IDS/IPS ------------------------------------------------------------------------------------ Content Content Offset 検索開始スタート位置、バイト単位 Depth 検索開始位置からパターンマッチを行う最大の深さをセットする、バイト単位 Negation 否定 Search URL part of HTTP request only HTTP要求のURL部分のみを探索 No case sensitive search 大文字と小文字を区別せずに検索 Use regular expression (turns on wildcards "*" and "?") 正規表現を使用してください。 (ワイルドカード "*"と "?"をつけます) ? 1文字(1バイト)に一致 * 複数文字列に一致 ------------------------------------------------------------------------------------ ICMP Code コード Relation = != > < Size (number) ------------------------------------------------------------------------------------ ICMP Echo ID 識別子 Relation = != > < Size (number) ------------------------------------------------------------------------------------ ICMP Echo Sequence 順序番号 Relation = != > < Size (number) ------------------------------------------------------------------------------------ ICMP Type ICMPタイプ番号 Relation = != > < Size (number) ------------------------------------------------------------------------------------
6 :03/12/24
------------------------------------------------------------------------------------ IP Fragment bits (FL) More fragments MF (1 - 後続パケット有り (MF) Don'tfragments DF (1 - フラグメント化しない) (DF)フラグメント化しない(DF)が設定された場合、 より小さなパケット長のネットワークを通過する際には、データグラムが廃棄される。 Reserved bit Exact selection 正確な選択 Any of specified bits must be set 指定されたビットのどれかが設定されてる All specified bits must not be set すべての指定されたビットが設定されてない All specified bits must be set すべての指定されたビットが設定されてる ------------------------------------------------------------------------------------ IP ID IPフラグメント分割・復元用に使用される識別子。同じフラグメントは同じ値、違うフラグメントでは違う数字になる。 Relation = != > < Size (number) ------------------------------------------------------------------------------------ IP Options (OPT) Record route 経路記録 End of list オプションリストの終了(オプションリスト並びの終了を意味する) No operation オペレーション無し(オプションリスト並びを4バイト境界に揃えるために使用) Time stamp タイムスタンプ情報 Security option セキュリティ関連情報 2バイト:セキュリティレベル 2バイト:セキュリティ区分 2バイト:制御マーク 3バイト:伝送制御コード Loose source route ルーティングアドレスリストの次のアドレスへ到達の際に、いくつかの中間ゲートウェイを通ってもよい。 Strict source route ルーティングアドレスリストの次のアドレスへ到達の際に、直接送信されなければならない。 Stream id ストリームID ------------------------------------------------------------------------------------
7 :03/12/24
------------------------------------------------------------------------------------ IP Protocol (PROT) Relation = != > < Size (number) ------------------------------------------------------------------------------------ IP Time to live (TTL) IPパケットが生存しても良い時間(秒)を意味するが、実際は、通過可能なルータの残り数を表す。 IPデータグラムがルータを通過するたびに、1ずつ減らされ、0になった時点でルータは、このIPデータグラムを中継せずに破棄する。 Relation = != > < Size (number) ------------------------------------------------------------------------------------ IP Type of service (サービスタイプTOS ビット0〜2:優先度 ビット3〜6:TOS(Type Of Service)) Relation = != > < Size (number) ------------------------------------------------------------------------------------ Same IP Address ------------------------------------------------------------------------------------ Size パケットペイロードサイズ Relation = != > < Size (number) ------------------------------------------------------------------------------------ TCP Acknowledgement number (応答確認番号) Relation = != > < Size (number)
8 :03/12/24
------------------------------------------------------------------------------------ TCP Flags (Control Flag6)(Reserved2/6) Fin 終了フラグ Syn シンクロナイズフラグ Rst リセットフラグ Psh ュフラグ Ack 応答確認フラグ Urgent 緊急フラグ Reserved 1 Reserved 2 Exact selection 正確な選択 Any of specified bits must be set 指定されたビットのどれかが設定されてる All specified bits must not be set すべての指定されたビットが設定されてない All specified bits must be set すべての指定されたビットが設定されてる ------------------------------------------------------------------------------------ TCP Sequence number (シーケンス番号) Relation = != > < Size (number) ------------------------------------------------------------------------------------
