Ekama

Заблокированная программа выходит в интернет.

Recommended Posts

Здравствуйте! Кто нибудь сможет мне внятно, технически грамотно объяснить: как может программа заблокированная для выхода в интернет обходить этот запрет и проверять обновление. Прошу внимания на скриншот приложенный к теме..

post-33432-0-24384600-1405337254_thumb.jpg
Download Image

Share this post


Link to post
Share on other sites

Привет!

А что на вкладке "перейти к портам"? тоже блокирована?

Бывает, что приложение может выйти в сеть совсем через другой порт, "занятый" другой программой. <_<

Такого нет?

Иного объяснения не вижу :blush:

 

p.s. у меня было именно так со St.Password 7(Desktop version) :)

Блокировал, а тот все равно проверял обновления, но через другие порты ;)

Share this post


Link to post
Share on other sites

Так... Начинаются сложности с простыми настройками. "Простые настройки" это по моему почти дословная цитата из рекламного описания. Так, что по портам? Первое. Переключатель не содержит настроек портов выхода в интернет. Второе. В настройках Армора была настройка на блокировку программы в целом.  Никакого упоминания про порты конкретной программы нет. Что посоветуете? Исходя из инструкции к ПЛАТНОЙ  программе, хотел бы уточнить.  Мне казалось, очевидным заблокировать екзешник и всё. Разработчики ведь так и говорят в рекламе: см. скриншот. Выделенное выделено не мной, к слову сказать.

post-33432-0-86592900-1405340879_thumb.jpg
Download Image

Share this post


Link to post
Share on other sites

Могу предложить 2 варианта:

1. Переведите PuntoSwitcher в недоверенные программы, тогда ОА должен спросить, давать ли ей выход в интернет;

2. Снять галочку с чекбокса "автоматически разрешать выход в интернет доверенным программам". Тогда тоже должен быть запрос на попытку PS проверить обновления. Блокируйте и посмотрите, как это отразится на правилах (портах в частности)

Перед этим -удалите имеющееся запрещающее правило для PS.

post-15967-0-84003300-1405346986_thumb.jpg
Download Image

Share this post


Link to post
Share on other sites

Спасибо вам за советы! Сделал следующее: программу вообще удалил из всех списков. В настройках Армора галка "автоматически разрешать  доверенным..." НЕ стояла по умолчанию.В настройках программы переключателя  (старой её версии) поставил галку "проверять обновления". И тишина... Пеезагружался раза три - результата нет. Я, честно говоря в ступоре. Программа очень странная: при СНЯТОЙ галке проверки обновления она лезет проверять. Ставлю её в заблокированные фаерволлом - всё равно гнёт своё. Удаляю из всех списков,ставлю на проверку обновлений - она молчит. Подождём... Обязательно отпишусь завтра-послезавтра о результатах. Попробую поэкспериментировать с галками в настройках обеих программ.

Share this post


Link to post
Share on other sites

Спасибо вам за советы! Сделал следующее: программу вообще удалил из всех списков. В настройках Армора галка "автоматически разрешать  доверенным..." НЕ стояла по умолчанию.В настройках программы переключателя  (старой её версии) поставил галку "проверять обновления". И тишина... Пеезагружался раза три - результата нет. Я, честно говоря в ступоре. Программа очень странная: при СНЯТОЙ галке проверки обновления она лезет проверять. Ставлю её в заблокированные фаерволлом - всё равно гнёт своё. Удаляю из всех списков,ставлю на проверку обновлений - она молчит. Подождём... Обязательно отпишусь завтра-послезавтра о результатах. Попробую поэкспериментировать с галками в настройках обеих программ.

еще снимите в в антималва галочку "проверять тоько по заданным расширениям" когда она стоит почти решето получается, тест на активное заражение валит

Share this post


Link to post
Share on other sites

А при чем тут активное заражение?

Снятие этой галочки способствует увеличению нагрузки на ресурсы)

В принципе там по умолчанию достаточный список расширений файлов для проверки и защиты.

Ну а тесты - это все субъективно)

Share this post


Link to post
Share on other sites

Не мучайтесь - вы всё равно ничего не сможете поделать. Это всё равно что пытаться заблокировать обновления Windows.

