Nouvelle version 2.06p2

Discussion in 'LnS French Forum' started by Frederic, Dec 15, 2007.

Thread Status:
Not open for further replies.
  1. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour à tous,

    J'ai le plaisir de vous annoncer cette nouvelle version 2.06p2 de Look 'n' Stop.

    Les liens de téléchargement:
    Version française pour Win32
    Version française pour x64
    Version anglaise pour Win32
    Version anglaise pour x64

    Il s'agit d'une mise à jour beta qui contient les changements suivants:

    Ajouts:
    • Gestion de nouvelles règles SPF (Stateful Packet Filtering) qui permettent de vérifier précisément les échanges pour les protocoles simples non connectés (DNS, DHCP, ICMP-Echo…). Ces règles sont créées avec le plugin d'édition de règles brutes, mais peuvent être importées et utilisées sans le plugin.
    • Vista: Look 'n' Stop est maintenant reconnu par le centre de sécurité de Windows
    • Le programme d'installation installe automatiquement les librairies runtime Microsoft VC++ 2005, si besoin.
    • Ajout du menu "Applications…" sur le clic droit d'une règle pour configurer les applications associées à une règle (sert pour les règles créées par un plugin).
    • Gestion du protocole ICMPV6 lors de l'ajout automatique de règle à partir d'une ligne du journal.
    • Ajout d'une option cachée (en base des registres) qui permet de bloquer tout le trafic tant que l'application Look 'n' Stop n'a pas été lancée (Fichier Registre ici).
    Modifications:
    • Lors de l'affichage du contenu d'un paquet (en double-cliquant sur une ligne du journal) le bon plugin qui sait décoder le paquet est appelé pour afficher le paquet. Si aucun plugin ne s'applique c'est la boite de dialogue standard qui est utilisée.
    • Les plugins d'affichage de paquet peuvent contenir les boutons suivant/précédent comme la boite de dialogue standard.
    • Dans la boite d'édition de règle les choix "égale 1" et "différent de 1" pour le champ Fragment Offset ont été enlevé (car ils ne correspondaient à rien)
    • Lorsqu'une application qui était associée à une règle est supprimée, la règle devient inactivée (lorsqu'elle reste contrôlée par une application) en attendant qu'une autre application associée à la règle la réactive, si elle se connecte.
    Corrections:
    • La gestion du protocole ICMPV6 dans la boite d'édition de règle n'était pas correcte.
    • Le lancement du fichier sur certains hyperliens ne marchait plus avec la version 2.06p1
    • Un crash de l'application pouvait apparaitre lors de la saisie d'un ancien numéro de licence 2.05
    • L'importation de règle sur lien web ou en double-cliquant sur un .rie ne marchait plus avec la version 2.06p1

    Pour le nouveau SPF d'autres ressources sont disponibles:

    - le plugin pour créer les règles de type SPF:
    Win32: http://looknstop.soft4ever.com/Beta/2.06p2/Plugins/Win32/PluginEditRawRule.dll
    x64: http://looknstop.soft4ever.com/Beta/2.06p2/Plugins/x64/PluginEditRawRule.dll

    - quelques explications (très) techniques sur la création de règles de type SPF:
    http://looknstop.soft4ever.com/Beta/2.06p2/Plugins/SPF-Info.HTM

    - des règles élémentaires pour les protocoles DNS, DHCP, Ping, NTP (utilisables sans le plugin):
    http://looknstop.soft4ever.com/Beta/2.06p2/SPFRules/SPF-Rules-1.01.rie

    Vous pouvez donner votre feedback ou remonter les problèmes recontrés dans ce fil de discussion.

    Merci,

    Frederic
     
  2. zozot

    zozot Registered Member

    Joined:
    Apr 26, 2006
    Posts:
    50
    Location:
    france
    Yop,

    premier reply :)

    Pas de problème pour le moment après plusieurs jours

    Merci pour cette nouvelle version P2
     
  3. MrBeen

    MrBeen Registered Member

    Joined:
    May 29, 2007
    Posts:
    48
    bonjour

    est il normal que LNS consomme 215Mo de ram avec cette version ? :blink: :blink: :blink:

    edit : et ca grimpe encore, 225Mo
     

    Attached Files:

    Last edited: Dec 21, 2007
  4. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    La consommation mémoire n'est pas censée changer par rapport aux versions précédentes.
    Le contenu du journal consomme de la mémoire, avez-vous regardé de ce coté pour voir s'il y a un grand nombre d'alertes dans le journal ?

