GeSWall - opis programu
Platforma: Windows 2000/XP/2003/Vista/7
Dodatkowe wymagania: system plików NTFS
Licencja: freeware do uzytku niekomercyjnego
Polska wersja językowa: brak

Zasada działania programu opiera się na polityce piaskownicy(sandbox policy). Niezaufane aplikacje są tutaj uruchamiane z ograniczonymi prawami, restrykcjami do modyfikacji krytycznych parametrów systemu. Z GeSWall można bezpiecznie surfować po internecie, otwierać załączniki, czatować wymieniać się plikami, bez przejmowania się niebezpieczeństwami Internetu. GeSWall zapobiega zainfekowaniu przez złośliwe oprogramowanie, wirusy izolując aplikacje łączące sie z siecią. Dzięki restrykcyjnej polityce dostępu Izolowane aplikacje skutecznie zapobiegają różnego rodzaju atakom, infekcjom. Program pozwala chronić nasze cenne dane odmawiajc do nich dostępu (np. brak mozliwości zapisu i czytania w określonym folderze) dla aplikacji niezaufanych. Również pozwala na nałożenie restrykcji na określone strony internetowe, określone adresy itp. Program zapewnia ochronę przed keyloggerami, rootkitami, backdorami oraz wszelkiej innej maści malware''ami, do tego jest bardzo łatwy w użyciu i zabiera bardzo mało zasobów systemowych.

Schemat działania

[Aby zobaczyć linki, zarejestruj się tutaj]

GeSWall stosuje określone reguły dostępu dla najbardziej popularnych aplikacji internetowych. Te reguły znajdują się w otwartej bazie danych aplikacji. W programie mamy Konsolę za pomocą, której można wybrać odpowiedni tryb/poziom bezpieczeństwa i tworzyć reguły dla aplikacji, które nie są aktualnie w bazie danych.

  1. Poziomy bezpieczeństwa (Security Levels)
    • Isolate jailed applications(izolowanie uwięzionch aplikacji)
      Izolowane będą tylko "uwięzione aplikacje", natomiast wszystkie inne nie będą izolowane.
    • Isolate known applications(izolowanie znanych aplikacji)
      Izolowane będą tylko aplikacje, które mają swoje reguły w bazie danych aplikacji. Jest to domyślny poziom bezpieczeństwa.
    • Auto-isolation, no pop-up dialogs (Automatyczne izolowanie, bez alertów)
      Poziom ten jest podobny do "Isolate known applications" z tą różnicą, że nie wyświetlane są informacje o zdarzeniach, blokowanych aplikacjach, nie są zadawane żadne pytania (np. o to czy izolować jakaś aplikację), więc automatycznie izoluje znane bądź niezaufane źródła aplikacji i blokuje im dostęp do zaufanych plików.
  2. Przykłady alertów
    • Policy Notifications , czyli zawiadomienia polityki - informuje nas o restrykcjach zapobiegającym modyfikacji plików, rejestru, procesów itd.

      [Aby zobaczyć linki, zarejestruj się tutaj]

    • Attacks Notifications , czyli zawiadomienia o atakach - informuje nas o dokonanej próbie zainfekowania. GesWall porównuje zablokowane źródła do swoich szczególnych schematów zachowań, które wskazują na działanie malware. Gdy wykryje takie działanie - zawiadamia nas o tym, że zapobiegł zainfekowaniu.

      [Aby zobaczyć linki, zarejestruj się tutaj]

  3. Malicious Process Termination , czyli zakonczenie ("zabicie") złośliwego procesu
    W wersji Pro mamy przyciski "Ignore" i "Terminate" widoczny w "Zawiadomieniach o ataku", które służą odpowiednio do ignorowania i zabicia złośliwej aplikacji. Dodatkowo możemy dostosować "Malicious Process Termination" - klikając na ikone GesWalla w tray''u.

    [Aby zobaczyć linki, zarejestruj się tutaj]

    • Dostępne opcje:
    • Never Terminate , czyli nigdy nie kończ - wyłączenie opcji terminacji
    • Auto-Termination , czyli auto-zakończenie - czyli automatycznie zakończ aplikację, gdy złośliwe działanie jest wykryte. Zawiadomienie zostanie wyświetlone, ale nie pojawi się opcja terminacji, gdyż wszystko odbywa się automatycznie.
    • Interactive Ignore , czyli interakcyjnie (manualnie) zignoruj (domyślne ustawienie) - w Zawiadomieniu o ataku mamy również przycisk "Ignore" i w przypadku, gdy nie chcemy zabijać złośliwej aplikacji, to klikamy ten przycisk.
    • Interactive Terminate , czyli interakcyjnie (manualnie) zakończ - podobnie jak wyżej do nas należy decyzja. Gdy chcemy zabić proces - klikamy na Terminate.
  4. Resources , czyli zasoby - to folder zawierający definicje zaufanych i niezaufanych zasobów.