TPFに出来てSSMが出来ないこと。 ユーザ毎の管理。アプリとルールのグループ化。プロセスの親子関係の動作だけでなく、適用されるルールが変化の選択。 ファイルとフォルダの保護、読み書きするファイルとフォルダの設定。 OLE and COM interfaces COM Init - ActiveXおよび他のCOMオブジェクト(オートメーションなど)を使用します。 Create In-Proc Server - COMオブジェクトはプロセス境界(例えばActiveX)でのみ作成することができます、(したがってプロセスセキュリティはそれらに基づいて適用されます。) Create local server - 個別のCOM実行可能形式はアプリケーションからスタートさせるかアクセスすることができます。 Create remote servers - the same as local servers but in addition on remote computers Services Query service status - サービスの状態を尋ねる権利 Start service - サービスを始める権利 Stop service - サービスを止める権利 Remove service - サービスを削除する権利 Open service - ハンドルをサービスに開ける権利 Install service - サービスをインストールする権利。一部ののウィルスは、そのときトロイのように作用する自分のサービスをインストールします。 Control service- 例えばサービスを再開する権利
Windows security周りが、ヤケに贅沢な作りだな。 上手く使えばアンチウィルスは要らないかも。
80 :04/07/16
IDSも改良されてる 正規表現やbyte_testが使えるようになってる
81 :04/07/18
日本語版はいつ出ることになった?
82 :04/07/18
とりあえず、マニュアルの日本語訳と日本語ヘルプだけでも出して欲しい。
83 :04/07/30
New feature - Track'n Reverse Mode Track'n Reverse Mode is a BETA feature available from TF6 builds 6.0.100+ What you can do with it? - you can see what a particular application was doing during the time it was in the Track'n Reverse Mode - you can revert back all file and registry changes, that the application did during the time it was in the Track'n Reverse Mode What you have to do to enable it: - create value "EnableTracking" of type DWORD and set it to 1 under key "HKLM\Software\Tiny Software\Tiny Firewall" - copy attached tralogan.exe into TF6 directory (usually "Program Files\Tiny Firewall Pro") - run attached script add_tracking_mode_rules.js What you have to do before using it also for "Windows Installer" installations (*.msi files or packed msi into setup.exe, both using msiexec.exe process): - set all guards to ON in Windows Security->Exceptions for msiexec.exe. It must be set for this application for both system and normal account => you should normally see there symbol +$, which is ok. If you deleted already exceptions for msiexec.exe, then you can enable all guards for "Tracking" and "$Tracking" (the latter one is a system group) groups instead - delete msiexec.exe label from your application repository
84 :04/07/30
Using Track'n Reverse Mode (Tracking mode - TM): - you can put to TM only an application, which is not yet in the application repository (you do it in the Unknown Application! dialog only) - to manage your TM run "Tracklog Analyzer" from the TF taskbar icon menu - you can have multiple TM groups running at the same time - You can have multiple applications in a single TM group (e.g setup.exe or msiexec.exe plus then the installed application) - Using Tracklog Analyzer you can remove one of the applications from the TM group while the others are still in active TM (it is especially usefull to remove msiexec.exe from the particular TM group right after the installation => if you do not do that, then there will be a mess if you run another installion in TM which uses msiexec.exe as well) Viewing results Using TrackLog yzer: - Select the particular TM group under "Active Tracking" and press "End Collecting Activity" button. The group then moves into "Completed Tracking". Note: If you select just an application, only the particular application will be removed from the TM. - Select the TM group under "Completed Tracking" and press "View Report" button - in the right pane you should now see what the application(s) has done. Under Files/Registry tabs, you can click on to "Revert Changes" to revert back all file and registry changes, that the application did during the time it was in the TM. Allways both files and registry changes are reverted back together. - You can delete the TM group with the "Delete Tracking Group" button. Before that, you can put an application into Trusted or other groups by the "Add Applications to Application Group" button.