    Cordialement,

    Frédéric
     
  5. MrBeen

    MrBeen Registered Member

    Joined:
    May 29, 2007
    Posts:
    48
    bonjour

    a chaque démarrage de l'ordi je dois confirmer l'accès à internet de LNS et "svshot.exe" puisque les "signatures ont changés) o_O bizarre puisque je n'ai jamais eu ce type d'alerte permanentes avec les versions précédentes

    il s'agit d'une installation "propre" avec mes règles de la prec version et le reg proposé ci haut qui empêche toute activité internet tant que LNS n'est pas chargé

    s'il s'agit du reg en question, comment revenir en arrière ? (supprimer la clé dans la BDD) ?
     
  6. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Pour le .reg, oui, il suffit de supprimer la clef BlockAllBeforeInit dans la base des registres, ou de mettre sa valeur à 0.

    Pour le problème des signatures, il y a peut être un problème de sauvegarde des options quand Look 'n' Stop se termine.
    Essayez de quitter/relancer Look 'n' Stop manuellement pour forcer la sauvegarde du paramètrage courant. Est-ce que dans ces conditions (sans avoir redémarré) un changement de signature est détecté ?

    Est-ce que ce sont les 2 seules applications pour lesquelles cette détection de changement de signature arrive ?

    Frédéric
     
  7. MrBeen

    MrBeen Registered Member

    Joined:
    May 29, 2007
    Posts:
    48
    flashgot est également concerné puisqu'à chaque téléchargement je dois valider flashgot

    je vais faire le test de off/on LNS pour voir le pb des signatures

    joyeux noel
     
  8. zozot

    zozot Registered Member

    Joined:
    Apr 26, 2006
    Posts:
    50
    Location:
    france
    Slt


    est ce necessaire d'importer SPF-Rules-1.01.rie au complet ou certaines des rules sont utiles et ceu dans quel cas il le sont ?
     
  9. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Toutes les règles sont normalement utiles, mais certaines peuvent poser problème (c'est la feature en beta test de cette version), et il faudra alors les désactiver.
    Les 2 règles NTP ne sont nécessaires que si vous aviez déjà une règle pour autoriser ce protocole (mise à jour de l'heure via le port UDP 123).

    A noter que lorsque ces règles sont utilisées, il convient alors de désactiver certaines règles du jeu standard, ou plutôt de les mettre sur "Bloquer" (pour voir quand elles sont appelées).
    Par exemple:
    - pour les 2 règles SPF NTP: mettre toute règle qui autorisait déjà le protocole sur bloquer
    - pour les 2 règles SPF Ping, mettre sur bloquer les 2 règles suivantes:
    ICMP : Autorise à pinger (Req)
    ICMP : Autorise à pinger (Rsp)
    - pour les 2 règles SPF DHCP, mettre sur bloquer la règle:
    UDP : BOOTP / DHCP
    - pour les 2 règles DNS, mettre sur bloquer la règle:
    UDP : Autoriser la résolution des noms (DNS)

    Et bien sûr débloquez à nouveau ces règles si vous désactivez ensuite certaines règles SPF.

    Rappel: l'option SPF Actif doit aussi être cochée dans les options avancées pour que ça marche.

    Cordialement,

    Frédéric
     
  10. zozot

    zozot Registered Member

    Joined:
    Apr 26, 2006
    Posts:
    50
    Location:
    france
    ok , merci pour les specifications

    est il possible d'avoir une édite de la rule Climenole v3.01 avec le SPF attache dans un reply ou dans nouveau post svp
     
    Last edited: Jan 9, 2008
  11. MrBeen

    MrBeen Registered Member

    Joined:
    May 29, 2007
    Posts:
    48
    bonjour

    il me semble qu'il y a un pb de surconsommation mémoire avec cette version

    là encore j'avais LNS qui occupait 600Mo (six cents mégas) de mémoire

    le journal qui est paramétré sur 500 entrés seulement signale l'occupation d'utorrent dans lequel j'avais 3 téléchargements en cours

    rien d'extraordinaire puisque j'utilisais utorrent avec la 2.05 déjà sans jamais avoir ce type de gourmandise
     
  12. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Etes-vous passé directement de la version 2.05 à la version 2.06p2, sans utiliser la 2.06 ?
    J'aurais souhaité savoir si c'était spécifique à la 2.06p2 ou si cela existe aussi avec la 2.06.
    Depuis combien de temps le PC était allumé et que faisait-il exactement ?
    Quel était le N° d'alerte du journal (pour voir si c'est quand même lié aux alertes) ?
    Autre point: dans le filtrage logiciel, avez-vous des alertes "!" ou "!!" pour des applications autorisées, idem pour des applications bloquées qui tenteraient de se connecter en permanence.
    Comme Look 'n' Stop ne consomme pas de mémoire par lui même, et n'a pas non plus d'activité par lui même, c'est forcément lié aux alertes qui peuvent arriver.

