Se blocco l'applicazione A.exe sul mio firewall, ma genera dinamicamente B.exe e lo esegue automaticamente. B.exe sarebbe anche bloccato sul mio firewall?
Dipende dalla metodologia scelta per consentire l'accesso. Puoi scegliere di consentire l'accesso alle applicazioni che desideri e creare una "pulizia" o "bloccare ogni altra regola" in cui oltre a ciò che hai esplicitamente permesso a tutto il resto, sarò bloccato. Quindi nel tuo caso, dal momento che non hai permesso A.exe o B.exe, non avranno accesso alla rete. Puoi bloccarlo ulteriormente usando i checksum (se il tuo firewall lo consente). Ciò significa che è possibile consentire a Firefox.exe con checksum xxxxx di accedere alla porta 80.443 in uscita. So che Symantec Endpoint Protection ha questa funzionalità. Puoi vedere questo sul tuo firewall. Ciò è utile poiché il programma dannoso può generare un processo con un nome file eseguibile nella whitelist.
Dipende tutto dalla tecnologia firewall che stai utilizzando e da come viene effettivamente gestito il "blocco". Tuttavia, in generale, probabilmente no. Se hai a che fare con un'app che è abbastanza sofisticata da generare dinamicamente un'altra app per cercare di aggirare i blocchi del firewall, probabilmente fa anche altre modifiche dinamiche progettate per evitare / bypassare approcci di filtro comuni.
In questi giorni, il termine firewall tende a significare molte cose diverse per persone diverse e c'è una vasta gamma di tecnologie diverse utilizzate nel "firewall", come varie soluzioni di rilevamento delle intrusioni o di prevenzione delle intrusioni (IDS / IPS) , ispezione approfondita dei pacchetti ecc.
Il blocco del contenuto a livello di firewall è spesso basato su una qualche forma di ispezione deep packet, "firme" di dati, analisi basata su macchine virtuali e / o virtuali, protocollo o informazioni di origine / destinazione IP di base o porta. Esiste un compromesso tra tempo e risorse, ovvero la capacità di eseguire analisi e prendere una decisione in modo tale che il processo non abbia un impatto inaccettabile sulle prestazioni e quindi, solo per rendere la vita interessante, è possibile introdurre le complessità introdotte con la crittografia dei dati e l'impatto che ha sulla capacità del firewall di analizzare i dati.
Senza sapere esattamente come si sta bloccando l'applicazione, non possiamo davvero rispondere a questa domanda. Se si sta bloccando in base a IP / porta di origine / destinazione e l'app B.exe utilizza le stesse porte, allora sì, sarà probabilmente bloccata. Se il tuo blocco si basa sulle firme del protocollo e l'app sta utilizzando lo stesso protocollo, allora sì, probabilmente. Se si sta bloccando in base ad un'altra 'firma' nella comunicazione dei dati, forse o forse no, a seconda che la nuova / dinamica app utilizzi la stessa firma. Può anche dipendere dal fatto che tu stia parlando di un programma che genera dinamicamente nuovi processi / app per deliberatamente sovvertire i blocchi del firewall o semplicemente a causa di qualche altra decisione giustificabile relativa all'architettura, ad esempio intenzioni malevole contro design innocente.