　　从Windows软件防火墙的诞生开始，这种安全防护产品就在跟随着不断深入的黑客病毒与反黑反毒之争，不断的进化与升级。从最早期的只能分析来源地址，端口号以及未经处理的报文原文的封包过滤防火墙，后来出现了能对不同的应用程序设置不同的访问网络权限的技术；近年来由ZoneAlarm等国外知名品牌牵头，还开始流行了具有未知攻击拦截能力的智能行为监控防火墙；最后，由于近来垃圾插件和流氓软件的盛行，很多防火墙都在考虑给自己加上拦截流氓软件的功能。综上，Windows软件防火墙从开始的时候单纯的一个截包丢包，堵截IP和端口的工具，发展到了今天功能强大的整体性的安全套件。

　　接下来本文就对一个Windows软件防火墙应当拥有的这些组件进行一个简要的技术介绍。

　　封包过滤技术

　　封包过滤技术是最原始的防火墙所拥有的第一种功能。但是该功能简单强大，直到现在都是任何一个防火墙必不可少的功能。

　　想要在网络数据包到达应用程序之前拦截之，就要在系统的网络协议栈上面安装过滤钩子。对Windows NT系列内核来说，可能安装过滤钩子的地方大致是这么几个，从高层到底层排序：SPI层（早期的天网防火墙），AFD层（资料缺乏，尚无例子），TDI层（不少国内墙），NDIS层（ZoneAlarm，Outpost等）。越位于高层，则产品开发难度越低，但是功能越弱，越容易被攻击者所穿越。由于NDIS层的防火墙具有功能强大，不易被穿透等优点，近来各大防火墙厂商的趋势是选择NDIS层来做包过滤。

　　目前比较流行的NDIS钩子技术有两种。一种是挂接ndis.sys模块的导出函数，从而能够在每个ndis protocol注册的时候截获其注册过程，从而替换其send(packets)handler和receive(packet)handler。这个方法的缺点是在第一次安全之后无法立刻生效，必须要重起一次，而且要禁用的话，也必须重起。

　　2004年12月的时候，www.rootkit.com上面的一名黑客发表了一篇著名的文章：“Hooking into NDIS and TDI, part 1。这篇文章本意是为rootkit作者们提供一种挂接底层驱动实现端口重用的方法，但是这篇文章揭示了一个全新的技术：通过动态的注册ndis假协议，可以获得ndis protocol的链表地址。得到这个地址之后就能不通过重起，就能替换并监控每个ndis protocol的send(packets)handler和receive(packet)handler，并且可以动态的卸载监控模块不需要重起。在这篇文章出现之后，很多防火墙厂商都悄悄地对自己的产品进行了升级。目前的ZoneAlarm等产品就是使用这种技术，可以在安装后即时发挥作用。这个例子更充分的体现了，黑客和反黑技术本来就是相辅相成的，本源同一的。

　　这里给出一个寻找该链表头的代码例子：

　　该函数返回的NDIS_HANDLE就是链表头地址。

NDIS_HANDLE RegisterBogusNDISProtocol(void)
{
　　NTSTATUS Status = STATUS_SUCCESS;
　　NDIS_HANDLE hBogusProtocol = NULL;
　　NDIS_PROTOCOL_CHARACTERISTICS BogusProtocol;
　　NDIS_STRING ProtocolName;

　　NdisZeroMemory(&BogusProtocol,sizeof(NDIS_PROTOCOL_CHARACTERISTICS));
　　BogusProtocol.MajorNdisVersion = 0x04;
　　BogusProtocol.MinorNdisVersion = 0x0;

　　NdisInitUnicodeString(&ProtocolName,L"BogusProtocol");
　　BogusProtocol.Name = ProtocolName;
　　BogusProtocol.ReceiveHandler = DummyNDISProtocolReceive;
　　BogusProtocol.BindAdapterHandler = dummyptbindadapt;
　　BogusProtocol.UnbindAdapterHandler = dummyptunbindadapt;

　　NdisRegisterProtocol(&Status,&hBogusProtocol,&BogusProtocol,
　　　　sizeof(NDIS_PROTOCOL_CHARACTERISTICS));

　　if(Status == STATUS_SUCCESS){ return hBogusProtocol;}
　　else {
#ifdef bydbg
　　　　DbgPrint("ndishook:cannot register bogus protocol:%x\n",Status);
　　　　DbgBreakPoint();
#endif
　　　　return NULL;
　　}
}

　　得到这个ndis protocol的链表后，遍历表中的每一个ndis protocol，对于每一个ndis protocol，又各有一个链表，用来描述和该ndis protocol有联系的所有ndis miniport和该ndis protocol绑定的状态。每个这种状态块，叫做一个ndis open block。每个绑定的send(packets)handler和receive(packet)handler都在这个ndis open block里面。

[1] [2] [3] [4] [5] 下一页

上一篇:修改配置让Vista系统实现自动登录

下一篇:管理本机特殊端口防范木马程序攻击

微软Windows软件防火墙实现技术简述相关文章：

·Windows Vista震撼1600X1200高清壁纸

·vista分区软件

·WindowsXP超级技巧

·IE浏览器再现严重安全漏洞微软紧急发补丁程序

·Windows XP的20个超级实用技巧大全

·最全面的WindowsXP修改大全

·让Windows XP系统快10倍

·Windows Vista Ultimate中文旗舰版下载+简单破解（支持迅雷HTTP & BT)

·EasyRecovery 604硬盘数据恢复软件技巧

·图文详解 Windows 2003服务器集群安装

微软Windows软件防火墙实现技术简述相关软件：

·瑞星个人防火墙 2007V19.45.30 免费版

·Windows主题70合一典藏版

·诺顿杀毒软件+诺顿防火墙免费破解版免注册永远自动升级

·诺顿杀毒软件+诺顿防火墙免费破解版免注册

·微软雅黑字体

·瑞星杀毒软件2008下载版（完全免费）V20.36.32

·Windows 2003 Server 简体中文企业版(免激活)ISO

·PRO／E野火2.0 绿色版 RAR 珍贵的软件

·手机SIM卡备份一卡多号(手机魔卡)万能读写软件V9.0

·Windows 98简体中文第二版

特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员，我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源：http://www.vipcn.net

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.vipcn.net All Rights Reserved.	鄂ICP备05000083号Powered by:viphot