    Merci,

    Frédéric
     
  13. MrBeen

    MrBeen Registered Member

    Joined:
    May 29, 2007
    Posts:
    48
    bonjour

    dans le passé j'utilisais la 2.05 puis lors de la sortie de la 2.06 j'ai désinstallé la 2.05 afin d'avoir une installation clean

    depuis j'ai réinstallé le PC et installé la 2.06 directement
    le mois dernier j'ai désinstallé la 2.06 puis installé la 2.06p2 en reprenant mes règles de la 2.06 qui fonctionnait bien

    je n'ai pas les numéros d'erreur puisque je ne génère pas de fichier journal, je viens de l'activer et au besoin je le fournirais

    ci joint mon gestionnaire de taches, remarquez l'occupation processeur (90%) et la quantité mémoire occupée par LNS après 30mn d'utilisation

    edit : je viens d'ajouter le log sur 1mn environ
     

    Attached Files:

  14. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Ce qui ne va pas, c'est que les règles du filtrage internet qui autorisent les paquets ont l'attribut journal (!) sélectionné, donc pratiquement tout est loggé, ce qui génère plus de 100 lignes par seconde dans le journal, d'où la charge CPU, et probablement l'utilisation mémoire (même si en mettant une limite c'est censé bien tout libérer).
    Normalement seules les règles qui bloquent doivent être configurées avec l'attribut journal, pour voir les paquets qui peuvent être des vraies alertes/attaques, mais pas les paquets autorisés.

    Frédéric
     
  15. MrBeen

    MrBeen Registered Member

    Joined:
    May 29, 2007
    Posts:
    48
    j'ai modifié les entrés journal pour utorrent puis quitté LNS afin qu'il prend en charge cette nouvelle option, redémarrage mais il semble que les autorisation apparaissent tjs

    edit : je ne comprends pas une chose, l'option journal n'était pas activé avant et pourtant j'avais l'occupation mémoire et cpu
    qq chose m'echappe
     
    Last edited: Jan 9, 2008
  16. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    C'est dans le filtrage internet, pour chaque règle l'icone de log/journal: le "!" ne doit être sélectionné que pour les règles qui bloquent: c'est à dire celles qui ont l'icone du sens interdit.
    Il suffit de cliquer sur le "!" pour l'enlever.

    Idem dans le filtrage logiciel: en général le "!" n'est pas sélectionnée (même pour les applications bloquées), on le sélectionne juste quand on a besoin de vérifier ce que fait une application.

    L'option "Fichier journal" permet juste, en plus de la fenêtre journal, de créer un fichier .log qui contient la même chose qu'à l'écran.

    Frédéric
     
  17. MrBeen

    MrBeen Registered Member

    Joined:
    May 29, 2007
    Posts:
    48
    lol

    dans filtrage internet toutes les règles avaient le "!" d'où l'affolement
    j'ai laissé le "!" uniquement pour les règles ayant un "sens interdit" et du coup le journal s'est drôlement calmé

    je verrais a l'usage l'occupation RAM/CPU

    merci
     
  18. Bella Furia

    Bella Furia Registered Member

    Joined:
    May 30, 2006
    Posts:
    53
    Bonjour à tous

    et bonne année 2008 à tous ..et à Look'n'Stop aussi bien sûr !

    Juste une question : je suis toujours sous W98 SE,

    cette mise à jour est-elle :
    > compatible ?
    > intéressante ?
    > obligatoire ?

    Merci

    BF
     
  19. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Cette version est normalement compatible avec Win98, mais sans doute beaucoup moins testée dans cet environnement qu'avec des versions plus récentes de Windows.
    De toute façon, les drivers sont identiques à la version 2.06, aucune évolution de ce coté, et en conséquence les nouvelles fonctions (les règles SPF en particulier) ne sont donc pas disponibles sous Win98/Me.

    Bref cette version n'apporte pas grand chose pour Win98/Me, donc pas très intéressant.
    Si vous étiez déjà passé à la 2.06p1, alors oui, pourquoi pas passer à la 2.06p2 (qui corrige quelques bugs introduits dans la 2.06p1), mais si vous êtes en 2.06 standard et que vous n'avez pas de problème particulier, il n'est pas nécessaire de mettre à jour.

