Privatefirewall, Вопрос ?

[GvU]

Зашел в полный отчет Priveatefirewall ,и увидел установка сниффера. возник вопрос: это неточный перевод, или сниффера на службе отечества . Ниже приведу фото 3 программ :
1.Kaspersky Security Scan.
2. Браузер “Спутник” от Ростелеком.
3. Cleaner Free Portable версия.

Снифферы - это проги, которые перехватывают весь сетевой трафик. Снифферы полезны для диагностики сети(для админов) и для перехвата паролей (понятно для кого).

 

[Theriollaria]

Снифферы - это проги, которые перехватывают весь сетевой трафик. Снифферы полезны для диагностики сети(для админов) и для перехвата паролей (понятно для кого).

Предположу, что сетевые драйвера антивирусов, работающие в качестве веб защиты примерно так и работают. Вернее работают они иначе, перенаправляя весь трафик через себя (можно сказать это виртуальная сетевуха). Но суть та же. Так что PrivateFirewall просто назвал вещи своими именами.

 

[GvU]

как видно на фото файл для обновления программ ,относится Снифферу, видимо есть схожесть технологии

 

[Matias]

Несколько дней назад столкнулся с необычной проблемой. Установленная на Семерка Авира захотела обновить версию. Увидев, что попытка обновления завершилась неудачей, я сразу же полез изучать расширенный отчет файервола. Выяснилось, что PF заблокировал доступ в Интернет модулю обновления версии Авиры, расположенному по следующему пути:

C:/Program Files(x86)/Avira/Antivirus/TEMP/Selfupdate/update.exe"]

Естественно, я сразу же полез в настройки файервола, чтобы создать разрешающее правило для обновителя. Но это оказалось невозможным, так как он существует лишь временно (что очевидно из вышеуказанного пути). Пришлось разрешить весь трафик, обновить Авиру, а затем вновь активировать режим фильтрации. Этот вариант плох тем, что за время глобального разрешения трафика в Интернет может выйти абсолютнр любое ПО, включая компоненты Windows, которые нежелательно выпускать в Сеть. Какой выход есть из этой ситуации? Ведь перед созданием разрешающего правила необходимо выбрать приложение, для которого это правило и создается. А поскольку на момент создания правила модуля обновления версии Авиры уже не существует, то такой выбор невозможен.
С обновлением антивирусных баз никаких проблем нет, поскольку модуль их обновления известен файерволу и существует на постоянной основе (соответствующее разрешающее правило было создано автоматически сразу же после установки Авиры). А вот с обновлением версии самого антивируса возникла вышеописанная проблема. Раз файл существует лишь ограниченное время и запускается из временной авировской папки, то нет ничего удивительно в том, что файервол не доверяет ему.

Изучил расширенный отчет файервола более внимательно и обнаружил, что модуль обновления версии Авиры (update.exe) запускается из

C:/ProgramData/Avira/Antivirus/TEMP/SELFUPDATE

Это очень странно, поскольку обычно в ProgramData не должны располагаться исполняемые файлы, ведь каталог предназначен для хранения данных программ, а также их настроек. Придется дождаться следующего обновления версии Авиры, чтобы вышеуказанный файл создался опять и тогда создать соответствующее разрешающее правило файервола.

 

[ToRnNeO]

это очень странно, поскольку обычно в ProgramData не должны располагаться исполняемые файлы, ведь каталог предназначен для хранения данных программ, а также их настроек.

В папке ProgramData наравне с системными файлами могут находиться их резервные копии, файлы установки и т.д. даже то, что давно удалено, в подтверждение моих слов тут все так и написано tehnichka.pro/folder-programdata-windows-10/. И у вас получает папка Temp, в которой располагаются все временные файлы антивирусника, располагается в ProgramData, и получается что именно за этими временными файлами полез антивирус при обновлении в вашем случае. Я обычно папку Temp полностью очищаю, не боясь, что система перестанет нормально работать)

 

[Matias]

В пятницу Авира сновапопыталась обновить версию и опять создала файл временный модуль обновления update.exe. На этот раз я сумел поймать момент и добавил его в список приложений файервола. Однако выяснилось, что за обновление версии отвечает вовсе не этот файл, а совсем другой, и этот другой файервол, естественно, тоже заблокировал, т.к. не знал его раньше. Вот путь к этому файлу

C:\ProgramData\Avira\Antivirus\TEMP\SELFUPDATE\3731a12c.upd\update.exe

Выходит, что Авира каждый раз создает временный модуль обновления в папке со случайным именем, поэтому создавать для него правило бессмысленно.

