流氓软件和木马在各种防火墙和杀毒软件的“打压”之下已经开始逐步向内核“退缩”,传统的依靠查看本地打开的端口与进程的关系的方法检查非法网络访问已经不再适用,个人防火墙已经成为装机必备的软件。目前主流的个人防火墙软件都是构建在Windows内核之上的,但是Windows的内核驱动是分层的,防火墙工作在哪一层实际上就决定了防火墙的性能,工作在TDI层的防火墙是无论如何也不能知道NDIS层的数据收发情况的,因为TDI驱动层在内核中是高于NDIS驱动层的。过去的木马(上个世纪九十年代以前)都是构建在Windows应用层上的普通程序,工作在TDI层的防火墙可以轻易地觉察并阻断它们非法的网络访问,但是对付缩进内核的木马和流氓软件,单纯的依靠TDI层拦截已经显得力不从心。内核木马的特点是不依赖句柄,不绑定端口(NDIS)
),可以工作在TDI层,甚至在NDIS层,所以,真正可靠的防火墙应该在NDIS层建立防线。
虽然真正可靠的防火墙应该工作在NDIS层,但是,个人防火墙和用于服务器的防火墙毕竟还是有一些不同之处,工作在服务器端的防火墙只需要根据协议、地址和端口判断是转发还是丢弃就行了,高级一点还可以分析包内容,根据预设的专家系统判断是正常的数据包还是非法攻击数据包,这样的防火墙还可以用硬件实现。但是个人防火墙的特别之处就是需要与用户交互,用户数据多是基于IP协议的,并且用户并不关心协议的细节(掌握这些对大多数用户来说有点难度),所以个人防火墙除了通过IP层的协议进行过滤之外,更主要的手段是根据用户的意愿允许还是阻止某个进程(程序)访问网络,在这个粒度上用户比较容易理解和控制。从这一点上讲,工作在TDI层的防火墙的优势就是能够在网络访问发生的时候追踪到发起访问的进程名称,从而给用户一个提示,而工作在NDIS层的防火墙则不容易做到这一点。因为发送数据时上层驱动将数据包提交到NDIS的发送队列中后就返回了,当数据包被真正投递的时候已经无从确定是哪个程序(进程)发送的了,对于收到的数据包需要根据端口号判断是哪个程序的,但是在NDIS层并不知道端口号和进程的对应关系,所以无论数据发送还是接收都无法有效地确定是属于哪个进程的数据。如果不能确定哪个进程访问网络,只是根据地址、端口和协议进行过滤对(大多数)用户来说是很不友好的,所以最好的个人防火墙(不一定是最安全的)应该是TDI+NDIS双保险:TDI层根据进程级访问过滤,NDIS层根据地址、端口和协议过滤。
前几天,一个朋友要我给他推荐一款比较好的防火墙软件,说实话,我也不知道哪个好,因为我没有比较过。没有调查就没有发言权,随便应付也不是本人的风格,加上本人最近正在验证一个在内核构建TCP/IP协议绕过防火墙的概念的可行性,需要对当前主流防火墙的能力有所了解,所以就把当前比较流行的防火墙都弄来研究了一下,没想到真是大开眼界,不看不知道,一看吓一跳。先上网搜了一下个人防火墙,没想到有这么多种,没时间全搞一遍,只能对用的最多的几个下手了,它们是“天网防火墙个人版”,“金山网镖”,“瑞星个人防火墙”,“卡巴斯基”,“冰盾”和“风云防火墙”,有几个防火墙软件不仅提供网络防火墙功能,还提供诸如文件访问控制,进程创建保护等功能,不过本文只是比较它们的网络防范功能。
首先是天网防火墙,这可是本人上学的时候最喜欢的防火墙了,简单好用。这次使用的是天网防火墙个人版(Trial_Release_v30_Build1213),结果却令人失望,天网是一个单纯的TDI防火墙。下图天网启动后的设备驱动加载情况:
图 1 天网防火墙设备驱动加载情况
工作在TDI层的防火墙有两种方式,一种是做成过滤驱动挂接到支持TCP/IP协议的设备上,简单地讲,就是发送给TCP/IP协议驱动的请求会先发送给它过滤,另一种是使用Hook的方式直接HookTCP/IP协议的驱动分派函数,相比较而言,第一种比较容易bypass,驱动层的木马或流氓软件通过设备直接找到TCP/IP的驱动发送请求,就可以避开Attach在其上的过滤驱动,从上图看,天网的驱动是一个Filter驱动,除了直接向TCP/IP的驱动发送请求可以避开天网之外,还有一种方法可以让它完全失效,就是直接摘除挂接的Filter驱动,看看下面的代码:
void ByPassAttachDevice(PDEVICE_OBJECT DeviceObject)
{
PDEVICE_OBJECT CurDevObj = DeviceObject;
while(CurDevObj != NULL )
{
CurDevObj->AttachedDevice = NULL;
CurDevObj = CurDevObj->NextDevice;
}
}
运行在驱动层的木马只要对设备驱动运行一下ByPassAttachDevice()函数就可以让天网和所有使用这种技术的防火墙形同虚设。口说无评,本人专门写了一个驱动来验证,首先在天网的设置中禁止IE访问网络,此时IE的网络访问会被禁止:
图 2 天网防火墙组织IE访问网络
然后用驱动加载测试工具加载本人编写的驱动程序(文后附有加载工具和驱动程序,以及使用说明,可以用来测试一下你用的防火墙是否安全),假设这是一个运行在内核的木马或流氓软件:
图 3 加载Bypass驱动程序
运行后天网就失效了,看看IE可以访问网络了,不仅IE,所有被禁止的程序都可以访问网络了:
图 4 天网防火墙失效了
结论,就不说了,真的很失望。