    [Aby zobaczyć linki, zarejestruj się tutaj]

    Domyślne definicje są wymagane do prawidłowej funkcjonalności programu. Nie powinno się ich zmieniać, modyfikować. Możemy tutaj dodawać swoje własne definicje np. zdefiniować dodatkowe foldery dla poufnych dokumentów lub pewnych niezaufanych plików.

    Aby utworzyć nową definicję zasobu, należy wybrać Action\New\Add Resource z głównego menu lub za pomocą prawokliku myszy w prawej części okna.

    [Aby zobaczyć linki, zarejestruj się tutaj]

    Opcje Security Class:
    • Trusted , czyli zaufany - izolowana aplikacja nie może modyfikować tego zasobu, może natomiast czytać.
    • Confidential , czyli poufny - oznacza, że izolowana aplikacja nie może czytać ani modyfikować tego zasobu. Domyślnie GeSWall definiuje katalog Moje Dokumenty wszystkich użytkowników jako poufne.
    • Deny Create , czyli odmów możliwość utworzenia - izolowana aplikacja nie może utworzyć w określonej ścieżce żadnych plików.
    • Untrusted , czyli niezaufany - izolowana aplikacja może czytać i modyfikować ten zasób.
    • Threat gates , czyli bramy zagrożenia -wszystkie pliki pochodzące od określonego zasobu (np. USB) będą oznaczane jako potencjalnie groźne. GeSWall w takim przypadku będzie izolować urządzenie.
    • System , systemowy
    • Restricted for Trusted , czyli ograniczony dla zaufanych - zasób nie może być modyfikowany również przez nieizolowane aplikacje.

    Opcje Resource Type:
    • file- plik lub folder
    • registry- klucz rejestru
    • device- urządzenie, np. \Device\Tcp , \Device\Cdrom
    • network- dostęp do sieci przez protokół TCP/IP, np.,

      [Aby zobaczyć linki, zarejestruj się tutaj]

      ,, *
    • system object-obiekt reprezentujący szczególna usługę windows
    • section- sekcja pamięci np. \KnownDlls\kernel32.dll
    • any- zawiera wszystkie możliwe typy zasobów, nierekomndowany
  5. Applications , czyli aplikacje (izolowane aplikacje) - folder ten zawiera znane definicje aplikacji razem z ich specyficznymi regułami. Aby łatwo można było je przeglądać zostały posegregowane na grupy zgodnie z kategorią programu.

    [Aby zobaczyć linki, zarejestruj się tutaj]

    Domyślne grupy bazy danych aplikacji:
    • System
    • Web Browsers
    • E-Mail and News clients
    • Chat Messangers
    • IRC clients
    • P2P sharing applications
    • Office applications
    • Multimedia

    Lista aplikacji znajdujących się w bazie:

    [Aby zobaczyć linki, zarejestruj się tutaj]

    Jak tworzyć nowe grupy i definicje aplikacji?
    Klikamy prawoklikiem myszy na folder "Applications" lub w miejscu obok pozostałych grup aplikacji i wybieramy "Add Group" i wpisujemy nazwę grupy.

    [Aby zobaczyć linki, zarejestruj się tutaj]


    [Aby zobaczyć linki, zarejestruj się tutaj]

    Jeżeli chcemy dodać nową aplikację to ponowanie klikamy prawoklikiem myszy na określoną grupę i wybieramy "Add Application". Pojawi nam się okno, w którym widoczne są "Display Name", czyli nazwa programu, "File Name", czyli ścieżka, w której wskazujemy nazwę pliku, a także parametry - "Identify by", gdzie podawana jest wersja programu oraz "Security Level", czyli poziom bezpieczeństwa.
    Opcje Security Level:
    • Never isolate , czyli nigdy nie izoluj - aplikacja musi być zaufana, nie będzie ona nigdy izolowana
    • Isolate on access , izoluj podczas dostepu - aplikacja jest zaufana, ale gdy spróbuje połączyć się z siecią lub z niezaufanym zasobem GeSWall zapyta nas czy chcemy zaizolować tą aplikację.
    • Auto-isolation, no pop-ups , czyli automatyczna izolacja, bez alertów - to samo jak w "Isolate on access", lecz bez alertów. Aplikacja będzie izolowana automatycznie.
    • Always start isolated , czyli zawsze uruchamiaj jako zaizolowany - aplikacja jest zawszeizolowana na starcie i nie ma żadnych alertów.
    • Untrusted (Jail) , czyli niezaufane (więzienie) - oznacza aplikację uwięzioną. Aplikacja nie ma żadnych domyślnie pozwoleń chyba, że zostały jakieś dla niej przyznane.

