ZHPDiag – Module O87 – FirewallRules (FAEL)

/ Modules / Par / 3 minutes de lecture
199
5/5 - (1 vote)

ZHPDiag – Module O87 – FirewallRules (FAEL)

Les règles de pare-feu bloquent ou autorisent un trafic spécifique passant d’un côté du routeur à l’autre. Les règles entrantes (WAN to LAN) restreignent l’accès aux ressources privées, ce qui permet aux utilisateurs externes spécifiques d’accéder à certaines ressources.

Les règles sortantes (LAN à WAN) déterminent les ressources externes auxquelles les utilisateurs locaux peuvent avoir accès.

Lié au module FAEL (Firewall Active Exception List). Il permet de lister certaines applications autorisée et actives du pare-feu Windows.

L’autorisation de connexions des programmes et des ports se fait via la méthode « inbound rules » (Autorisée) ou « outbound rules » (Refusée). La recherche s’effectue au niveau de la clé de registre « FirewallRules« , à savoir :

 [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

Mode de direction : In (Connexion entrante), Out (Connexion sortante),
Type de Profile : Domain (Domaine), Private (Privée), Public (Publique), None (Aucun),
Mode d’activation : FALSE (Désactivé), TRUE (Activé)
Protocol de connexion : P6, P17,…

Aperçu ZHPDiag

—\\ Firewall Active Exception List (FirewallRules) (O87)
O87 – FAEL: « {1DB0F4A2-8EEC-4FEE-BD6B-6A29787F3EBA} » | In – Public – TRUE | .(.Opera Software – Opera Internet Browser.) — C:\Program Files\Opera\opera.exe
O87 – FAEL: « TCP Query User{0CFC6AB7-D366-45BD-97AD-AFBC12461D3C}C:\program files\opera\opera.exe » | In – Domain – FALSE| .(.Opera Software – Opera Internet Browser.) — C:\program files\opera\opera.exe
O87 – FAEL: « UDP Query User{A2DE116B-A679-4BF4-826A-39C44996A72A}C:\program files\opera\opera.exe » | Out – Private – TRUE | .(.Opera Software – Opera Internet Browser.) — C:\program files\opera\opera.exe
O87 – FAEL: « {3180AB9F-4FB9-467B-84FA-D0D2957D8983} » | In – Public – FALSE | .(.adsl TV / FM – Pas de description.) — C:\Program Files\adslTV\adsltv.exe

—\\ Firewall Active Exception List (FirewallRules) (O87)
O87 – FAEL: « {1DB0F4A2-8EEC-4FEE-BD6B-6A29787F3EBA} » | In – Public – P6 – TRUE | .(.Opera Software – Opera Internet Browser.) — C:\Program Files\Opera\opera.exe

Exemple de détection

—\\ Firewall Active Exception List (FirewallRules) (O87)
O87 – FAEL: « {2E48CF6F-0755-4128-A24D-533CA7D618A8} » | In – Public – P6 – TRUE | .(.Shenzhen QVOD Technology Co.,Ltd – QvodInstall Module.) — C:\Users\Coolman\Downloads\QvodSetup5.exe
O87 – FAEL: « {5F949ECC-7DD4-4AA6-932F-1965B0630FE4} » | In – Public – P17 – TRUE | .(.Shenzhen QVOD Technology Co.,Ltd – QvodInstall Module.) — C:\Users\Coolman\Downloads\QvodSetup5.exe
O87 – FAEL: « TCP Query User{68CEC2DD-642F-41FC-B7D3-21BECA6CA428}D:\qvodplayer\qvodplayer.exe » | In – Public – P6 – TRUE | .(.Shenzhen QVOD Technology Co.,Ltd – ??.) — D:\qvodplayer\qvodplayer.exe
O87 – FAEL: « UDP Query User{095F3D15-B5D9-4AC7-97A5-DF76613E0BC4}D:\qvodplayer\qvodplayer.exe » | In – Public – P17 – TRUE | .(.Shenzhen QVOD Technology Co.,Ltd – ??.) — D:\qvodplayer\qvodplayer.exe

Action ZHPFix

O87 – FAEL: « {ValueCLSID}’ | … | (…) — {FileName}

{Key} : [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
{ValueCLSID} : Valeur CLSID
{FileName} : Nom du fichier

– L’outil supprime la valeur CLSID {ValueCLSID}
– L’outil supprime le fichier {FileName}

Rapport ZHPFix (Exemple)

O87 – FAEL: « TCP Query User{C609E4FF-807A-4516-83C9-85D43A8DD9E1}C:\Program Files\Live-Player\Live-Player.exe » | In – Public – P6 – TRUE | .(…) — C:\Program Files\Live-Player\Live-Player.exe

Rapport de ZHPFix v1.12.3244 par Nicolas Coolman, Update du 27/01/2011

========== Valeur(s) du Registre ==========
TCP Query User{C609E4FF-807A-4516-83C9-85D43A8DD9E1}C:\Program Files\Live-Player\Live-Player.exe => Valeur supprimée avec succès

========== Fichier(s) ==========
c:\program files\live-player\live-player.exe => Supprimé et mis en quarantaine

========== Récapitulatif ==========
1 : Valeur(s) du Registre
1 : Fichier(s)

Share
Tweet
whatsapp
Share
Pin it

A propos de l'auteur

Nicolas Coolman est un expert en informatique et en sécurité informatique français diplômé en ingénierie logicielle. Il est spécialisé dans l'analyse et la désinfection de logiciels malveillants, notamment les adwares, les ransomwares, les chevaux de Troie et autres types de logiciels indésirables. Nicolas Coolman est également le créateur de plusieurs outils de sécurité informatique, tels que "ZHPCleaner" et "ZHPDiag", qui sont largement utilisés par les utilisateurs pour analyser et nettoyer des logiciels malveillants de leurs systèmes d'exploitation Windows . Nicolas Coolman est très actif dans la communauté de la sécurité informatique et partage régulièrement ses connaissances et ses découvertes sur son site Web et sur les forums dédiés à la sécurité. Son expertise est reconnue par de nombreux utilisateurs et professionnels de l'informatique, et il est considéré comme une référence dans le domaine de la lutte contre les logiciels malveillants.

Publications similaires

Retour en haut