И снова здравствуйте, форумяне!
Подскажите, какие параметры меняет FirebirdSQL Server Classic v2.5 в указанной ветви реестра (subj). Мне это надо для настройки работы программы в зоне сильных ограничений KIS.

hvlad, значит какая-то из библиотек VC долбится в реестр, вызывая подозрения у KIS. Ладно, послежу Process Monitor'ом, о результатах доложу.

hvlad, в общем, ничего особенного. Можно смело запретить процессу доступ на create & edit в этой ветке.



"Frame""Module""Location""Address""Path""0""ntoskrnl.exe""MmUnmapViewInSessionSpace + 0x670""0xfffff80004e814f0""C:\Windows\system32\ntoskrnl.exe""1""ntoskrnl.exe""NtSetInformationThread + 0x116f""0xfffff80004d9985f""C:\Windows\system32\ntoskrnl.exe""2""ntoskrnl.exe""SeQueryInformationToken + 0xe3e""0xfffff80004dce61e""C:\Windows\system32\ntoskrnl.exe""3""ntoskrnl.exe""ObOpenObjectByName + 0x306""0xfffff80004dcf106""C:\Windows\system32\ntoskrnl.exe""4""ntoskrnl.exe""RtlIntegerToChar + 0x568""0xfffff80004d8195c""C:\Windows\system32\ntoskrnl.exe""5""ntoskrnl.exe""RtlIntegerToChar + 0x16aa""0xfffff80004d82a9e""C:\Windows\system32\ntoskrnl.exe""6""ntoskrnl.exe""KeSynchronizeExecution + 0x3a23""0xfffff80004acf693""C:\Windows\system32\ntoskrnl.exe""7""ntdll.dll""NtCreateKey + 0xa""0x7733bd0a""C:\Windows\System32\ntdll.dll""8""kernel32.dll""RegCreateKeyExW + 0x148""0x771dc978""C:\Windows\System32\kernel32.dll""9""kernel32.dll""RegCreateKeyExW + 0x438""0x771dcc68""C:\Windows\System32\kernel32.dll""10""kernel32.dll""GetComputerNameW + 0x213""0x771dc7e3""C:\Windows\System32\kernel32.dll""11""kernel32.dll""RegCreateKeyExW + 0x50""0x771dc880""C:\Windows\System32\kernel32.dll""12""dnsapi.dll""Reg_GetValueEx + 0x1bf""0x7fefc692603""C:\Windows\System32\dnsapi.dll""13""dnsapi.dll""Reg_GetValueEx + 0x474""0x7fefc6928b8""C:\Windows\System32\dnsapi.dll""14""dnsapi.dll""Reg_GetValueEx + 0x4e4""0x7fefc692928""C:\Windows\System32\dnsapi.dll""15""dnsapi.dll""DnsQueryConfig + 0xa4""0x7fefc695dd4""C:\Windows\System32\dnsapi.dll""16""dnsapi.dll""DnsQueryConfigAllocEx + 0x7a""0x7fefc695ee2""C:\Windows\System32\dnsapi.dll""17""mswsock.dll""GetTypeByNameA + 0x56e""0x7fefc83250e""C:\Windows\System32\mswsock.dll""18""mswsock.dll""WSPStartup + 0x72bc""0x7fefc82001c""C:\Windows\System32\mswsock.dll""19""ws2_32.dll""WSALookupServiceNextW + 0x149""0x7fefdf02a59""C:\Windows\System32\ws2_32.dll""20""ws2_32.dll""WSALookupServiceNextW + 0x9b""0x7fefdf029ab""C:\Windows\System32\ws2_32.dll""21""ws2_32.dll""WSALookupServiceNextA + 0x7d""0x7fefdf0a07d""C:\Windows\System32\ws2_32.dll""22""ws2_32.dll""WahCreateNotificationHandle + 0x5d0""0x7fefdf09f90""C:\Windows\System32\ws2_32.dll""23""ws2_32.dll""gethostname + 0xb7""0x7fefdf0ab97""C:\Windows\System32\ws2_32.dll""24""fb_inet_server.exe""fb_inet_server.exe + 0x3297da""0x1403297da""C:\Program Files\Firebird\Firebird_2_5\Classic\bin\fb_inet_server.exe""25""fb_inet_server.exe""fb_inet_server.exe + 0x329b4f""0x140329b4f""C:\Program Files\Firebird\Firebird_2_5\Classic\bin\fb_inet_server.exe""26""fb_inet_server.exe""fb_inet_server.exe + 0x334e95""0x140334e95""C:\Program Files\Firebird\Firebird_2_5\Classic\bin\fb_inet_server.exe""27""fb_inet_server.exe""fb_inet_server.exe + 0x7175a""0x14007175a""C:\Program Files\Firebird\Firebird_2_5\Classic\bin\fb_inet_server.exe""28""msvcr80.dll""endthreadex + 0x47""0x6f8a37d7""C:\Windows\winsxs\amd64_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.6195_none_88e41e092fab0294\msvcr80.dll""29""msvcr80.dll""endthreadex + 0x104""0x6f8a3894""C:\Windows\winsxs\amd64_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.6195_none_88e41e092fab0294\msvcr80.dll""30""kernel32.dll""BaseThreadInitThunk + 0xd""0x771e59bd""C:\Windows\System32\kernel32.dll""31""ntdll.dll""RtlUserThreadStart + 0x21""0x7731a2e1""C:\Windows\System32\ntdll.dll"