Я вот чего не понимаю. Увидев, что файл, о котором я писал в прошлом посте, заблокирован файерволом, я решил временно включить режим обучения, обновить Авиру, а затем опять включить режим фильтрации. Но даже обучающийся файервол почему-то не выпустил временный апдейтер в Интернет, хотя в режиме обучения должен автоматически разрешать всю сетевую активность. Поэтому пришлось разрешить весь трафик, нажав на кнопку с зеленым светофором, обновить Авиру, после чего опять перевести файервол в режим фильтрации, нажав на кнопку с желтым светофором.
Почему же файервол блокировал обновителю Авиры доступ в Интернет даже в режиме обучения?

В инструкции к файерволу вычитал следующее

In all training scenarios, Privatefirewall will block only the activity that was previously
blocked (or configured to block).

Т.е. если файервол уже ранее блокировал программу, то он булет блокировать ее и в режиме обучения.

Как оказалось, файервол настолько не любит Авиру (точнее, место дислокации временного обновителя), что не выпускает в Интернет даже при включенной функции доверенных издателей. Временный обновитель Авиры, естественно, подписан.

 

[Theriollaria]

Как оказалось, файервол настолько не любит Авиру (точнее, место дислокации временного обновителя), что не выпускает в Интернет даже при включенной функции доверенных издателей. Временный обновитель Авиры, естественно, подписан.

А если попробовать написать в саппорт файрвола? Просто вряд ли Avira изменит способ обновления софта, а менять и то и другое, подозреваю Вы не собираетесь? Просто иначе можно TinyWall или F-Secure поставить и получить +/- то же.

 

[Matias]

А если попробовать написать в саппорт файрвола?

Файервол давным-давно снят с поддержки. Однако это не является основанием для отказа от его использования, поскольку программа не требует активации и является бесплатной для любого использования. В проблеме виноваты разработчики Авиры, излишне усложнившие процесс обновления антивируса. Никто не мешал им использовать один постоянный обновитель как для обновления антивирусных баз, так и для обновления самой программы. Файервол же исправно выполняет свои функции. К нему у меня претензий нет. Немного удивляет только невозможность добавить исключение, но без этого я обойдусь.

 

[Theriollaria]

Файервол давным-давно снят с поддержки. Однако это не является основанием для отказа от его использования, поскольку программа не требует активации и является бесплатной для любого использования. В проблеме виноваты разработчики Авиры, излишне усложнившие процесс обновления антивируса. Никто не мешал им использовать один постоянный обновитель как для обновления антивирусных баз, так и для обновления самой программы. Файервол же исправно выполняет свои функции. К нему у меня претензий нет. Немного удивляет только невозможность добавить исключение, но без этого я обойдусь.

Я тут TinyWall упоминал. Сейчас новая версия вышла (полноценный, самостоятельный фаер), а та ,что ранее была -она надстройка над штатным брандмауэром Windows. Тоже пришлось попотеть, чтобы не блокировались сервисы Avira. Возможно нужно поискать еще какой-нить неучтённый сервис Avira (с какой-нить белибердой вместо названия) и всё заработает.

 

[Dragokas]

Придется дождаться следующего обновления версии Авиры, чтобы вышеуказанный файл создался опять и тогда создать соответствующее разрешающее правило файервола.

Можно было не ждать, а самому создать любой exe-файл по тому пути и создать по нему правило, раз уж файрвол на столько придирчивый, что не дает указывать произвольный путь.