SafeGroup
SpyShelter Firewall - Wersja do druku

+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Zapory sieciowe (Firewall'e) (https://safegroup.pl/forum-9.html)
+--- Wątek: SpyShelter Firewall (/thread-4263.html)

Strony: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48


RE: SpyShelter Firewall - Kot_Pocztowy - 11.03.2020

(11.03.2020, 20:33)ichito napisał(a): Cholerka....to muszę zaangażować SSFW na Win8.1...a to żony laptok Smile A może jest sposób, żeby przenieść licencję na FW z padniętej pod koniec ubiegłego roku Visty na Win7, który teraz używam dla siebie? Smile

Proszę o szczegóły na support: https://www.spyshelter.com/helpdesk/


RE: SpyShelter Firewall - ichito - 11.03.2020

OK...dzięki, napiszę Smile


RE: SpyShelter Firewall - neon - 11.03.2020

Dzięki za wersję Beta Smile


RE: SpyShelter Firewall - Kot_Pocztowy - 12.03.2020

(11.03.2020, 20:57)neon napisał(a): Dzięki za wersję Beta Smile


Nie ma za co Smile


RE: SpyShelter Firewall - ichito - 12.03.2020

Cytat:Screen Phantom does not depend on HIPS module, so if you for example allow process X to take a screenshot while Screen Phantom is enabled,  process X will not be able to capture the content of your screen, because Screen Phantom will block it.
OK...nowa opcja opisana wyżej działa u mnie na Win 8.1 w praktyce w ten sposób, że kiedy próbuję zrobić zrzut ekranu za pomocą FreeCommander...ten program ma taką możliwość, a taka akcja jest zezwolona w regułach dla tego niego...to zamiast ekranu/okna, które chcę pobrać, otrzymuję czarny ekran...cały i nawet nie widać systemowego paska na dole Smile Rozumiem, że to może nie tyle blokuje każdy dowolny proces, który próbowałby tego dokonać bez względu na ustaloną regułę lub nie (czyli dla nieznanego jak np. szkodnik), ale czyni zrzut bezużytecznym. To znaczy poniekąd uniemożliwia też ataki wykorzystujące np. wstrzyknięcie obcego kodu w zaufany proces, co mogłoby być ewentualnie dozwolone jeśli reguła dla wykorzystanego procesu jest na "zezwól" (?)
------------------
edit:
OK, zgłoszenie wysłane Smile
____________
edit:
To niezwykłe... dostałem już odpowiedź, pozytywną   i bardzo dla mnie sympatyczną Smile Dzięki wielkie Smile
-------------------
edit:
SSFW już działa w pełnej wersji na Win7...jest OK Smile Pobrałem dziś wersję 12.1 build 3, co oznacza znów jakieś poprawki dla wersji z zaporą tylko, bo Premium wciąż jako "2". W każdym razie wszystko wygląda OK.


RE: SpyShelter Firewall - ichito - 15.03.2020

OK...kilka dni, trochę obserwacji, więc kilka informacji o działaniu nowej funkcji „Screen Phantom” - obserwacje na bazie działania SS w systemie Windows 7. Jeśli włączymy tę funkcję w zakładce Ustawienia/Ochrona to będzie ona blokować w opisany wcześniej sposób różne rodzaje aplikacji lub inaczej - procesy nie tylko aplikacji zewnętrznych, ale i systemowych:
- np. menadżer plików FreeCommander, który posiada funkcję tworzenia zrzutów ekranu poprzez kliknięcie skrótu klawiszowego...to zapewne dotyczy również innych obcych aplikacji, które oferują wykonywanie zrzutów jako podstawową lub dodatkową funkcję
- aplikacja systemowa, taka jak "Narzędzie Wycinanie" (Snipping Too), w której polecenie pobrania zrzutu ekranu „Nowy” lub jakieś podobne wybieramy i klikamy z menu okna aplikacji
- blokuje również określony przycisk na klawiaturze lub ich kombinację - „Print Screen”, „Fn + Print Screen”- co oznacza blokowanie poleceń bezpośrednio z urządzeń bez użycia jakiś dodatkowych procesów/aplikacji.
Zauważyłem, że blokowanie dokonuje się bez względu na to, czy proces
- ma na liście (zakładka Reguły) regułę zezwalającą na robienie zrzutów ekranu
- został dodany do listy zaufanych podpisów cyfrowych (Ustawienia/Ochrona), co może mieć różny wpływ na reakcję SpyShelter na różnych poziomach ochrony
- mamy włączone globalne „automatycznie zezwalaj” na liście monitorowanych akcji.