    Dodawanie reguł aplikacji:
    Klikamy prawoklikiem myszy na nazwę aplikacji i wybieramy "Add Rule". Pojawi się okno "Application rule". W nim mamy "Resource name" nazwa zasobu, chodzi tutaj o podanie ścieżki, "Resource Typ" - czyli tym zasobu, "Access Permission" - dostępne pozwolenie.
    Opcje Resource Typ:
    • File- plik lub folder
    • Registry - rejestr
    • Device- urządzenie
    • Network- sieć
    • System object- systemowy

    Opcje Access permission:
    • Allow , czyli pozwól - aplikacja może czytać i modyfikować zasób
    • Redirect , czyli przeadresuj - aplikacja może czytać zasób, lecz gdy próbuje modyfikować go, to GeSWall tworzy kopię pliku lub klucza rejestru, który jest modyfikowany zamiast oryginalnego. Dzięki tej opcji aplikacja pracuje bezproblemowa, a jednocześnie zapobiega to modyfikacjom zaufanych zasobów. Kopia nie jest trwała, gdyż jest kasowana po zakończeniu pracy z aplikacją.
    • Read Only , czyli czytaj tylko - aplikacja izolowana może tylko czytać zasoby.
    • Deny , czyli odmów - oznacza brak pozwolenia na cokolwiek.


    [Aby zobaczyć linki, zarejestruj się tutaj]

  6. Application Wizard , czyli kreator reguł dla aplikacji, które chcemy uruchomiać jako izolowane. Uruchomienie większości izolowanych aplikacji wymaga utworzenia określonych reguł dostępu do pewnych kluczy rejestru, katalogów itp. Jeżeli ich nie utworzymy, to taka aplikacja najprawdopodobniej nie uruchomi się nam lub nie będzie działała prawidłowo.
    Kreator możemy uruchomić w menu kontekstowym Explorera Windows, jako pokazano na screenie poniżej.

    [Aby zobaczyć linki, zarejestruj się tutaj]

    Klikamy prawym przyciskiem myszy na plik *.exe danej aplikacji i wybieramy Application Wizard. Mamy do wyboru dwa tryby "Normal" (domyślnie) i "Expert Mode" (należy zaznaczyć opcje).

    [Aby zobaczyć linki, zarejestruj się tutaj]

    • Normal Mode , czyli tryb normalny (domyślnie włączony) - konfigurowane ustawienia są tworzone automatycznie i tylko te niezbędne do uruchomienia aplikacji izolowanej. Na pierwszej stronie nadajemy nazwę i grupę dla danej aplikacji. Znajdziemy tam też opcję "Processing time", czyli czas procesu. Możemy go zwiększyć, aby dokonać lepszej analizy.
      Załącznik 1:

      [Aby zobaczyć linki, zarejestruj się tutaj]

      Teraz musimy odczekać zaznaczony przez nas czas przebiegu procesu (domyślnie 10 sek.).
      Załącznik 2:

      [Aby zobaczyć linki, zarejestruj się tutaj]

      Załącznik 3:

      [Aby zobaczyć linki, zarejestruj się tutaj]

    • Expert Mode , czyli tryb experta - pozwala nam dostosować wszystkie opcje. Ten tryb jest szczególnie przydatny do diagnozowania izolowanej aplikacji w sytuacji, gdy nie działa ona zgodnie z oczekiwaniem. Na pierwszej stronie mamy "Application file path" - ścieżka do programu, "Display Name" - nazwa aplikacji wyświetlana w Konsoli GeSWall''a, "Group" - klasyfikowanie aplikacji do określonej grupy w Konsoli, "Identification type" - informacje o wersji aplikacji, "Security Level" - poziomy bezpieczeństwa opisane wyżej.
      Załącznik 1:

      [Aby zobaczyć linki, zarejestruj się tutaj]

      Załącznik 2:

      [Aby zobaczyć linki, zarejestruj się tutaj]

