|
| Efter "generic host" Fra : Mr. Fox |
Dato : 10-06-05 16:02 |
|
Jeg har læst alle brevene og er blevet mere i tvivl. Blandt andet fordi jeg
nu også får besked om at Zone Alarm spør' mig om jeg vil tillade "Kør DLL"
som jeg heller ikke ved hvad er. Jeg går så ind på "details" og "More info"
og så er man helt lost. Man får at vide at det er noget der somme tider skal
bruges af dette eller hint, men også kan være det rene gift.
Jeg ser at mange anbefaler at man blot kan nøjes med Windows egen Firewall,
jeg har SP2 og autoopdatering, så måske skal jeg blot slette ZA.
Er der no'en og har et hul man kan kryve i???
Mr. Fox
| |
Michael Rasmussen (10-06-2005)
| Kommentar Fra : Michael Rasmussen |
Dato : 10-06-05 16:14 |
| | |
Haastrup (10-06-2005)
| Kommentar Fra : Haastrup |
Dato : 10-06-05 18:24 |
|
On Fri, 10 Jun 2005 17:01:58 +0200, "Mr. Fox" <nytjens@nrdc.dk> wrote:
>Jeg har læst alle brevene og er blevet mere i tvivl. Blandt andet fordi jeg
>nu også får besked om at Zone Alarm spør' mig om jeg vil tillade "Kør DLL"
>som jeg heller ikke ved hvad er. Jeg går så ind på "details" og "More info"
>og så er man helt lost. Man får at vide at det er noget der somme tider skal
>bruges af dette eller hint, men også kan være det rene gift.
>Jeg ser at mange anbefaler at man blot kan nøjes med Windows egen Firewall,
>jeg har SP2 og autoopdatering, så måske skal jeg blot slette ZA.
>
>Er der no'en og har et hul man kan kryve i???
>
>Mr. Fox
>
Hør nu her: Du forsøger at finde ud af noget som selv professionelle
netværksfolk kan bruge dage på at finde ud af!
Derfor kan du ikke få et tilfredsstillende svar af folk her,
som jo ikke aner hvilke programmer du bruger.
Og nej, der er ikke nogen smutveje medmindre du er velbevandret
udi diverse værktøjer, der viser processammenhænge og den slags
(hvilke programmer bruger hvilke dll'er). Det kan være
et detektivarbejde!
Hvis jeg var dig, ville jeg tillade de sædvanlige programmer
såsom iexplorer og lignende. Alle andre ville jeg blokere.
Du kan jo bare tillade dem igen hvis der er noget der ikke
virker.
Jeg vil ikke tillade at nogen programmer er server uden at
jeg ved, at det er strengt nødvendigt.
Og så ville jeg slå alle advarsler fra. Man bliver jo bims
i låget af at se på dem...
vh Søren
Regards S. Haastrup.
| |
Jesper Louis Anderse~ (11-06-2005)
| Kommentar Fra : Jesper Louis Anderse~ |
Dato : 11-06-05 02:06 |
|
Mr. Fox wrote:
> Jeg har læst alle brevene og er blevet mere i tvivl. Blandt andet fordi jeg
> nu også får besked om at Zone Alarm spør' mig om jeg vil tillade "Kør DLL"
> som jeg heller ikke ved hvad er.
Heh, du er skam bare blevet fanget i frygtens forhal.
Firewall-producenter, Antivirus-forhandlere og lignende vil godt have et
marked med frygt, thi dette fordrer deres forretning paa lukrativ vis.
Hvis der ikke var noget at vaere bange for, ville de ikke kunne saelge
dig noget.
Programmer er som LEGO(tm)-klodser man stykker sammen. Nogle af
klodserne benyttes til kommunikation via internettet og de kan
selvfoelgeligt anvendes af ``gode'' saasom ``onde'' programmer. Nok
analogi for nu.
Jo mere forvirret en producent (i dette tilfaelde ZoneAlarm) kan goere
dig, jo mere frygt og angst. Dermed mere salg. Hvis programmet ogsaa kan
skrige op om den ene ``fare'' efter den anden, saa er der ogsaa mere salg.
Du har indset saa meget, at man ikke bare kan ignorere risikoen ved
internetkommunikation, og det er godt. Risikoen er nemlig for stor. En
uopdateret windowsmaskine bliver kompromiteret indenfor et par minutter
efter den har faaet adgang til internettet. Af den grund skal risikoen
saenkes til noget mere acceptabelt. Det goer du mest effektivt ved:
1. At holde din maskine opdateret via windowsupdate/microsoftupdate.
2. Ikke ukritisk aabne attachments I mails.
3. Ikke downloade og installere software fra mere eller mindre grumme
steder.
4. etc.
