khips.sys

[michte]

Salut,

 

 

Horus a dit:

"...Sunbelt (ex-Kerio) propose le même genre de (pseudo)-protection HIPS (je l'ai découvert suite à mon très court test), mais est-il possible de décocher cette option HIPS avec Sunbelt, pour ne garder que la fonction parefeu..."

 

1) Je n'ai pourtant pas activé l'HIPS de SPF mais deux drivers apparraissent avec RkU, je pense qu'ils sont la cause de mes petits problèmes d'icône dans le systray...

 

2) Le driver khips.sys existe t'il encore avec la nouvelle version de Sunbelt ou est-ce un reliquat de l'ancienne version (Kerio) qui serai restée et pris en compte par SunbeltPersonnalFirewall lors de son installation

 

3) Vos avis concernant les crochets de SPF fwdrv.sys seraient un plus pour moi

 

4) Où puis-je trouver une définition concernant les noms de services (service name) ci-dessous? (je n'ai pas trouvé grand chose...)

 

C:\WINDOWS\system32\drivers\...

pwipf2.sys: Driver du contrôleur d'intégrité DynamicSecurityAgent

fwdrv.sys: Driver du pare-feu SunbeltPersonnalFireWall

khips.sys: Driver de l'HIPS de KerioPersonnalFireWall

 

 

Service name: NtClose. Hooked: Yes. Module: fwdrv.sys

 

Service name: NtCreateFile. Hooked: Yes. Module: pwipf2.sys

 

Service name: NtCreateKey. Hooked: Yes. Module: pwipf2.sys

 

Service name: NtCreateProcess. Hooked: Yes. Module: fwdrv.sys

 

Service name: NtCreateProcessEx. Hooked: Yes. Module: fwdrv.sys

 

Service name: NtCreateThread. Hooked: Yes. Module: pwipf2.sys

 

Service name: NtDeleteFile. Hooked: Yes. Module: fwdrv.sys

 

Service name: NtDeleteKey. Hooked: Yes. Module: fwdrv.sys

 

Service name: NtValueKey. Hooked: Yes. Module: fwdrv.sys

 

Service name: NtLoadDriver. Hooked: Yes. Module: khips.sys

 

Service name: NtMapViewOfSection. Hooked: Yes. Module: khips.sys

 

Service name: NtOpenFile. Hooked: Yes. Module: pwipf2.sys

 

Service name: NtOpenKey. Hooked: Yes. Module: pwipf2.sys

 

Service name: NtOpenProcess. Hooked: Yes. Module: pwipf2.sys

 

Service name: NtOpenSection. Hooked: Yes. Module: pwipf2.sys

 

Service name: NtOpenThread. Hooked: Yes. Module: pwipf2.sys

 

Service name: NtResumeThread. Hooked: Yes. Module: fwdrv.sys

 

Service name: NtSetInformationFile. Hooked: Yes. Module: fwdrv.sys

 

Service name: NtSetValueKey. Hooked: Yes. Module: pwipf2.sys

 

Service name: NtTerminateProcess. Hooked: Yes. Module: pwipf2.sys

 

Service name: NtWriteFile. Hooked: Yes. Module: fwdrv.sys

 

PS: J'ai essayé de désactiver ces deux drivers sans y parvenir, après une tentative le pointeur de la souris est visible mais n'a plus aucune action quand il survole un programme ou un fichier (pas de menu déroulant dans "programme").

 

 

Merçi,

A+

Modifié le 10 août 2007 par michte

[nicM]

Bonjour michte,

 

Il est normal d'avoir ces 2 drivers pour Kerio, et tu peux éventuellement désactiver le driver du HIPS s'il te pose des problèmes : Si tu désactives les fonctionnalités HIPS dans l'interface de Kerio, le service khips continuera de tourner (le driver sera toujours chargé, même inutilisé). Il faut alors le désactiver manuellement, ensuite.

 

La manip est exposée dans ce sujet : http://forum.zebulon.fr/index.php?showtopic=102918

 

 

Sinon, il semble que Kerio interfère avec DSA, en voyant les hooks que tu as listé (certains de ceux qu'utilise normalement DSA sont ici utilisés par fwdrv.sys).

[michte]

Salut nicM,

 

Je te remercie une fois de plus pour tes renseignements.