      Klikając na X możemy usunąć ustawienia. Dodatkowo możemy też zaznaczyć opcję "Autofill rules for this Application" - włącza automatyczną analizę i wypełnienie reguł.
      Kiedy kreator uruchomi aplikacje powinniśmy wykonywać typowe dla niej działania. W tym czasie "Application Wizard" będzie rejestrował wszystkie wymagane zasoby, a wiec jakieś klucze w rejestrze, dostęp do pewnych katalogów, plików itp. Po automatycznej analizie zostaniemy przeniesieni do strony z regułami, które tutaj możemy dowolnie edytować.
      Załącznik 3:

      [Aby zobaczyć linki, zarejestruj się tutaj]

      Załącznik 4:

      [Aby zobaczyć linki, zarejestruj się tutaj]

  7. Untrusted Files , czyli niezaufane pliki - wszystkie pliki utowrzone lub zmodyfikowane przez izolowane aplikacje są oznaczane jako niezaufane (untrusted). Oznaczone są one czerwona ramką i literą "G" w Explorerze Windows.
    Załącznik 1:

    [Aby zobaczyć linki, zarejestruj się tutaj]

    W wygodny sposób za pomocą prawokliku myszy możemy oznaczyć je jako zaufane.
    Załącznik 2:

    [Aby zobaczyć linki, zarejestruj się tutaj]

    W Konsoli w sekcji "Untrusted Files" mamy możliwość przeskanowania partycji w poszukiwaniu wszystkich takich plików, które po zakończeni skanowania zostaną nam przedstawione w postaci wygodnej listy.
    Załącznik 3:

    [Aby zobaczyć linki, zarejestruj się tutaj]

    Załącznik 4:

    [Aby zobaczyć linki, zarejestruj się tutaj]

    Mozemy je za pomocą prawokliku usunąć pernamentnie z listy niezaufanych plików lub też oznaczyć jako zaufane.
    Załącznik 5:

    [Aby zobaczyć linki, zarejestruj się tutaj]

Porównanie dostępnych funkcji wersji Free z Pro

[Aby zobaczyć linki, zarejestruj się tutaj]

GeSWall jako firewall
Domyślnie GW nie kontroluje aplikacji łączących się z siecią. Aby to zmienić należy edytować główna regulę sieciową w Resources, aby żadna aplikacja nie mogła się połączyć z siecią bez odpowiedniej reguły pozwalającej na to w Applications.
  • Edycja głównej reguły sieciowej

    [Aby zobaczyć linki, zarejestruj się tutaj]

  • Utworzenie dodatkowej grupy np. Trusted Allowed , czyli grupy aplikacji zaufanych, które będą miały pozwolenie na dostęp do sieci.

    [Aby zobaczyć linki, zarejestruj się tutaj]

  • Dodanie aplikacji zaufanej do Trusted Allowed , która będzie miała dostep do sieci.
    Przyklad - Avira Update

    [Aby zobaczyć linki, zarejestruj się tutaj]

  • Dodanie reguły pozwalającej zaufanej aplikacji (nieizolowanej) na polączenie z siecią

    [Aby zobaczyć linki, zarejestruj się tutaj]

  • Dodanie reguły pozwalającej izolowanej aplikacji łączyć się z siecią
    Przyklad - Firefox

    [Aby zobaczyć linki, zarejestruj się tutaj]

  • Stealth Test (GRC Shields UP) - zaliczony

    [Aby zobaczyć linki, zarejestruj się tutaj]

Jak izolować urządzenia USB, dyski twarde, CD\DVD-ROM, poszczególne partycje?
  • USB(przykład - "Threat Gate")
    Załącznik 1:

    [Aby zobaczyć linki, zarejestruj się tutaj]

    Załącznik 2:

    [Aby zobaczyć linki, zarejestruj się tutaj]

    Załącznik 3:

    [Aby zobaczyć linki, zarejestruj się tutaj]

    Załącznik 4:

    [Aby zobaczyć linki, zarejestruj się tutaj]

    Załącznik 5:

    [Aby zobaczyć linki, zarejestruj się tutaj]

    Załącznik 6:

    [Aby zobaczyć linki, zarejestruj się tutaj]

    DVD ROM(przykład - "Untrusted")
    Załącznik 1:

    [Aby zobaczyć linki, zarejestruj się tutaj]

    Załącznik 2:

    [Aby zobaczyć linki, zarejestruj się tutaj]

    Załącznik 3:

    [Aby zobaczyć linki, zarejestruj się tutaj]

    Załącznik 4:

    [Aby zobaczyć linki, zarejestruj się tutaj]

  • Pendrive i twardy dysk
    Sposób 1 - HarddiskX Uwaga! Działa w wersjach poniżej 2.9.
    Dyski twarde, jak rownież USB maja przydzielane numery. Pierwszy twardy dysk oznaczany jest jako Harddisk0, nastepny Harddisk1 itd. W jaki spsób odczytać numer dyku pokazane zostało na screenach w załącznikach ponizej.
    Załącznik 1:

