Защитни стени - въпроси, мнения, предимства, недостатъци

[normalizerx]

Здравейте. Имам един въпрос за Outpost Firewall Pro. При работа на торент клиента, CPU ползването - CPU Time, скача много, в пъти повече от реалновременната защита примерно на антивирусната, която е настроена да сканира всеки файл. Също и I/O диск активността надвишава в някои параметри антивирусната, а в I/O Writes и I/O Read Bytes клолоните си е най-отгоре редовно. Нормално ли е това?

[mihnev_sz]

При работа на торент клиента

Кой по точно?

Ако се ползва стара версия на BitComet или на Outpust препоръчително е да се обнови до последна актуална!

Имаше преди време проблем с acs.exe и с новите версии е оправен!

[normalizerx]

Кой по точно?

Ако се ползва стара версия на BitComet или на Outpust препоръчително е да се обнови до последна актуална!

Имаше преди време проблем с acs.exe и с новите версии е оправен!

 

Използвам Utorrent 2.0.4.

[Night_Raven]

Обнови я до последната стабилна и виж как ще се държи системата. Outpost Firewall също последната версия ли е?

[normalizerx]

Обнови я до последната стабилна и виж как ще се държи системата. Outpost Firewall също последната версия ли е?

Outpost е последна версия, Utorrent е 2.04, новата 2.2 въобще не ми допада и не мисля да я слагам. Между другото попаднах на дискусия в техния форум точно за прекаленото използване на твърдия диск от acs.exe, нивото на I/O read/write, явно си го има от доста време това и често препоръчват намаляване нивото на писане в лог-файловете или спиране на логовете. Аз опитах с минимум логване, а логването на фреймовете го свалих на нула и пак без резултат. Изключих в правилата за Utorrent всякакво логване на каквато и да е активност на торент клиента правило по правило и пак същата работа - Outpost в топ 3 по CPU time и първа по I/O reads/writes. Накрая май ще я прежаля, въпреки, че като стена много я харесвам и като филтриране и като спиране на атаки, а има и може би най добрите логове от стените, които съм ползвал.

[Night_Raven]

Само да обърна внимание, че въпросните I/O операции не са точно по диска. Ако Task Manager използва точните имена, то това са общите I/O операции, които включват не само активността по твърдия диск, но и и доста други.

 

P.S.: за uTorrent можеш да инсталираш стария скин, ако това ти е основния проблем.

[tanganika]

Night_Raven такива ли трябва да бъдат правилата на стената на Malware Defender за µTorrent

 

http://hosting11.imagecross.com/image-hosting-62/87301.jpg

 

 

Rule 1

 

 

Direction = Inbound / Outbound

 

Protocol = TCP / UDP / Raw IP

 

Remote Address = Any Address

 

Remote Port = Any Port

 

Local Port = Any Port

 

Premission = Deny

 

Rule 2

 

 

Direction = Outbound

 

Protocol = TCP / Raw IP

 

Remote Address = Any Address

 

Remote Port = 80

 

Local Port = 1024 / 65535

 

Premission = Permit

 

Rule 3

 

Direction = Outbound

 

Protocol = UDP / Raw IP

 

Remote Address = Any Address

 

Remote Port = 1024 / 65535

 

Local Port = „ the port of utorrent ”

 

Premission = Permit

 

Rule 4

 

Direction = Outbound

 

Protocol = TCP / Raw IP

 

Remote Address = Any Address

 

Remote Port = 1024 / 65535

 

Local Port = 1024 / 65535

 

Premission = Permit

 

Rule 5

 

 

Direction = Inbound

 

Protocol = TCP / UDP / Raw IP

 

Remote Address = Any Address

 

Remote Port = „ the port of utorrent ”

 

Local Port = 1024 / 65535

 

Premission = Permit

[Night_Raven]

Следните поправки:

- правило 3: Local Port = 1024 / 65535;

- правило 5: размени Remote Port и Local Port.

[tanganika]

Следните поправки:

- правило 3: Local Port = 1024 / 65535;

- правило 5: размени Remote Port и Local Port.

 

Много благодаря за помоща.

 

Още един въпрос , защо при Malware Defender когато се създават правила за програмите с достъп до интернет се започва със забраняващото правило , при Комодо е обратно.

 

 

[Night_Raven]

Ами, просто Malware Defender "чете" правилата в обратния ред. Авторът просто така е решил да бъде.

[tanganika]

Ами, просто Malware Defender "чете" правилата в обратния ред. Авторът просто така е решил да бъде.

 

Ясно

 

 

Ако тази отметка

http://piczasso.com/i/emxd0.jpg

която е поставена по подразбиране бъде премахната , повишава ли се нивото на сигрност ?

[Night_Raven]

Общо взето да. Тогава Malware Defender ще инжектира mdhook.dll в адресното пространство на всички процеси и ще може да следи и за достъп до COM интерфейси и Service Control Manager. По подразбиране достъпът до COM интерфейсите обаче е разрешен (Permit), така че освен да махнеш отметката, ще трябва да смениш глобалното правило да е на Ask. Това обаче води до значително повече въпроси от страна на HIPS-a.

По подразбиране mdhook.dll не се инжектира, защото има програми, които не обичат такива чужди библиотеки в адресните им пространства и това може да доведе до конфликти. А и реално дори да се разреши инжектирането и да се активира следенето за достъп до COM интерфейси, нивото на защита не се повишава много, докато броя на въпросите нараства значително.

[lordergf]

Общо взето да. Тогава Malware Defender ще инжектира mdhook.dll в адресното пространство на всички процеси и ще може да следи и за достъп до COM интерфейси и Service Control Manager. По подразбиране достъпът до COM интерфейсите обаче е разрешен (Permit), така че освен да махнеш отметката, ще трябва да смениш глобалното правило да е на Ask. Това обаче води до значително повече въпроси от страна на HIPS-a.

По подразбиране mdhook.dll не се инжектира, защото има програми, които не обичат такива чужди библиотеки в адресните им пространства и това може да доведе до конфликти. А и реално дори да се разреши инжектирането и да се активира следенето за достъп до COM интерфейси, нивото на защита не се повишава много, докато броя на въпросите нараства значително.

Аз мисля че трябва да се добавят правила за папките и файловете на различните дискове ...

Както и на подпапките !

Иначе MD проспива всякакви операции свързани с тях ...

Примерно искам да архивирам файл на даден диск и MD ме пита само за изпълнимия файл на WinRar, но не и затова че пипам файловете .

Обаче ако има допълнителни правила ще ме пита за всеки един файл .

И това трябва да се направи, защото криптиращите вирусчета ще си правят каквото искат с файловете ми !

[Night_Raven]

Всеки може да си създаде правила. Аз съм си създал. По подразбиране няма такива, защото такива заплахи са редки, a подобни правила биха направили тази и без това не особено приветлива за начинаещи програма, съвсем неприветлива с още повече въпроси.

[isaakhim]

Всеки може да си създаде правила. Аз съм си създал.

1. Може ли конкретен пример за такъв вид правило?

2. Другите подобни програми базирани на HIPS защита, от рода на Comodo, Online Armor, Privatefirewall и др., имат ли защита против криптиращи вируси? Останал съм с впечатление, че Malware Defender е най-строга измежду изброените.

3. Ако може малко разяснение за криптиращите вируси?

 

Благодаря предварително!