hvlad, где дают? ;) Каспер умеет разрешать доступ процессам на чтение/создание/изменение/удаление ключей и значений реестра. И не только на это.

kdv, ФБ хочет RegCreateKey на Tcpip и Tcpip\Parameters и Каспер в своем логе пишет что-то типа "Подозрительное действие запрещено". Понятно, что это действие, также, будет запрещено и самой ОС, так как такой ключ уже существует и режим доступа будет сменен на read.

kdv, туда лезет одна из библиотек VC, которая подгружается процессом fb. Доступ требуется к значениям в упомянутом ключе реестра, таким как DatabasePath (путь до файлов hosts, lmhosts, etc.), Hostname, Domain (собственный доменный суффикс).

Dimitry Sibiryakov, в каком-то смысле, да... Как и все библиотеки WinAPI, скомпилированные средствами VC. Конечно, эта библиотека не конкретно для VC и не содержит стандартных функций Си, но с точки зрения загрузки и связывания функций динамической библиотеки процессом, ничем не отличается от библиотеки msvcr. ;)
И вообще, не придирайся к словам. Какая разница, какая библиотека, загружаемая процессом, лезет в конкретную ветку реестра? Для системы это всё - процесс fb_inet_server.exe

kdvпользовался касперским (в т.ч. мой знакомый) - он хорош для параноиков. А для обычных пользователей слишком болтливДа, у него бывает такое, когда запускаешь неподписанную доверенным издателем программу и эта программа попадает в категорию ограниченных или недоверенных. Тут да - либо терпеть матюки Каспера, либо самому ручками перепрофилировать.

kdvв результате чего быстро надоедает. Если антивирус твой, то можно его поменять на что-нибудь более молчаливое. Если не твой, и там выставлен такой параноидальный режим - увы, придется все ему объяснять руками.Антивирус мой, но я его ни за что на другой не променяю. Мой двадцатилетний опыт наблюдения за работой корпоративных продуктов Kaspersky, McAffee, Norton/Symantec, DrWeb, ESET (я уж не говорю про таких инвалидов, как Avira, Avast и иже с ними), говорит мне, что по надежности, качеству наполнения баз сигнатур, гибкости настроек и охвату контроля потенциальных источников проникновения вредоносного кода, Касперу равных нет. К сожалению, ничего не могу сказать про такой продукт как TrendMicro, так как не удалось "пообщаться" с ним достаточно большое количество времени, чтобы получить некоторую статистику.

kdvда вот и нет. Ты же понимаешь, что если приложение вызывает системную функцию, дальше системная функция обращается куда-то, к какому-то драйверу, который ... И т.д. Давай твой KIS будет вообще на все обращения к сетевому или дисковому ДРАЙВЕРУ ругаться. Мол, это Firebird виноват.

Тебе Влад уже ответил - если ФБ вызывает gethostname, то вызов этой же функции из любого другого приложения будет так же "звонить" у KIS. У тебя там параноидальный режим включен, оно будет по любому поводу мозг сношать, пока ты не загрубишь проверки.Дмитрий, вы не поняли. KIS у меня пИсал в свой лог записью, типа "Подозрительное действие запрещено", не из-за попытки прочесть значение из реестра, а из-за попытки создать ключ реестра (RegCreateKey), который стоит у него на контроле системных ресурсов. Естественно, что все чтения из этой ветки уже были запрофилированы у KIS с полным разрешением без записи в журнал, а вот для создания/изменения/удаления пришлось перепрофилировать ручками, выставив для процесса fb_inet_server запрет без записи в журнал, так как двоичный модуль процесса не подписан доверенным издателем и, естественно, не попал в категорию доверенные. Конечно, можно было бы просто перетащить его в доверенные, но, как вы уже сказали, KIS себе ставят только параноики. Я он самый и есть.

Кстати, если кому нужен свеженький Каспер на 45 дней триала вместо 30-ти, могу поделиться: Kaspersky Internet Security
Не сочтите за рекламу.

kdv, без моего ведома система защиты и восстановления Windows не даст вирусу изменить этот файл, да и "sfc /verifyonly" я тоже периодически прогоняю. Паранойя - она такая...

Мимопроходящий, да как угодно! Туда, так туда... Моё дело предложить.