 

Je n'ai pas vraiment de graves problèmes d'instabilitées dûes au couple SPF-DSA, mais toujours cette icône qui disparait (SPF) lors du démarrage pour réapparaitre ensuite, donc apparement c'est bénin; mais suite à ton post dans lequel tu me dis que SPF "hook" (crochète) la SSDT, alors que normalement (sans la présence de SPF) c'est DSA qui devrait les crocheter, je me dis qu'il faudrait mieux que je désinstalle une bonne fois SPF, qui m'a permis de quitter rapidement le pare-feu de Windows XP, mais en contrepartie c'est avéré à plusieurs reprises instable et belliqueux vis à vis d'autres logiciels, problèmes également avec la mise en veille prolongée, et je passe les problèmes dans les débuts avec Avast... (que j'avais à son "époque de gloire" qui pour ma part à été une bonne alternative à Norton de Symantec installé sur mon PC avec le pack de logiciels fournis à l'achat)

 

Mais passer de SPF à Jetico il-y-a quand même une sacrée marche, j'ai bien regardé les Tutos le concernant et j'avoue être un peu septique quand à ma capacité de bien le paramétrer, j'ai lu (je ne sais plus dans quel forum...) qu'il était le plus performant avec les configurations d'origines...

Je pense même à ZoneAlarm Pro, la seule chose qui me freine c'est évidement son coût, sinon le côté "sans prise de tête" est tentant.

 

Il va falloir que je me décide car je n'aime pas trop les interférences cela pourrait devenir vraiment instable un de ces jours à cause d'une MAJ ou un autre log qui "en rajouterai".

Je ne pense pas bidouiller SPF, je commence à me lasser un peu.

 

Je te remerçie, je vais aviser.

A+

[michte]

Salut nicM,

 

Une petite question concernant DSA, j'ai remarqué (ce n'est pas dûr) que DSA affiche un pop-up d'alerte "System Anomaly Detection" lorsqu'un Log est utilisé de manière plus longue que d'habitude ou consomme plus de CPU (période learning mode en référence?) pour moi pas de problème je suis le seul utilisateur et je sais encore ce que j'ai installé, de plus ces alertes sont rares, toutefois si je veux scanner mon PC avec mon anti-virus Avira (par exemple) lors du scan, DSA m'alerte et si je ne clique pas sur "ignore" (dans ce cas précis) il bloque le scan d'Avira jusqu'à mon intervention, c'est à la fois très sécurisant mais aussi très génant, car moi je lance le scan et je vais me ballader pendant ce temps là, mais le scan ne se fera que si je clique sur "ignore" et m'oblige à rester pour lui indiquer de l'épargner...

 

La seule solution que j'ai trouvé pour l'instant est de désactiver DSA pendant le scan d'Avira (je tiens à mes ballades et de toutes facons ma chienne me rappellerai à l'ordre de manière soutenue ) mais pour plus de sécurité je coupe la connection au Net via SPF (pour l'instant) aussi je me demandai si il était possible d'indiquer (pas trouvé) à DSA d'ignorer certains logs sûr, afin qu'ils puissent effectuer normalement leurs scans.

 

Autre chose... Pourrais-tu me confirmer la chose suivante :

 

Quand je fais une mise à jour de logiciels ou que j'en installe un nouveau, un pop-up de DSA me demande si je veux "Keep Setting" ou "Delete Setting" et j'ai cru comprendre que pour indiquer que la MAJ ou l'installation d'un log doit être prise en compte comme acceptée, il fallait cliquer sur "Delete Setting" ce qui voudrais dire pour DSA de changer ses anciens paramètres, alors que "Keep Setting" voudrais dire pour DSA de garder ses anciens paramètres et donc de ne rien faire pour ce nouveau log ou de cette nouvelle MAJ.

 

RECTIFICATION: En fait, je voulais parler des "pop-up" qui apparaissent lors du redémarrage, qui me demandent si oui ou non (confirmation) je veux vraiment supprimer les anciennes versions (pour bien prendre en compte les nouvelles données) donc je me dois de noter les versions installées (avant changement) et les nouvelles et je vérifie que je j'autorise bien l'éffacement des anciennes, pour ne pas faire d'erreurs...