RE: SpyShelter Firewall - ichito - 16.03.2020

Kolejny build dla wersji Firewall i Premium - 12.1 BETA 4. Program do pobrania na blogu (link powyżej).


RE: SpyShelter Firewall - neon - 16.03.2020

coś nowego wnosi czy tylko lekkie poprawki ?


RE: SpyShelter Firewall - Quassar - 17.03.2020

Poprawki pod nowy silnik ochrony
nowy silnik ma chronić przeciwko wykradaniu screenów Smile


RE: SpyShelter Firewall - neon - 18.03.2020

Super, że produkt jest dalej rozwijany Smile


RE: SpyShelter Firewall - ichito - 18.03.2020

(17.03.2020, 11:26)Quassar napisał(a): Poprawki pod nowy silnik ochrony
nowy silnik ma chronić przeciwko wykradaniu screenów Smile
To dobra wiadomość...masz na myśli nową funkcję SrP?


RE: SpyShelter Firewall - zord - 22.03.2020

Pobrałem zainstalowałem i szkoda że beta nie jest kompatybilna z najnowsza wersją 10 20H1


RE: SpyShelter Firewall - ichito - 22.03.2020

(22.03.2020, 11:02)zord napisał(a): Pobrałem zainstalowałem i szkoda że beta nie jest kompatybilna z najnowsza wersją 10 20H1
Ale to jest przecież też wersja jeszcze niedostępna dla ogółu użytkowników...ma być chyba oficjalnie dopiero w kwietniu? SS mamy też w wersji beta, więc nie bardzo mnie dziwi, że coś się nie zgrywają. Programy zabezpieczające raczej powinny koncentrować się na wersjach stabilnych i ogólnie dostępnych.


RE: SpyShelter Firewall - zord - 22.03.2020

Niedostępna przez wu ale to już RTM i można instalować z obrazu iso czy ESD
Wydaje mi się że przy okazji testów powinna być sprawdzana zgodność z najnowszymi wydaniami 10 żeby coś potem nie wyskoczyło.


RE: SpyShelter Firewall - ichito - 22.03.2020

Nie wiem Zord...możliwe, że było i sprawdzał się w jakiejś konfiguracji, a w innej nie działa poprawnie? Tak działa Windows od lat, jak pamiętam, a "dziesiątka" jest przecież nieustającym "cyrkiem w budowie" Smile
Na marginesie i z innej beczki - szykuję aktualizację dla swojego artykułu na temat ustawień...będzie chyba trochę nieco zaskakujących spostrzeżeń Smile Myślę, że na dniach będzie już na forum.


RE: SpyShelter Firewall - ichito - 24.03.2020

Wracam do poprzedniej strony i posta #887 czyli próby detekcji szkodliwych akcji na szkodniku "Racoon infostealer". Test jest sprzed kilku dni, ale dopiero teraz spróbuję jakoś tu go podsumować (ponieważ pomysł jego przeprowadzenia wyszedł na WSF, to najpierw tam zamieściłem te informacje).

Test przeprowadziłem na przygotowanym systemie Win7, co w trakcie testu miało znaczenie
- zarówno system, jak i wszystkie dyski lokalne były zwirtualizowane przy pomocy Shadow Defender...to na wypadek nieprzewidzianych prób zmian ich zawartości podczas testu
- zainstalowany SpyShelter to wersja Firewall 12.1 build 4 (poziom ochrony "pytaj użytkownika") z dodatkowym istotnym ustawieniem - wszystkie dyski lokalne zostały dodane do listy chronionych lokalizacji.

Poniżej screeny z wykrytych akcji i dalej krótki komentarz

[attachment=1502]
[attachment=1503]
[attachment=1504]

Zdjęcia może nie są zbyt dobrej jakości, ale były robione smartfonem "z zewnątrz"...na zwirtualizowanych dyskach nie przetrwałyby restartu i wyjścia z trybu SM...a wszystkie akcje w przedstawionych alertach zostały zezwolone, żeby zobaczyć, co będzie się działo dalej. Jak zapowiadałem - test nie przedstawia całości działania szkodnika i został zatrzymany na etapie, który uznałem za ostatni nie stwarzający dalszego, nieprzewidzianego ryzyka.

