tamtych firewallach obsługę reguł globalnych dla usług systemowych. Jak by SpyShelter miał reguły globalne, to byś wpisał blokowanie portu 53 i by Ci wszędzie działało.
Inaczej tłumacząc, jeśli chcesz zablokować globalnie przez SS dany port, to musisz znaleźć każdą aplikację która z niego korzysta i dodać dla nich wszystkich regułę blokującą ten port. Nie ma reguł globalnych to nie zrobisz tego inaczej.. Tak samo svchost blokując nie zablokujesz ruchu, bo to nie svchost go wykonuje tylko usługi pod niego podpięte. Musisz dotrzeć do źródła, czyli tych usług, które są plikami .dll (jak je blokować napisałem w poprzednich postach). Możesz też zrobić jak wyżej napisałem i przez Firewall>Aktywność sieciowa dla każdego svchost blokować każdy adres z którym się łączy. Jak zablokujesz wszystkie adresy to już też nie będą Ci te usługi korzystały z internetu - tylko później się zastanawiaj który adres IP dać na Zezwól, aby można było przeprowadzić aktualizację windowsa, czy przywrócić działanie kafelka z pogodą..
Zablokuj sobie program NetWorx SpyShelterem, bo wyświetla Ci zużycie transferu, i miej pretensje, że po jego blokadzie nie został zablokowany Internet. Mniej więcej na tym samym polega twój problem - chcesz zablokować svchost który nie pobiera danych z Internetu (dane pobierają usługi które są prezentowane pod svchost - wpisz w cmd tasklist /svc i pooglądaj sobie co kryje się pod svchost.exe) i masz pretensje że internet dalej działa. Jak wprowadzą reguły globalne, to będzie port blokowany, ale na razie musisz blokować określoną usługę czy konkretną aplikację, a nie jakiś proces maskujący działanie innych usług.
RE: SpyShelter Firewall - wortax - 27.09.2015
W takim razie powinni w końcu dodać tę obsługę reguł globalnych. To by ułatwiło bardzo sprawę i wielu użytkowników tego chce. Czytałeś ten temat ?
[Aby zobaczyć linki, zarejestruj się tutaj]
Tutaj piszą że można na svchost.exe wszystko zablokować i puścić tylko port 53.
RE: SpyShelter Firewall - gravity1287 - 27.09.2015
(27.09.2015, 09:06)wortax napisał(a):[Aby zobaczyć linki, zarejestruj się tutaj]
Tutaj piszą że można na svchost.exe wszystko zablokować i puścić tylko port 53.
Ale nikt nie napisał że zrobił to przy pomocy SpySheltera;-) Można to zrobić przez fierwall Windowsa, lub bezpośrednio na routerze
Przy okazji, jeśli będziesz miał odblokowany tylko port 53 (TCP/UDP) to prawdopodobnie pożegnasz się z aktualizacjami do Windowsa czy innych programów. Lepiej blokować niebezpieczne porty.. Kiedyś używałem firewalla Kerio (wg mnie lepszego do tej pory nie spotkałem) i z automatu do blokowania szły porty: TCP 135, UDP 135, TCP 137, UDP 137, TCP 139, UDP 139 i UDP 445, co nadal bym polecał blokować, bo pewnie nadal większość trojanów itp badziewia korzysta z tych portów.
RE: SpyShelter Firewall - wortax - 27.09.2015
(27.09.2015, 15:53)gravity1287 napisał(a):[Aby zobaczyć linki, zarejestruj się tutaj]
(27.09.2015, 09:06)wortax napisał(a):[Aby zobaczyć linki, zarejestruj się tutaj]
Tutaj piszą że można na svchost.exe wszystko zablokować i puścić tylko port 53.
Ale nikt nie napisał że zrobił to przy pomocy SpySheltera;-)
Temu też mam nadzieję że ta sytuacja w przyszłych wersjach zostanie zmieniona
RE: SpyShelter Firewall - ichito - 28.09.2015
Nie wiem...ale ta dyskusja o "brakach" w zaporze SS jest dla mnie nieco bez sensu i to z kilku powodów:
- zapora nie jest zasadniczym modułem i funkcją programu i wydaje mi się, że chyba taki był zamysł producenta
- zapora była i jest dla mnie raczej programem do filtrowania pakietów i kontroli aplikacji, które chcą nasłuchiwać lub łączyć się z siecią, a nie do blokowania portów
- należy przede wszystkim uporządkować pracujące aplikacje i usługi, usunąć lub powyłączać te zbędne i dopiero brać się za porządki w połączeniach.