 

Amicalement,

Modifié le 17 août 2007 par michte

[michte]

Salut nicM,

 

Je suis arrivé à supprimer khips.sys avec Unlocker, car avec la manip, lorsque j'effectuais la commande, ma souris était inactive lors d'un survol de fichier, et je n'arrivai donc pas à accéder à l'endroit ou était khips.sys...

 

En ce qui concernne ton message:

"Sinon, il semble que Kerio interfère avec DSA, en voyant les hooks que tu as listé (certains de ceux qu'utilise normalement DSA sont ici utilisés par fwdrv.sys)."

 

Peut-tu m'indiquer lesquels sont concernnés, et crois-tu qu'il soit possible de les désactiver ou supprimer pour "laisser la place" à DSA?

Même si cela entraine une réinstallation de l'un ou de l'autre ou même les deux...

 

ps: La suppression de khips.sys n'a rien changé à mon petit souçi dans le systray, mais il a laissé sa place à ntoskrnl pour les deux hooks concernnés.

 

A+

Michte.

 

ps: "petite"chose à signaler, lors de la suppression de khips.sys avec Unlocker ce dernier (Unlocker) a essayé d'établir une connection avec l'extérieur, ce que je ne lui ai pas permis (non mais...) je vais le surveiller de près.

Modifié le 16 août 2007 par michte

[nicM]

Salut michte,

 

Et désolé pour le retard - petite virée d'une semaine .

 

 

Pour l'histoire d'icône Kerio qui disparaît quelques instants du systray, il ne doit s'agir que des 2 processus gérant l'interface (et non du service), donc pas de quoi s'inquièter outre mesure.

 

Pour le problème du module "System Anomaly Detection" pendant les scans Antivir : Plutôt que de désactiver entièrement DSA, tu ferais mieux de désactiver le seul module "System Anomaly Detection" , cela évitera de perturber les scans, tout en conservant le reste de la protection, le plus important.

 

Personellement je n'utilise pas du tout ce module : Hop, désactivé dès le départ (pour désactiver, décocher "enable detection" pour ce module).

 

Pour les changements de fichiers de programmes, il semble qu'il faille choisir "delete settings", en effet : Ca ne correspond pas à l'explication donnée par Privacyware dans le pdf servant d'user guide (eux suggèrent de choisir "keep settings"), mais en pratique c'est ce qui permet de modifier les paramètres lorsqu'un programme à été modifié après une mise à jour. Bizarre, peut-être y-a-t'il une erreur dans leur pdf .

 

Sinon, pour les hooks, il n'y a rien à faire, ne touche à rien. Ceux qui sont communs avec DSA sont ceux de fwrdv.sys, et non khips.sys. De toute façon, tous les firewalls que tu pourra installer auront des hooks communs (en plus ou moins grande proportion) avec DSA, donc ça n'est pas la peine de chercher à réduire le nombre d'occurences communes en changeant de firewall . Je ne te conseille pas d'utiliser ZA pro avaec DSA d'ailleurs, sauf à désinstaller DSA.

 

Jetico 1 marche très bien avec DSA, et il a peu de hooks communs avec celui-ci (tout du moins lorsque DSA est installé après Jetico), mais si tu es content avec Kerio, mieux vaut le garder, et éviter les bricolages tant que tout marche .

 

Au fait, si tu es capable d'écrire en anglais, le support DSA de Privacyware répond très vite (contrairement à d'autres...), il ne faut pas hésiter à les contacter.

 

nicM

Modifié le 20 août 2007 par nicM

[michte]

Salut nicM,

 

Je te remerçie pour tes infos, je vais donc garder Kerio car à part ce petit souçi qui après ta remarque n'en est plus un, c'est vrai que je m'y retrouve quand même avec ce pare-feu.

 

Tu n'est pas en retard pour répondre, et je suis déjà super content que tu m'aide et me conseille .

Donc OK pour "delete settings", pour les hooks je n'y touche pas et je ne bricolerai pas, comme tu le dis "tant que tout marche"...

Pour écrire en Anglais sur le site de DSA il va falloir que je me fasse violence, je te remerçie pour le lien

 

Je ne peux que constater une fois de plus ta gentillesse et ta disponibilité, si un jour je peux te conseiller à mon tour sur une chose crois bien que ce sera avec grand plaisir, mais à part les percussions, le montage d'un Tipi, les amérindiens, je ne connais pas grand chose (cela ne m'empêche pas de m'intérresser à tout).

 

Amicalement,