Эта хитромо-мудрая программка (троянчик) всё равно выползет и сольёт нужную ей инфу. Даже если вы поставите в настройках опцию не искать обновлений. Всё дело в том, что она прописывает себя в BITS. Чтобы её научить себя хорошо вести, надо её немного "исправить". На руборде есть целая отдельная ветка посвящённая этому.

Share this post


Link to post
Share on other sites

Итак коллеги, сообщаю что удалось выяснить. Как верно заметил товарищ ЭйАй, программа действительно не такая простая. Что меня больше всего и раздражало вней, так это упорное желание обновиться, даже при снятой галке" проверять обновления". Возникло ощущение, что программка лезет в интернет независимо от моей воли.Что ей там надо? Обновления ли она проверяет, или передаёт какие то данные с моего компьтера?  Именно по  этой причине и попытался её заблокировать. В результате многочисленных тестов разных версий с последующими перезагрузками  выяснилось следующее. Программа выходит в интернет независимо то наличия галочки на обновление. Более того, когда я ставлю явно старую версию и ставлю галку "проверить обновления" она НЕ ПРОВЕРЯЕТ даже после перезагрузки компьютера. Сегодня утром вдруг опять сообщила о наличии новой версии. При том, что фаерволл её никак не обнаружил. Я её убрал вообще из списка программ в меню "программы" Расчёт на то, что фаер засечёт активность неизвестной программы и даст об этом знать: или заблокирует её, или сообщит, что "такая то программа рвётся в интернет и что с ней делать?". Не тут то было. Он её вообще не увидел! Программка сегодня утром кому то что то отправила и как ни в чём не бывало сообщила о наличии обновления. Внимание на картиночку. Более того, фаерволл не обнаружил её в качестве кейлоггера, хотя это казалось бы очевидно! По сему, делаем выводы. Программка эта самый настоящий шпион. В интеренете она не обновления проверяет, а отправляет кому то какую то информацию, при чём как я понял, по мере накопления этой самой информации. По сему с программкой всё ясно. Мне хотелось бы достучаться до разработчиков: если уж они просят за программу денег, то я хотел бы знать, как мне с ней бороться именно программными средствами фаерволла? Кто  может посоветовать как обратить внимание разработчиков на такой вопиющий факт? Я ведь собирался купить этот фаервол! Теперь не знаю что и делать. Ценность программы в моих глазах очень поколебалась! Что посоветуете, коллеги?

post-33432-0-72225000-1405965811_thumb.jpg
Download Image

Share this post


Link to post
Share on other sites

Привет!

Переведите PSwitcher в "неизвестные" программы :)Не пробовали?

Тогда ОА сообщит обо всех подозрительных и потенциально опасных действиях. Обо всех - будет спрашивать Тут будет и детект кейлоггера, и выход в сеть д.б. с запросом.

Share this post


Link to post
Share on other sites

Прошу прощения за оговорку: программа убрана так же и  из списка программ в меню "файрволл". Как её перевести в ранг "неизвестных"?  Поясните пожалуйста.

Share this post


Link to post
Share on other sites

Выяснилась ещё одна удивительная способность этой волшебной программы. Стоит убрать её из списка программ, как после перезагрузки компьютера она волшебным образом там оказывалась снова, при чём с параметрами, мало того, что разрешённого ( кем только?) запуска, но ещё и со всеми привилегиями в полномочиях, как то: разрешением на выполнение удалённого кода. И это по обеим модулям. Я просто в шоке...

post-33432-0-72881400-1405970619_thumb.jpg
Download Image

Share this post


Link to post
Share on other sites

Что вы мучаетесь? =)

Ни один фаер не способен контролировать BITS, кроме встроенного бранда Windows ( в режиме повышенной безопасности, но тогда надо службу BITS отключать).

Я же подсказал вам как действовать.

Share this post


Link to post
Share on other sites

Что вы мучаетесь? =)

Ни один фаер не способен контролировать BITS, кроме встроенного бранда Windows ( в режиме повышенной безопасности, но тогда надо службу BITS отключать).

Я же подсказал вам как действовать.

