ZHPDiag – Module O87 – FirewallRules (FAEL)

Les règles de pare-feu bloquent ou autorisent un trafic spécifique passant d’un côté du routeur à l’autre. Les règles entrantes (WAN to LAN) restreignent l’accès aux ressources privées, ce qui permet aux utilisateurs externes spécifiques d’accéder à certaines ressources.

Les règles sortantes (LAN à WAN) déterminent les ressources externes auxquelles les utilisateurs locaux peuvent avoir accès.

Lié au module FAEL (Firewall Active Exception List). Il permet de lister certaines applications autorisée et actives du pare-feu Windows.  L’autorisation de connexions des programmes et des ports se fait via la méthode « inbound rules » (Autorisée) ou « outbound rules » (Refusée).  La recherche s’effectue au niveau de la clé de registre « FirewallRules« , à savoir :

 [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

Mode de direction : In (Connexion entrante), Out (Connexion sortante),
Type de Profile : Domain (Domaine), Private (Privée), Public (Publique), None (Aucun),
Mode d’activation : FALSE (Désactivé), TRUE (Activé)
Protocol de connexion : P6, P17,…

Aperçu ZHPDiag

—\\ Firewall Active Exception List (FirewallRules) (O87)
O87 – FAEL: « {1DB0F4A2-8EEC-4FEE-BD6B-6A29787F3EBA} » | In – Public – TRUE | .(.Opera Software – Opera Internet Browser.) — C:\Program Files\Opera\opera.exe
O87 – FAEL: « TCP Query User{0CFC6AB7-D366-45BD-97AD-AFBC12461D3C}C:\program files\opera\opera.exe » | In – Domain – FALSE| .(.Opera Software – Opera Internet Browser.) — C:\program files\opera\opera.exe
O87 – FAEL: « UDP Query User{A2DE116B-A679-4BF4-826A-39C44996A72A}C:\program files\opera\opera.exe » | Out – Private – TRUE | .(.Opera Software – Opera Internet Browser.) — C:\program files\opera\opera.exe
O87 – FAEL: « {3180AB9F-4FB9-467B-84FA-D0D2957D8983} » | In – Public – FALSE | .(.adsl TV / FM – Pas de description.) — C:\Program Files\adslTV\adsltv.exe

—\\ Firewall Active Exception List (FirewallRules) (O87)
O87 – FAEL: « {1DB0F4A2-8EEC-4FEE-BD6B-6A29787F3EBA} » | In – Public – P6 – TRUE | .(.Opera Software – Opera Internet Browser.) — C:\Program Files\Opera\opera.exe

 

Exemple de détection

—\\ Firewall Active Exception List (FirewallRules) (O87)
O87 – FAEL: « {2E48CF6F-0755-4128-A24D-533CA7D618A8} » | In – Public – P6 – TRUE | .(.Shenzhen QVOD Technology Co.,Ltd – QvodInstall Module.) — C:\Users\Coolman\Downloads\QvodSetup5.exe
O87 – FAEL: « {5F949ECC-7DD4-4AA6-932F-1965B0630FE4} » | In – Public – P17 – TRUE | .(.Shenzhen QVOD Technology Co.,Ltd – QvodInstall Module.) — C:\Users\Coolman\Downloads\QvodSetup5.exe
O87 – FAEL: « TCP Query User{68CEC2DD-642F-41FC-B7D3-21BECA6CA428}D:\qvodplayer\qvodplayer.exe » | In – Public – P6 – TRUE | .(.Shenzhen QVOD Technology Co.,Ltd – ??.) — D:\qvodplayer\qvodplayer.exe
O87 – FAEL: « UDP Query User{095F3D15-B5D9-4AC7-97A5-DF76613E0BC4}D:\qvodplayer\qvodplayer.exe » | In – Public – P17 – TRUE | .(.Shenzhen QVOD Technology Co.,Ltd – ??.) — D:\qvodplayer\qvodplayer.exe

Action ZHPFix

O87 – FAEL: « {ValueCLSID}’ | … | (…) — {FileName}

{Key} : [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
{ValueCLSID} : Valeur CLSID
{FileName} : Nom du fichier

– L’outil supprime la valeur CLSID {ValueCLSID}
– L’outil supprime le fichier {FileName}

Rapport ZHPFix (Exemple)

O87 – FAEL: « TCP Query User{C609E4FF-807A-4516-83C9-85D43A8DD9E1}C:\Program Files\Live-Player\Live-Player.exe » | In – Public – P6 – TRUE | .(…) — C:\Program Files\Live-Player\Live-Player.exe

Rapport de ZHPFix v1.12.3244 par Nicolas Coolman, Update du 27/01/2011

========== Valeur(s) du Registre ==========
TCP Query User{C609E4FF-807A-4516-83C9-85D43A8DD9E1}C:\Program Files\Live-Player\Live-Player.exe => Valeur supprimée avec succès

========== Fichier(s) ==========
c:\program files\live-player\live-player.exe => Supprimé et mis en quarantaine

========== Récapitulatif ==========
1 : Valeur(s) du Registre
1 : Fichier(s)