    A noter qu'elle n'est plus compatible Win95, les librairies VC2005 SP1 ne pouvant s'installer sur cette version de Windows.

    Cordialement,

    Frédéric
     
  20. Eilkh

    Eilkh Registered Member

    Joined:
    Dec 23, 2007
    Posts:
    23
    Êtes-vous en train de vous penchez sur une prochaine version de LnS ?
    Il serait intéressant d'ajouter quelques fonctionnalités dont nous pourrions vous faire la proposition et dont vous jugeriez la pertinence, non ?
    ;)
     
  21. soso93

    soso93 Registered Member

    Joined:
    Feb 16, 2008
    Posts:
    3
    Bonjour

    J ai toujours utilisé look'n'stop sans probleme sous xp mais depuis je suis sur vista 64 bits fonctionne plus.

    Ecran bleue au bout de 5 min du firewall me mais erreur ndis.sys ce qui est ma carte reseaux.

    Mais je ne trouve pas comment résoudre se probleme je mais en joint mon fichier DMP si quelqu un trouve une solution je le remercie d'avance.
     

    Attached Files:

  22. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Un autre driver est en cause dans le crash: nm3.sys
    Pourriez-vous regarder dans C:\Windows\System32\drivers ce qu'est ce driver et vérifier qu'il est à jour.
    ndis.sys est Ok.

    Frédéric
     
  23. soso93

    soso93 Registered Member

    Joined:
    Feb 16, 2008
    Posts:
    3
    Bonjour

    Merci frederic de ton aide bon le nm3.sys
    c etais network monitoring c etais programme pour analysé le trafic reseaux
    J ai viré ca
    Donc apres reboot look'n'stop a marcher et 15 mn apres hop encore ecran bleu probleme NETIO.SYS

    Bon vais pas t embeter avec mais probleme je vais essayer de decrypter les dump.

    Merci encore
     
  24. soso93

    soso93 Registered Member

    Joined:
    Feb 16, 2008
    Posts:
    3
    update: j ai pris windbg pour lire les dmp mis les symboles tous et tous mais decrypte pas ggrrr donc peut etre abusé mais si on peut me dire ou se situe le probleme dans ce bump Merci encore
     

    Attached Files:

  25. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Voilà la pile d'appel:
    Code:
    fffff980`00c06968 fffff800`0284dff3 nt!KeBugCheckEx
    fffff980`00c06970 fffff800`0284c838 nt!KiBugCheckDispatch+0x73
    fffff980`00c06ab0 fffff980`006b1528 nt!KiDoubleFaultAbort+0xb8
    fffff980`1c320fd0 fffff980`09b58f16 NETIO!KfdClassify+0x68
    fffff980`1c321180 fffff980`09b36885 tcpip! ?? ::FNODOBFM::`string'+0x8ca0
    fffff980`1c3213d0 fffff980`09b3c901 tcpip!ProcessALEForTransportPacket+0x2f5
    fffff980`1c3214f0 fffff980`09b3cec3 tcpip!ProcessAleForNonTcpIn+0x161
    fffff980`1c3215f0 fffff980`09b3a94a tcpip!WfpProcessInTransportStackIndication+0x383
    fffff980`1c321970 fffff980`09b38381 tcpip!InetInspectReceiveDatagram+0x18a
    fffff980`1c321a20 fffff980`09b38cff tcpip!UdpBeginMessageIndication+0x61
    fffff980`1c321b20 fffff980`09b37617 tcpip!UdpDeliverDatagrams+0xcf
    fffff980`1c321c60 fffff980`09b3459e tcpip!UdpReceiveDatagrams+0x1b7
    fffff980`1c321d00 fffff980`09b3c2a5 tcpip!IppDeliverListToProtocol+0x4e
    fffff980`1c321dc0 fffff980`09b3480e tcpip!IppProcessDeliverList+0x45
    fffff980`1c321e20 fffff980`09b317df tcpip!IppReceiveHeaderBatch+0x1be
    fffff980`1c321eb0 00000000`00000000 tcpip!IpFlcReceivePackets+0x4c1
    Il semble que ce soit NetIO cette fois.

    Avec WinDbg, il suffit de faire !symfix pour que ça charge les symboles correspondant au crash. Ensuite .reload, et k ou !analyze -v pour avoir le détail.

    Frédéric
     
Thread Status:
Not open for further replies.