Я вам очень благодарен за помощь! Серьёзно! После прочтения соответствующей ветки на руборде программу я удалил радикально - восстановил из ранее сохранённого архива образ чистой винды с драйверами. Так было проще и быстрее, чем копаться в реестре. Переустановил несколько программ, коих слава богу не много и  вуаля! Вопрос даже не в том, что  яндекс шпионит за пользователями. Вопрос в том, что платная программа должна как минимум корректно выполнять функции, заявленные разработчиками. А именно: не пускать программу в интернет, если она была заблокирована. Или как минимум сообщить, что мол , заблокированная программа использую службу виндовс или ещё что либо рвётся в интернет. Кроме того, есть несоответствие между её блокировкой и статусом " надёжная". Что, уважаемый пользователь будем делать?. Примерно такой диалог как минимум был бы уместен. А то получается странно: с меня просят денег за то, что я могу оградить себя от нежелательной активности, а эта самая активность шпарит во всю ивановскую. Разработчики то сами понимают, что любая прога используя маскировку под одну из служб виндовс сводят на нет вообще весь функционал их программы? Спрашивается: на кой ляд она тогда нужна и за что я плачу? Я конечно попробую на своём рязанском английском побеседовать на эту тему с техподдержкой, но вопрос о покупке этой программы уже не стоит. Полное решето.К моему глубокому сожалению. Очень понравился было интерфейс. Увы..

P.S. Боюсь вас огорчить, но проблема видимо ещё серьёзней. В сборке Zver коей я много лет пользуюсь, служба BITS,  как и службы обновления и сообщений центра безопастности ОТКЛЮЧЕНЫ  по умолчанию. В логе программы переключателя , который мне удалось отыскать в дебрях винды есть упоминание об этой службе - отключенной! Значит, она умеет либо запускать её, либо эмулировать, либо использовать какую то другую службу. Если интересно, лог потом могу  приаттачить, или дам ссылку на скачивание для изучения.

Share this post


Link to post
Share on other sites

Я вижу вы сторонник радикальных мер. smile.png

Думаю в основном ваши вопросы надо относить не сколько к способам функционирования алгоритмов фаера (как уже говорил они все не могут вести контроль фоновой интеллектуалбной службы), сколько к самой винде и разарабам пунто.

К винде, по той причине, какого хрена она вот так вот запросто пускает в свои недра всюкую дрянь, а к программистам яндекса какого фига они такого шпиёна продвигают. (Чёрт знает чего они туда понапихали). Догадываюсь, что ставится целый комплекс обновлений для Яндекса. Что бы вы теперь не установили, всё егоное теперь будет обновляться подобным образом. По примеру Гугл апдейт. Кстати они собирались объеденяться по передачи информации - что-то такое слышал. Ну последнее точно не советую - с вашим характером только нервы истреплете. Пройденный этап. Да и на руборде начитались наверное по этому поводу. Рекламировать не стану, но ОА среди знатоков считает достаточно неплохим фаером, уровень порядка комодо.

Да и сами поймите (так понял у вас хрюшка), с такой осью выдвигать какие-то претезии достаточно специфичное занятие.

Надо смотреть правде в глаза.

 

Пунто, как функционал, очень удобная вещь, безусловно. Вы не рубите с плеча. Ведь есть и аналоги с более достойным поведением. За предложение спасибо, конечно, но я не занимаюсь этим сейчас. Предложите на руборде, может там кто захочет проанализировать. Я то уже давно её вылечил - сама на коленях приползает, и даже не в таком сильном фаере!

Share this post


Link to post
Share on other sites

Тут на досуге пораскинул умишком. В принципе, если все процессы винды отнести к недоверенным или удалить из доверенных (те которые фаер заносит в доверенные в процессе установки), то может тогда он и выловит этот запрос на эту заразу. Как то пробовал сиё действо в комоде-фаерволле и других, поэтому с точными терминами могу ошибаться. У всех это может называться по разному. Суть в том, что бы из разрешённых всё удалить. Но тогда можно с ума сойти отвечая на все запросы фаервола от системных процессов винды (svchost и ему подобных), да и хватит ли компетенции. :)

Мне так моментально расхотелось...

Share this post


Link to post
Share on other sites

Привет!

Немного поздно отвечаю-прошу прощения :blush:

Как перевести в неизвестные прграммы - из контекстного меню ( в перечне программ) правой клавишей - выбрать "по умолчанию". Либо клавиши внизу.

 

Что касается полномочий для программы, которую Вы удаляете из перечня программ в списке ОА,  но она остается в системе..:

 

Вам было интересно-кто дает такие полномочия?

 

Эти полномочия дает автоматически HIPS OA на основе своих баз данных из OASIS.