RE: SpyShelter Firewall - wortax - 28.09.2015
(28.09.2015, 07:09)ichito napisał(a):[Aby zobaczyć linki, zarejestruj się tutaj]
Nie wiem...ale ta dyskusja o "brakach" w zaporze SS jest dla mnie nieco bez sensu i to z kilku powodów:
- zapora nie jest zasadniczym modułem i funkcją programu i wydaje mi się, że chyba taki był zamysł producenta
- zapora była i jest dla mnie raczej programem do filtrowania pakietów i kontroli aplikacji, które chcą nasłuchiwać lub łączyć się z siecią, a nie do blokowania portów
- należy przede wszystkim uporządkować pracujące aplikacje i usługi, usunąć lub powyłączać te zbędne i dopiero brać się za porządki w połączeniach.
Tak, tylko to nie zdaje egzaminu przed szpiegującym Windows 10. Poczytaj se artykuły na dobrychprogramach, chociażby użytkownika wielkipiec. Wolę mieć całkowitą kontrolę. To że jakąś usługę czy też aplikację wylaczymy wcale nie oznacza że nie będzie ona przesyłać informacji na serwery microsoft. Podobnie jest z synchronizacją danych - nawet jej wyłącznie nie zapobiega jej łączenia z serwerami Microsoft
RE: SpyShelter Firewall - ichito - 28.09.2015
Poczytam "se" w wolnym czasie, ale może tylko jedno...człowieku!! SpyShelter nie jest programem do zatykania dziur w Windows 10...ten program obsługuje głównie inne (starsze) wersje systemu, które stanowią pewnie dobrze ponad 90% istniejących instancji SS. jaki jest sens nieustannego dopasowywania się do systemu, który wiadomo, że będzie wciąż jeszcze dopracowywany...można robić to zbiorczo okresowo, ale nie każde zawołanie zawiedzionego użytkownika. Poza tym każdy producent ma swoja własną wizję rozwoju programu czy produktu w szerszym ujęciu...to wolny rynek i jeśli nie lubisz bułki pszennej, kup sobie razową...
System jest nowy, niedopracowany i pełen pułapek świadomie lub nie w nim zamontowanych...przyznaj się...jeździłbyś niedopracowanym autem i powierzyłbyś mu swoje bezpieczeństwo, jeśli jedynym atutem byłoby to, że jest nowe??
RE: SpyShelter Firewall - wortax - 28.09.2015
(28.09.2015, 12:22)ichito napisał(a):[Aby zobaczyć linki, zarejestruj się tutaj]
Poczytam "se" w wolnym czasie, ale może tylko jedno...człowieku!! SpyShelter nie jest programem do zatykania dziur w Windows 10...ten program obsługuje głównie inne (starsze) wersje systemu, które stanowią pewnie dobrze ponad 90% istniejących instancji SS. jaki jest sens nieustannego dopasowywania się do systemu, który wiadomo, że będzie wciąż jeszcze dopracowywany...można robić to zbiorczo okresowo, ale nie każde zawołanie zawiedzionego użytkownika. Poza tym każdy producent ma swoja własną wizję rozwoju programu czy produktu w szerszym ujęciu...to wolny rynek i jeśli nie lubisz bułki pszennej, kup sobie razową...
System jest nowy, niedopracowany i pełen pułapek świadomie lub nie w nim zamontowanych...przyznaj się...jeździłbyś niedopracowanym autem i powierzyłbyś mu swoje bezpieczeństwo, jeśli jedynym atutem byłoby to, że jest nowe??
Tutaj nie chodzi o łatanie dziur. Tylko chodzi o bardziej rozbudowany firewall w edycji "firewall". Nie musi to być na tą chwilę zrobione. Ale przecież zawsze wychodzi nowa wersja programu i w nich są jakieś zmiany. I tak jedną ze zmian "mogło by być" rozbudowanie firewalla. Przecież każdy może wyrazić swoja opinię i dać swoją propozycję. Od tego jest to forum. Jednemu nie jest potrzebny rozbudowany firewall, a np. jakieś inne funkcjonalności, drugi chciałby mieć tą pierwszą opcję. Każdy może złożyć se swoją propozycję i nie ma w tym nic złego.