Ulempen ved firewalls er at du ikke er sikker paa de paavirker risikoen
i gunstig retning for dig. Det handler i hoej grad om din egen viden
omkring TCP/IP protokolstakken (morse-koden for internettet, lettere
parafraseret) saa du kan instruere firewallen korrekt samt din viden om
dit operativsystem, saa du kan afgoere hvilke LEGO(tm)-klodser der maa
snakke med omverdenen. Sidst er der kvaliteten af din firewall. Er den
daarligt konstrueret kan den selv have et sikkerhedshul og dermed
udgoere en risiko.
| |
Stig Johansen (11-06-2005)
| Kommentar Fra : Stig Johansen |
Dato : 11-06-05 04:40 |
|
Mr. Fox wrote:
> Jeg har læst alle brevene og er blevet mere i tvivl. Blandt andet fordi
> jeg nu også får besked om at Zone Alarm spør' mig om jeg vil tillade "Kør
> DLL" som jeg heller ikke ved hvad er.
Programmer under Windows ender normalt på .exe.
Når man laver programmer, har man oftest brug for de samme funktioner i
forskellige programmer, eksempelvis håndtering af et inputfelt,
kommunikation med servere, osv.
For at kunne genbruge disse programstumper, lægger man dem i et
programbibliotek (library), der som oftest får endelsen .dll.
Når man så starter et program (.exe), henter programmet de biblioteker ind,
der skal bruges.
Dvs. En kørende process består af en .exe + et antal .dll'er.
Forestil dig følgende 'træstruktur':
svchost.exe ( Genric[1] host)
+- xyz.dll
+- zyx.dll
| +- aaa.dll
+- ccc.dll
osv..
[1] Du har tidligere spurgt on generic. Jeg kender ikke noget dansk ord, og
i branchen har man blot fordansket til generisk. Man kan måske beskrive det
som et program, der kan 'tilpasse' sig, eller inderholder en vis form for
dynamik.
Et eksempel kunne være, at jeg laver et program, der tager et dll - filnavn
som input, og derefter udfører funktioner i denne.
Lad os sige, at programmet hedder kør.exe, der nu er et 'generisk' program.
Hvis jeg så udfører kommandoen:
kør god.dll -> Har jeg en process, der hedder "kør.exe", som udfører 'god'
kode.
Hvis jeg derimod skriver:
kør ond.dll -> har jeg en process, der stadig hedder "kør.exe", men nu
udfører jeg 'ond' kode.
Du kan derfor ikke ud fra processnavnet alene afgøre hvad det er for en
stump kode, der forsøger adgang til nettet.
Derfor får du nok denne besked:
> Jeg går så ind på "details" og "More
> info" og så er man helt lost.
Nu kender jeg ikke ZoneAlarm, men jeg vil gætte på, der dukker nogle
dll-filnavne op.
> Man får at vide at det er noget der somme
> tider skal bruges af dette eller hint, men også kan være det rene gift.
Det er desværre en jungle, og der findes ikke en endegyldig løsning.
Hvis jeg f.eks. i ovennævnte eksempel omdøber filnavnene, så ond.dll kommer
til at hedde god.dll, og god.dll kommer til at hedde ond.dll, så vil du i
god tro udføre kommandoen:
kør god.dll -> har jeg en process, der stadig hedder "kør.exe", men nu
udfører jeg 'ond' kode, selvom du tror, at du udfører 'god' kode.
> Jeg ser at mange anbefaler at man blot kan nøjes med Windows egen
> Firewall, jeg har SP2 og autoopdatering, så måske skal jeg blot slette ZA.
Vær opmærksom på, at Windows egen firewall 'kun' beskytter mod angreb udfra
og ind, og opdager ikke programmer på din maskine, der forsøger at få
adgang til nettet.
> Er der no'en og har et hul man kan kryve i???
Jeg vil foreslå dig følgende beslutningsprocess:
1 - Find ud af hvilken process/fil, der forsøger adgang.
2 - Hvs den er 'ond', sig NEJ og afslut.
3 - Hvis du er i tvivl, sig NEJ og afslut - eller gå til 1.
4 - Hvis den er 'god', sig JA og gå videre.
For at undersøge hvorvidt den er god eller ond, kan man komme rigtig langt
ved at søge på filnavnet på gppgle.
--
Med venlig hilsen
Stig Johansen
| |
Thomas G. Madsen (11-06-2005)
| Kommentar Fra : Thomas G. Madsen |
Dato : 11-06-05 13:10 |
|
Stig Johansen skrev:
> [1] Du har tidligere spurgt on generic. Jeg kender ikke noget
> dansk ord, og i branchen har man blot fordansket til generisk.
Generic term betyder fællesbetegnelse, så man kan vel egentlig
godt sige, at Generic Host Process er en fælles værtsproces,
som andre processer kan drage nytte af (eller udnytte).
Det er også det, som MS' beskrivelse af svchost.exe forsøger at
fortælle. < http://support.microsoft.com/?kbid=314056>. Altså, at
det er en slags værtsproces, som andre processer eller tjenester,
bliver indlæst under.
--
Hilsen
Madsen
| |
|
|