 

То есть - если в OASIS приложение (файл) помечены надежными-ОА автоматически даст максимум разрешений для файла (приложения) В Вашем случае - для Punto Switcher.

А в OASIS - это доверенная программа!

Поэтому, если Вы лично сомневаетесь в приложении-переведите в неизвестные.

Но, как я понимаю, от ОА Вы отказались?

Очень и очень зря!

Share this post


Link to post
Share on other sites

Поэтому, если Вы лично сомневаетесь в приложении-переведите в неизвестные.

Но, как я понимаю, от ОА Вы отказались?

Очень и очень зря!

Добрый вечер коллеги! Поясните пожалуйста поподробнее как перевести эту программу в неизвестные? Хотя программы уже удалены, можно попробовать ещё разок покопаться с  настройками. Это первое. Второе: мне хотелось бы, чтобы разработчики программы всё таки следовали своему принципу, который они сами же добровольно и озвучили - пользователь должен ответить на простой вопрос: пускать программу или нет в интернет. И если пользователь явно указал, что " не пускать", программа должна не пускать, и как минимум сообщить пользователю о явном противоречии с его установками и OASIS  или BITS или ещё бог знает чем. Я , как простой пользователь о этих премудростях вообще могу не знать. Но я хочу чтобы программа не лезла  в интернет вопреки моему запрету и в соответствии с функционалом заявленным разработчиками, и простите за меркантильность, но оплаченному мною настоящими деньгами. Я ведь не могу сказать по поводу оплаты "вы проверьте это, да посмотрите счёт там то, а если деньги не пришли, то сделайте то то... Если я буду оперировать теми же аргументами, но по поводу оплаты - меня не поймут. А  эти аргументы в отношении программы я должен почему то понимать. Странно, не так ли? И третье. Обнаружив такой прокол с этой программой, даже если я по мнению разработчиков не достаточно грамотно настроил фаерволл, где гарантия, что не существует другие, не выловленные мной программы использующие стольже хитрый механизм обхода фаерволла? У меня, как у рядового пользователя такой уверенности нет. Согласитесь, что мне , как потребителю не обязательно знать все тонкости протоколов интернета и особенностей работы служб виндовс. Меня в этом продукте и привлекла простота: пускать или нет. И всё. Отсюда - платить или нет. Я указал разработчикам не дыру (ошибку, недоработку,сложность в настройке, отсутствие квалификации пользователя - нужное подчеркнуть) - вот пусть разработчики и думают что делать. Устанять ошибку и получить деньги за продукт или остаться при своём мнении и потерять клиента и породить антирекламу.Прошу понять меня правильно: если есть один недовольный клиент, может быть есть ещё сотни  таких же как и я, кто не захотел купить программу которую оказывается можно легко обойти. Так теряются клиеты и деньги. Надеюсь, мой пост не будет воспринят как проявление агресии. Я писал это вполне в доброжелательном ключе. С уважением.

P.S. Нашёл тут бесплатную ещё AmlMaple 1.2. Пробую ужиться с ней. 

P.P.S. Я не знаю что именно интересует яндекс на моём компьютере, но когда ломают почту у Дворковича. а у моего коллеги по работе крадут деньги с пластиковой карточки, мне становится омерзительно, что эта гадость распространяется не прыщавыми кулхацкерами а уважаемым поисковиком. По этому , второй день по тихоноку меняю пароли на нескольких сотнях сайтов, где я был зарегистрирован за много лет. Спасибо Яндексу - работёнка ещё та. А вдруг не напрасно?

Share this post


Link to post
Share on other sites

Привет!

Выберите нужную программу в перечне ОА и нажмите на клавишу внизу "по-умолчанию"

Это переведет ее в неизвестные (недоверенные) и ОА будет показывать все подозрительные действия!

Их будет много! Т.к. именно от того-доверенная программа или нет-зависит реакция ОА на действия приложения.

 

Доверенным по-умолчанию разрешено максимальное число действий :) , почти все ;)

 

К примру-если Fx перевести в неизвестные - будет и детект кейлоггера, и доступ к памяти, и удаленный код...Устанете разрешать или запрещать! <_<

Но все дело в том, что многим доверенным приложениям присущи действия, которые могут быть расценены как нежелательные. ;)

Но раз Вы доверяете приложению-их надо разрешать!

post-15967-0-53005700-1406347030_thumb.jpg
Download Image

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.