» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 反病毒 » 【转贴】所有的防火墙都很弱（转自绅博论坛 杭州志愿者论坛）   作者: 标题: 【转贴】所有的防火墙都很弱（转自绅博论坛 杭州志愿者论坛） 反黑先锋 版主 RUNWAY 积分 2901 发帖 2857 注册 2006-6-17 #1  【转贴】所有的防火墙都很弱（转自绅博论坛 杭州志愿者论坛） 所有的软件防火墙都很弱。如果不信的话您可以说出你认为非常强的防火墙，然后我再反驳，说出突破他的方法。关键还是使用者的安全意识和水平，否则再好的安全软件也无济于事。 附上一篇我前几天写的突破防火墙的文章：http://www.xyzreg.net 唉，软件防火墙好像没一个令我满意的，都比较弱，考虑不全。国内的防火墙更是令人心寒~ 无论是DLL注入还是不引入DLL的纯代码注入，还是TDI Cilent，都能把国内的防火墙搞定。NDIS hook 更不要说了.. 来点好玩的，其实我们只要写个驱动，从设备栈里把防火墙的TDI过滤驱动给摘除掉，这样就能对付一般的防火墙了。当然，国外强一点的防火墙，比如ZoneAlarm Pro 6.5就得再结合其他方法了，嘿嘿。 摘除过滤驱动的代码片段： RtlInitUnicodeString ( &TcpipName, L"\\Driver\\Tcpip" ); ObReferenceObjectByName( &TcpipName, OBJ_CASE_INSENSITIVE, NULL, 0, *IoDriverObjectType, KernelMode, NULL, &TcpipDrvObj); CurrentDevice = TcpipDrvObj->DeviceObject; while(CurrentDevice != NULL ) { CurrentDevice->AttachedDevice=0; CurrentDevice = CurrentDevice->NextDevice; } 这段代码就能足以使国内人人皆知的天网防火墙装了和没装一样... 呵呵 PS:这里的突破指的是软件防火墙的内对外层面。 如何突破瑞星墙 那个xyzreg是这样说的 说得不客气的话国内的防火墙都垃圾，瑞星更不例外。 从内对外的层面讲。 从用户态上突破，简单，DLL/代码注入到可信进程即可。这是国内防火墙墙的通病，目前运用DLL注入到IE等可信进程的木马已经泛滥了，国内的软件防火墙厂商也不改进一下，简单点的加个hook SSDT防注入的最多要花开发人员半天时间吧，可他们就不做。 从核心态上突破，简单的TDI Cilent即可搞定，NIDS pt/mp HOOK更不用提了~ 有点系统底层知识的人应该知道，用TDI Client能突破的，说明这款墙做得不算太底层，呵呵... 突破瑞星加规则 以下他给的突破法 #23 考虑到危害，我只放出简单概念性证明程序，此程序向目标机器发送"Hello Network"的数据包，并且我把测试程序的目标IP设为了192.168.111.2。你可以在局域网里测试，把目标机器IP设为此；没理想的测试环境的话也可以装虚拟机VWare，选择NAT环境，把虚拟机VMnet8(NAT)的网卡的Subnet设为192.168.111.0，这样你外面的主机的IP就是192.168.111.2了. 先在IP为192.168.111.2的机器上运行nc -vv -l -p 80 命令进行监听（PS：nc即netcat）；然后在另外的装有瑞星防火墙2006以及你的规则包的机器上运行loader.exe，你会发现瑞星防火墙没有任何反应，而192.168.111.2的机器已经收到了我们测试程序发送的数据包"Hello Network"了，并且nc把他显示了出来。 PS:示例程序无害。此示例程序是用了TDI Cilent技术，那些我说的其他的技术还都没用，呵呵。 示例程序下载： http://www.xyzreg.net/TestTDI.rar 镜像: http://old.xyzreg.net/TestTDI.rar Originally posted by taylor0577 at 2006-8-18 19:07: 而且在 公网 没有通过 再次感到好笑~ 我把IP限定了是192.168.111.2，你怎么在公网试？有点基本常识好不好？ 你分析原理就应该知道，把IP换成公网IP照样可以。你不信的话自己改我那驱动的IP，当然要校正一下CRC值，否则驱动会加载失败。 明眼人一看就知道结果了。你说“而且在 公网 没有通过”，我再次感到好笑。不和你说了，简直浪费我时间。不过有规则包总比没规则包，在一定程度上帮助了网民，这点我们是殊途同归的。 就转到这 他认为ZA相对比较强些 这是杭州志愿者论坛 与网警舌战的帖子地址 http://bbs.hzva.org/viewthread.p ... ghlight=&page=1 原帖地址 http://bbs.hypost.cn/read.php?tid=63953 ※ ※ ※ 本文纯属【反黑先锋】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 荣先祥藏头诗《赞东方微点》 东风欣传好消息 方策独步世所稀 微妙玄机嵌主动 点睛灭毒堪神笔 2006-8-19 23:05 囚中城 版主 微点茶室甜点师 积分 3808 发帖 3688 注册 2006-1-3 来自 拿灵魂换生命的地方 #2   23楼怎么让你翻出来了 ※ ※ ※ 本文纯属【囚中城】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-8-20 17:09 flo 注册用户 积分 168 发帖 168 注册 2006-8-17 #3   唉，虽然这是事实，如果想过，几乎所有的防火墙都能PASS。你加载了什么驱动我去帮你卸，你Hook了什么东西我替你还原，你涂了什么东西我统统替你改回来。原则上可以做到貌似很正常，但其实已经是空壳。相比这些方法，现在很多木马流行的把杀软进程终止掉的方法就跟小儿科一样了。 而且即使像KIS6也不能万无一失，虽然监控很严密，但是还是漏了一点，加载驱动还是可以的~~导致AVP6也能被PASS。 但是牛人一般不太会想攻击你的电脑。何况杀软本来就不能替代人，只能辅助防御。 PS:xyzreg此人还是满强的哦，过KIS6的方法也是他搞出来的~~ [ Last edited by flo on 2006-8-23 at 00:26 ] ※ ※ ※ 本文纯属【flo】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-8-22 17:30 123zxy 中级用户 积分 344 发帖 300 注册 2006-8-23 来自 海这边 #4   呵呵.本机无资料的.才最安全 ※ ※ ※ 本文纯属【123zxy】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-8-23 14:15 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号