5/5 - (1 vote)

ZHPDiag – Module O87 – FirewallRules (FAEL)

Les règles de pare-feu bloquent ou autorisent un trafic spécifique passant d’un côté du routeur à l’autre. Les règles entrantes (WAN to LAN) restreignent l’accès aux ressources privées, ce qui permet aux utilisateurs externes spécifiques d’accéder à certaines ressources.

Les règles sortantes (LAN à WAN) déterminent les ressources externes auxquelles les utilisateurs locaux peuvent avoir accès.

Lié au module FAEL (Firewall Active Exception List). Il permet de lister certaines applications autorisée et actives du pare-feu Windows.

L’autorisation de connexions des programmes et des ports se fait via la méthode “inbound rules” (Autorisée) ou “outbound rules” (Refusée). La recherche s’effectue au niveau de la clé de registre “FirewallRules“, à savoir :

 [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

Mode de direction : In (Connexion entrante), Out (Connexion sortante),
Type de Profile : Domain (Domaine), Private (Privée), Public (Publique), None (Aucun),
Mode d’activation : FALSE (Désactivé), TRUE (Activé)
Protocol de connexion : P6, P17,…

Aperçu ZHPDiag

—\\ Firewall Active Exception List (FirewallRules) (O87)
O87 – FAEL: “{1DB0F4A2-8EEC-4FEE-BD6B-6A29787F3EBA}” | In – Public – TRUE | .(.Opera Software – Opera Internet Browser.) — C:\Program Files\Opera\opera.exe
O87 – FAEL: “TCP Query User{0CFC6AB7-D366-45BD-97AD-AFBC12461D3C}C:\program files\opera\opera.exe” | In – Domain – FALSE| .(.Opera Software – Opera Internet Browser.) — C:\program files\opera\opera.exe
O87 – FAEL: “UDP Query User{A2DE116B-A679-4BF4-826A-39C44996A72A}C:\program files\opera\opera.exe” | Out – Private – TRUE | .(.Opera Software – Opera Internet Browser.) — C:\program files\opera\opera.exe
O87 – FAEL: “{3180AB9F-4FB9-467B-84FA-D0D2957D8983}” | In – Public – FALSE | .(.adsl TV / FM – Pas de description.) — C:\Program Files\adslTV\adsltv.exe

—\\ Firewall Active Exception List (FirewallRules) (O87)
O87 – FAEL: “{1DB0F4A2-8EEC-4FEE-BD6B-6A29787F3EBA}” | In – Public – P6 – TRUE | .(.Opera Software – Opera Internet Browser.) — C:\Program Files\Opera\opera.exe

Exemple de détection

—\\ Firewall Active Exception List (FirewallRules) (O87)
O87 – FAEL: “{2E48CF6F-0755-4128-A24D-533CA7D618A8}” | In – Public – P6 – TRUE | .(.Shenzhen QVOD Technology Co.,Ltd – QvodInstall Module.) — C:\Users\Coolman\Downloads\QvodSetup5.exe
O87 – FAEL: “{5F949ECC-7DD4-4AA6-932F-1965B0630FE4}” | In – Public – P17 – TRUE | .(.Shenzhen QVOD Technology Co.,Ltd – QvodInstall Module.) — C:\Users\Coolman\Downloads\QvodSetup5.exe
O87 – FAEL: “TCP Query User{68CEC2DD-642F-41FC-B7D3-21BECA6CA428}D:\qvodplayer\qvodplayer.exe” | In – Public – P6 – TRUE | .(.Shenzhen QVOD Technology Co.,Ltd – ??.) — D:\qvodplayer\qvodplayer.exe
O87 – FAEL: “UDP Query User{095F3D15-B5D9-4AC7-97A5-DF76613E0BC4}D:\qvodplayer\qvodplayer.exe” | In – Public – P17 – TRUE | .(.Shenzhen QVOD Technology Co.,Ltd – ??.) — D:\qvodplayer\qvodplayer.exe

Action ZHPFix

O87 – FAEL: “{ValueCLSID}’ | … | (…) — {FileName}

{Key} : [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
{ValueCLSID} : Valeur CLSID
{FileName} : Nom du fichier

– L’outil supprime la valeur CLSID {ValueCLSID}
– L’outil supprime le fichier {FileName}

Rapport ZHPFix (Exemple)

O87 – FAEL: “TCP Query User{C609E4FF-807A-4516-83C9-85D43A8DD9E1}C:\Program Files\Live-Player\Live-Player.exe” | In – Public – P6 – TRUE | .(…) — C:\Program Files\Live-Player\Live-Player.exe

Rapport de ZHPFix v1.12.3244 par Nicolas Coolman, Update du 27/01/2011

========== Valeur(s) du Registre ==========
TCP Query User{C609E4FF-807A-4516-83C9-85D43A8DD9E1}C:\Program Files\Live-Player\Live-Player.exe => Valeur supprimée avec succès

========== Fichier(s) ==========
c:\program files\live-player\live-player.exe => Supprimé et mis en quarantaine

========== Récapitulatif ==========
1 : Valeur(s) du Registre
1 : Fichier(s)

A propos de l'auteur

Retour en haut