LnS crash durant la navigation?

Discussion in 'LnS French Forum' started by diLouna, Sep 25, 2007.

Thread Status:
Not open for further replies.
  1. diLouna

    diLouna Registered Member

    Joined:
    Sep 22, 2007
    Posts:
    7
    Bonjour,

    Je dès fois LnS crash durant la navigation, "looknstop.exe doit se ferme, etc..."?

    Cela peut être du aux règles ou antivirus type Nod or KAV qui filtre aussi le port 80 ?

    De plus j'ai des demande de sortie en "?" en nom d'application il n'y a pas de nom ni chemin ? c quoi ?
    J'ai aussi des messages avec fwapi "44298" ou autre numéro qui apparaissent.

    Merci
     
    Last edited: Sep 25, 2007
  2. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Sans doute le même problème que discuté ici:
    https://www.wilderssecurity.com/showthread.php?t=184109

    Lorsque qu'il a trop d'alertes (des ! et !!) dans le filtrage logiciel sur des applications qui se connectent, cela génère des engorgements entre le driver et l'application et ce problème peut survenir

    Donc, vérifiez les ! et !! dans le filtrage logiciel, et si la piste est confirmée enlevez-en quelques-uns. Normalement seuls les blocages sont intéressants à surveiller, ou de temps en temps de manière ponctuelle une application autorisée à se connecter.

    Cordialement,

    Frédéric
     
  3. diLouna

    diLouna Registered Member

    Joined:
    Sep 22, 2007
    Posts:
    7
    Bonjour,

    Merci pour votre réponse!

    En fait je souhaite tracer les applications qui envoie les données....

    Concernant les applications en "?" qui demande une autorisation de connection?

    Cordialement,
    Louna
     
  4. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    De manière constante ? et plusieurs applications à la fois ?
    Si oui, au delà d'un certain seuil sur le nombre d'alertes, le problème peut se produire.
    Si c'est juste le contenu des données qui vous intéressent et que vous connaissez le port à écouter, vous pouvez plutôt utiliser une règle de filtrage internet.
    Si c'est juste de connaitre les tentatives de connexion, sans avoir besoin de connaitre le port et l'adresse IP, essayez de mettre juste le ! et pas le !!, ça limitera un peu le nombre d'alertes.
    C'est le même problème, ça se mélange les pinceaux quand il y a trop d'alertes à traiter (parfois une fausse application "?" est détectée, parfois ça affiche la boite fwapi avec le chiffre, et parfois ça peut planter...).

    J'espère trouver la vraie cause du problème et apporter une correction dans la prochaine mise à jour.

    Frédéric
     
  5. diLouna

    diLouna Registered Member

    Joined:
    Sep 22, 2007
    Posts:
    7
    Oui, manière constante avec plusieurs applications. Pour moi c'est très important, c'est une fonction vitale.

    La plupart des intrusions sont du à un mauvais filtrage logiciel avec un mauvais suivi.

    Dommage que la "La liste des logiciels actif", ne montre pas que les logiciels qui utilisent Internet en temp réel.
    Le fait qu'il y a plusieurs processus dans la liste alors qu'il ne passe rien, quel intérêt ?

    Le point noir de LnS est le filtrage logiciel.... :(
     
  6. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Comment procédez-vous exactement ? Une fois qu'une application est autorisée sur le port qu'elle doit utiliser (http/https pour un browser web, pop/smtp pour un client email...) pourquoi vouloir continuer à afficher les connexions pour ces applications ? Qu'est-ce que cela apporte ?
    Pas si sûr. La question est de savoir si vous faites confiance ou non à un logiciel qui veut se connecter. Si vous avez le moindre doute sur une application pourquoi l'autoriser sur un port et pas sur un autre ? Qu'est-ce qui vous garantit qu'elle ne va pas utiliser le seul port que vous aurez autorisé pour tenter ses méfaits ?
    C'est pour cela que la philo initiale et le mode par défaut est juste d'autoriser ou non une application globalement. Si une application est là pour vous nuire, pas la peine de lui donner le moindre port.
    Connaitre directement les applications en mesure d'envoyer ou de recevoir des paquets à tout moment. Les applications affichées ont ouvert une socket, donc en mesure d'envoyer ou de recevoir des paquets. Si une application envoyait un petit paquet toutes les minutes par exemple, elle passerait inaperçue si on ne l'affichait qu'au moment où elle envoit ce paquet.
    D'autres trouvent qu'il est simple (car il ne pose pas plein de questions à chaque nouveau port utilisé par une application déjà autorisée) et malgré tout configurable pour ceux qui veulent préciser les ports et IP.