Już we wcześniejszej dyskusji były sugestie, że szkodnik zostanie prawdopodobnie wykryty w akcjach takich jak próby uruchomienia procesu, nawiązania połączenia czy modyfikacji jakiś lokalizacji...i faktycznie zdjęcia to potwierdzają. Mamy je wszystkie, a na te poniżej chciałem zwrócić uwagę:
- uruchomienie przez szkodnika procesu AddInProcess.exe i AddInUtil.exe...to wrażliwe procesy, które znalazły się na liście procesów wykorzystywanych do obchodzenia wewnętrznych mechanizmów systemu oraz Windows Defendera
https://gbhackers.com/microsoft-legitimate-apps/
- uruchomienie procesu AppLaunch.exe, który może przekierowywać na podejrzane strony czy przemycać podejrzane akcje
https://file-intelligence.comodo.com/windows-process-virus-malware/exe/applaunch
https://www.hybrid-analysis.com/sample/9f1e83cbb7d43eec8c797d98436c878c78ccd128cabb01ea28db682c6f1ee18c?environmentId=120
- czy wreszcie szereg akcji prowadzących do uruchomienia i zainstalowania zupełnie nowej aplikacji podpisanej cyfrowo przez LLC Mail.ru - to certyfikat często wykorzystywany przez szkodniki i jak widać posiada sporo wskazań pozytywnych
https://weekly-geekly.github.io/articles/172393/index.html
http://www.herdprotect.com/signer-llc-mailru-169a089d186f350cbb6b5ec62d8a59ab.aspx

Wspomniałem wcześniej o podobnym teście na potrzeby forum Wildersów - jak się okazuje tam akcje były nieco inne, choć w efektach podobne...z czego to wynika?...nie wiem, bo maszyna ta sama i warunki też, a przynajmniej nie jestem świadomy tego, co mogło ulec zmianie. w tamtym teście np. pojawiła się wykryta próba uruchomienia przez proces taskeng.exe innego procesu - sipnotify.exe. To mogłoby mieć np. skutki w wyświetlaniu fałszywego ostrzeżenia o zakończeniu wsparcia dla Win7 (?). Poniżej tamte wyniki i omówienie
https://www.wilderssecurity.com/threads/spyshelter-12.422366/page-2#post-2904437


RE: SpyShelter Firewall - ichito - 25.03.2020

Dziś zaktualizowałem tekst na temat ustawień SpySheltera...pisałem go partiami i póki co strasznie mi się to rozjechało. Jutro to będę korygował, żeby miało jakiś sensowny wygląd Smile
https://safegroup.pl/thread-11669.html
----------------------
edit:
poprawione, mam nadzieję, że jest OK

----------------------
edit 2:
A tak na marginesie...a może nie? Powód, dla którego wbudowano Screen Phantom w program jest chyba dość jasny i w opisie własnych ustawień trochę sobie pospekulowałem na ten temat, ale czy to jest faktycznie powód?...Jest jakiś inny? Wink


RE: SpyShelter Firewall - Kot_Pocztowy - 09.04.2020

Witajcie,

Jest oficjalnie już 12.1 i Screen Phantom:
https://www.spyshelter.com/blog/spyshelter-12-1-released/


RE: SpyShelter Firewall - zord - 09.04.2020

Wersja kompatybilna z 10 w wersji 2004 która teoretycznie na dniach powinna trafić do wszystkich ?


RE: SpyShelter Firewall - Kot_Pocztowy - 09.04.2020

@zord
Nie, nie mamy szklanej kuli co tam pozmieniają w ostatniej chwili, nie zalecamy szybkiej aktualizacji Windows 10 dla użytkowników Spyshelter'a gdyż ta może się opóźnić nieco, do tej pory była zawsze przed ale to nie jest gwarantowane. Rozsądnie jest wstrzymać się z aktualizacją Windowsa.
Spyshelter to niestety nie jest zwykły program w warstwie użytkownika jedynie gdzie raz zrobiony 10 lat temu będzie działał na wszystkich Windows bez modyfikacji.
Każde większe wydanie Windowsa to zmieniony kernel, który trzeba odpowiednio obsłużyć.
Różne źródła różnie mówią, ale raczej będzie trochę później niż "na dniach" szczególnie ta udostępniana automatycznie (bez ręcznego wymuszania)