RE: SpyShelter Firewall - gravity1287 - 28.09.2015
(28.09.2015, 13:06)wortax napisał(a):Raczej nie od tego. Tutaj dyskutujesz na temat bezpieczeństwa, jak ustawić dany program by je zapewnić, lub z jakiej alternatywy skorzystać (z tego co się zorientowałem do tej pory przeglądając forum). Uwagi do braku funkcji SpySheltera zgłaszaj do producenta, a nie na forum, gdzie jego użytkownicy nic z tym nie zrobią - tylko producent.[Aby zobaczyć linki, zarejestruj się tutaj]
Od tego jest to forum.
Poza tym kolego trochę trollujesz w wątku. Sam mi odpisałeś kiedyś w temacie SS że się nie da zrobić obecnie tego, o co sam prosisz
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Może więc trochę cierpliwości. Mają w planach reguły globalne, ale nie wprowadzą och w pierwszej kolejności. Mimo wszystko SpyShelter służy przede wszystkim jako blokada przed wykradaniem danych logowania.RE: SpyShelter Firewall - wortax - 28.09.2015
Można zgłosić do producenta, można też dyskutować o tym na forum (w końcu producent zapewne też czyta to forum). Proponuję jednak zakończyć ten wątek, bo dalsza dyskusja na ten temat nie ma sensu. Każdy ma prawo wyrazić swoją opinię na temat programu i co ewentualnie w nim ulepszyć.
RE: SpyShelter Firewall - ichito - 29.09.2015
Oczywiście, że wątek o programie jest po to, by śledzić jego rozwój i zmiany w nim zachodzące, by wyjaśniać mniej obeznanym funkcje i tajniki programu, żeby uczyć obsługi pokazywać, jak ten program może być wszechstronny...można tez oczywiście sugerować wprowadzanie zmian, sugerować nowe opcje, ale nie można nieustannie marudzić w jednym temacie i sprawiać wrażenie, że program bez jakiejś konkretnej niezaimplementowanej funkcji jest bezużyteczny. To bzdura i brak szacunku dla autorów programu za dotychczasowe dokonania...wskaż mi inny polski program zabezpieczający, który zrobiłby w ostatnich latach taką furorę i zdobył takie uznanie wśród użytkowników na całym świecie...podpowiem Ci...nie ma takiego innego.
Jak wcześniej powiedziałem...jeśli brakuje Ci jakiejś funkcji programu, znajdź zamiennik...tak robi tysiące użytkowników.
RE: SpyShelter Firewall - Tigran4 - 29.09.2015
(28.09.2015, 07:09)ichito napisał(a):[Aby zobaczyć linki, zarejestruj się tutaj]
Nie wiem...ale ta dyskusja o "brakach" w zaporze SS jest dla mnie nieco bez sensu i to z kilku powodów:
- zapora nie jest zasadniczym modułem i funkcją programu i wydaje mi się, że chyba taki był zamysł producenta
- zapora była i jest dla mnie raczej programem do filtrowania pakietów i kontroli aplikacji, które chcą nasłuchiwać lub łączyć się z siecią, a nie do blokowania portów
- należy przede wszystkim uporządkować pracujące aplikacje i usługi, usunąć lub powyłączać te zbędne i dopiero brać się za porządki w połączeniach.
Bzdury wypisujesz, skoro program nazywa się SpyShelter Firewall to chyba właśnie głównym modułem jest tu zapora, zastanów się co wypisujesz.
RE: SpyShelter Firewall - DedalNort - 29.09.2015
(29.09.2015, 12:50)Tigran4 napisał(a):[Aby zobaczyć linki, zarejestruj się tutaj]
Bzdury wypisujesz, skoro program nazywa się SpyShelter Firewall to chyba właśnie głównym modułem jest tu zapora, zastanów się co wypisujesz.
Tutaj oddajmy głos producentowi.
Cytat:Czym jest SpyShelter i co dokładne on robi?
SpyShelter jest program typu anti-keylogger, którego celem jest ochrona komputera przed atakami których celem jest przechwycenie wpisywanego do komputera tekstu, tworzenie zrzutów ekranu, nagrywanie obrazu za pomocą kamery internetowej oraz innych akcji monitorujących działalność użytkownika. SpyShelter monitoruje wrażliwe punkty w systemie w celu zapewnienie ochrony przed tego typu zagrożeniami zanim zdążą one przechwycić najmniejszą cząstkę informacji.
Cytat:Wszystkie funkcje SpyShelter Premium połączone z modułem zapory sieciowej, tworzą wyjątkowo silny pakiet ochronny SpyShelter Firewall.