    Frederic
     
  7. diLouna

    diLouna Registered Member

    Joined:
    Sep 22, 2007
    Posts:
    7
    Oui LnS est discret, c bien! ;)
    Je pense que le filtrage des applications n'est pas assez détaillé.

    Par défaut, j'aurais mis toute application (Exe ou DLL) autorisé à sortir, à être loggée, par garder un oeil sur ce qu'elle fait.

    De toute facon maintenant avec les routeurs ou Box protège déja pas mal... donc.. pour moi le firewall logiciel c'est plus pour controler les applications ou DLLs qui sortent.

    Vous savez on peut pas connaitre tous les processus (DLLs ou executable) de chaque application, rien qu'en lancant OutLook il y a au moins 5 DLLs qui veulent se connectés, franchement on fait plus ca après... (recherche de processus).

    Vous pouvez télécharger un soft X, vous l'autorisez à se connecter sur update.soft.com pour les mises à jour par example donc cela semble légitime...

    Non, en fait je voudrais avoir un tracage (plus complet) sur les applications qui sortent (Quelle application ou DLL ? , destination ? (IP), quel port?, à quelle heure?).
    Peut être qu'il faudrait ou supposé ou ajouter un 2ème onglets dans "Journaux", donc 1 pour les applications.

    Cas :

    Le PC est en stand-by il fait rien ou l'écran de veille s'active parce que vous faites autre choses... bon vous voyez votre routeur ou modem qui envoie des données vous réveillez votre PC plus rien se passe tout semble normal...

    Comment faites-vous pour savoir quelle application était connectée ou à envoyé des données ?
    Cela peut paraitre extreme, mais j'aime bien gardé un oeil sur les applications qui sortent...

    Merci.
     
  8. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Ok, si c'est juste pour surveiller le traffic des applications déjà autorisées, je comprends que ce soit effectivement la seule manière d'y parvenir.
    Normalement (comme j'expliquais) ces applications sont déjà considérées comme sûres, donc c'est vrai qu'il n'est pas trop prévu de les surveiller plus finement (surtout si vous avez déjà spécifié les ports qu'elles ont le droit d'utiliser).

    J'ai tenté de reproduire le problème, car il y a quand même bien un truc à corriger, mais je n'y suis pas parvenu.
    Quel genre de traffic avez-vous quand vous constatez le problème ?
    Y a t'il en même temps d'autres applications sur le PC qui pourraient en plus le ralentir ?

    Merci,

    Frédéric
     
  9. diLouna

    diLouna Registered Member

    Joined:
    Sep 22, 2007
    Posts:
    7
    Essayez d'installer KAV 7.0.125 trial (ou la dernière version), puisque KAV utilise un proxy pour filtrer le traffic HTTP, donc il vas générer du traffic dans les journaux. Après dans LnS, activer l'option de !! sur AVP.exe

    J'avais activé Anti Flood aussi durant la période.

    En tout cas depuis que j'ai désactivé l'option !! sur AVP.exe j'ai plus de message ou crash.

    Suggestion :

    Est-il possible de mettre une option qui après x minutes d'inactivé ou écran de veille est activé, bloquer tout trafic?

    Merci.
     
  10. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Ok, merci pour l'info, je vais essayer cela.

    La fonction Anti-Flood (pour ne pas générer trop d'alertes dans le journal), ne s'applique qu'au filtrage internet.
    Ce serait éventuellement possible, mais bon je pense qu'il y a quand même des applications qui ont le droit de se connecter et de rester connecté pendant l'écran de veille, donc pas sûr que ce soit quelque chose de très utilisable pour l'ensemble des utilisateurs.

    Frédéric
     
  11. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    J'ai installé KAV 7.0.125 Trial, ça m'a permis d'augmenter le nombre d'alertes dans le journal (jusqu'à 30 par seconde) mais toujours pas de problème.

    Utilisez-vous bien la version 2.06 de Look 'n' Stop ?
    Est-ce que votre PC est récent/rapide ?

    Merci,

    Frédéric
     
Thread Status:
Not open for further replies.