    [Aby zobaczyć linki, zarejestruj się tutaj]

    Załącznik 2:

    [Aby zobaczyć linki, zarejestruj się tutaj]

    Gdy znam juz nr dysku, przechodzę do konsoli GeSWalla, następnie do Resources. Teraz tworzę nową regułę dla urządzenia Pendrive, które chcę izolować - Security Class:Threat Gates , Resource Typ: File , Name, Resource: \Device\Harddisk2 .
    Załącznik 3:

    [Aby zobaczyć linki, zarejestruj się tutaj]

    Sposób 2 - HarddiskVolumeX
    Reguła dla izolowanej partycji - Security Class:Threat Gates , Resource Typ: File , Name, Resource: \Device\HarddiskVolumeX , gdzie "X" oznacza nr partycji.
    C:\ to 1, D:\ to 2, E:\ to 3 itd.

    Jak to wyglada pod Windows Vista?

    [Aby zobaczyć linki, zarejestruj się tutaj]

    Sposób 1 - CdRomX
    Dla CD-ROM lub DVD-ROM w Resource wpisujemy \Device\CdRomX, gdzie "X" oznacza nr urządzenia, które sparwdzamy tak samo jak w przypadku dysków twardych i pamięci flash. Jeśli mamy jedno urządzenie CD/DVD-ROM to wpisujemy \Device\CdRom0

    Cała reguła - Security Class:Threat Gates , Resource Typ: File , Name, Resource: \Device\CdRom0

  • Stacja dyskietek
    Security Class:Threat Gates , Resource Typ: File , Name, Resource: \Device\Floppy0

Gotowe reguły z wersji Pro na Free i kopia wszystkich reguł
Należy podmienić plik z ustawieniami geswall.dat (glowny katalog \Program Files\geswall\geswall.dat), ktory ścigamy z niżej podanego linku. Nastepnie wyłaczamy uslugę GeSWall service w Usługach, potem w Menadżerze zadań należy wskazać proces gswui.exe i zakonczyć go. Podmieniamy plik i ponownie włączamy zatrzymaną usługę GeSWall''a oraz uruchamiamy program. W ten sposób możemy robić również kopię reguł wszystkich aplikacji.

[Aby zobaczyć linki, zarejestruj się tutaj]

Nowe, dodatkowe reguly do GeSWalla(dwa źródła w załączniku poniżej i pod postem):
W załączniku dostępny jest również plik

[Aby zobaczyć linki, zarejestruj się tutaj]

Spis nowych reguł:
Chat Messengers : AQQ, Konnekt, Nowe Gadu-Gadu, Tlen
Multimedia : AIMP2, ALLPlayer, BESTplayer, BSPlayer, Foobar2000, GOM Player, Ipla, JetAudio, KMPlayer, SopCast, SubEdit Player, VLC Media Player, Open-FM
Web Browsers : Safari
P2P : uTorrent

Wykorzystanie zasobów:

[Aby zobaczyć linki, zarejestruj się tutaj]

Jak wyłączyćefekt migania (Blink Effect) okna izolowanej aplikacji?

[Aby zobaczyć linki, zarejestruj się tutaj]

  • Malwaretestlab 9 Killdisk Virus vs 25 Security Software, maj 2009
    link do testu:

    [Aby zobaczyć linki, zarejestruj się tutaj]


    [Aby zobaczyć linki, zarejestruj się tutaj]

  • Testy programów: DW, GW, SbIE oraz BufferZone, marzec 2009

    [Aby zobaczyć linki, zarejestruj się tutaj]

    1. Wykorzystanie zasobów:GW: 7.5/10
    2. AKLT anti-keyloggers and screen tests:GW: 9.5/10
    3. Advanced process termination APT TestGW: 10/10
    4. Kontynuowanie ochrony po zamknieciu procesów programow ochronnych:GW: 10/10
    Podsumowanie:2. GW: 37/40
  • GeSWall na YouTube:

    [Aby zobaczyć linki, zarejestruj się tutaj]


    [Aby zobaczyć linki, zarejestruj się tutaj]


    [Aby zobaczyć linki, zarejestruj się tutaj]


    [Aby zobaczyć linki, zarejestruj się tutaj]


    [Aby zobaczyć linki, zarejestruj się tutaj]


    [Aby zobaczyć linki, zarejestruj się tutaj]

  • Testy GeSWall:

    [Aby zobaczyć linki, zarejestruj się tutaj]