下面看看金山网镖,这个是我的朋友很喜欢用的,一直说它好用,本次比较用的是金山安全套件2008中附带的金山网镖,先看看它的驱动加载情况:
图 5 金山网镖驱动加载情况
这也是一个TDI Filter,没有在NDIS层做工作,使用前面的工具可以轻松bypass,不说了,下一个。
接下来是瑞星个人防火墙,使用的版本是瑞星个人防火墙2008。瑞星的驱动在TDI层使用了不容易bypass的TDI hook,除此之外,在NDIS层也使用了Hook,先看看TDI层的情况:
图 6 瑞星驱动的TDI Hook情况
再看看在NDIS层的Hook情况:
图 7 瑞星驱动的NDIS Hook情况
从驱动上看瑞星防火墙要比前两个强很多,本人曾试着手工恢复被hook的函数,虽然恢复后不再d出“某某程序要访问网络”的提示,但是实际上还是不能访问网络,不知为何,有兴趣的朋友可以研究一下。
再来看看卡巴斯基,这次使用的是卡巴斯基的互联网安全套装60个人版,从驱动上看卡巴斯基采用的是用TDI Filter驱动+NDIS Hook:
图 8 卡达斯基的驱动加载情况
但是可能卡巴斯基的NDIS Hook只是用来分析可以的数据才使用的,也或者是为实现其它功能设置的Hook,总之,使用本文的程序可以bypass卡巴斯基的防火墙功能。
再看看冰盾防火墙,冰盾是一个服务器防火墙,这次使用的是冰盾81 Build60214,从驱动加载情况看,冰盾使用了一个NDIS中间层驱动,没有Hook,也没有处理TDI层的事务,毕竟它不是个人防火墙,没必要处理TDI层的事情(这只是本人的看法的)。工作在NDIS层的好处是可以探测工作在TDI层的rootkit木马,但是对于个人计算机用户来说,冰盾的设计不太好用(或者说比较难理解,相对于其它几种防火墙软件),另外,中间层驱动还容易被Hook,rootkit木马可以Hook它的处理函数,比如指向一个空函数,就可以瘫痪中间层驱动。
最后一个是风云防火墙,这个是从网上搜到的,以前没听说过,使用的版本是V126 正式版。这个软件除了防火墙功能之外,还有很多附加功能,比如文件访问监控,注册表访问监控等等,不过其网络防火墙这块使用的策略和卡巴斯基一样,可以被本文的工具bypass
从分析的结果来看,这几款防火墙软件对于应用程序的访问控制都是没有问题的,但是对于同样工作在内核级别上的木马和流氓软件则问题很多,只有瑞星防火墙结果好一点,其它的几款防火墙软件都挺令人失望,特别是天网防火墙。最后需要强调一点的是即使是瑞星这样使用TDI Hook + NDISHook的方式也不一定就是安全的,因为在应用程序级别上进行网络访问控制还是粒度太粗,如果使用rootkit工具将木马注入到防火墙允许访问网络的程序的进程中,就可以在防火墙眼皮底下堂而皇之地访问网络了,比如IE的一些BHO插件就是这么干得。
驱动加载测试工具以及bypass驱动下载
附录: 驱动加载测试工具以及bypass驱动的使用方法
首先将hook_testsys复制到windows的系统驱动程序目录中(如果是windowsxp的系统,这个目录可能是c:\windows\system32\drivers),然后运行drv_testexe,在驱动文件位置中填入驱动文件hook_testsys的完整路径名,在驱动名称中填入驱动名称,这个比较重要,因为后面的启动、停止和卸载驱动都需要这个驱动名称,不过不一定是“hook_test”,显示名称随便填写就行了。输入完成后首先点击“安装驱动”按钮安装驱动,如果没有错误再点击“启动驱动”按钮启动这个驱动程序,然后就可以测试你的防火墙软件了。测试的方法很简单,就是运行一个访问网络的程序,如果防火墙有效,会提示是否阻止程序访问网络,如果防火墙失效,则没有任何提示,卸载驱动先点击“停止驱动”按钮,然后点击“卸载驱动”按钮就可以了。
orbit 发表于CSDN 2008-04-02 20:46:10杀毒软件 病毒阻杀率
Kaspersky Personal Pro version 50 9793%
AVK version 1505 93%
F-Secure 2005 9755%
eScan Virus Control version 9675%
Norton Corporate version 9164%
Norton Professional version 2005 9157%
McAfee version 90 8975%
Virus Chaser version 50 8831%
BitDefender version 80 8813%
CyberScrub version 8787%
Panda Platinum 2005 8775%
version 75%
Arcavir 8773%
MKS_VIR 2005 8770%
RAV version 8726%
F-Prot version 8707%
先来说说国产的,三足鼎立的瑞星、金山、江民这三款杀毒软件的使用经验:
金山毒霸
我是金山毒霸的正版用户。选择金山当时是同学怂恿的,购买的金山毒霸5,一直升级到现在的组合套装2005,感觉功能好比傻瓜相机,占内存不大,启动也很快,我觉得对于一般的家庭用户,这些已经够用了,使用至今没有被
病毒困扰过,只是在冲击波的时候有些麻烦,但是它的防火墙-金山网镖,我不说他的效果如何,老是容易cpu彪升到100%,这是很让人难以接受的,目前还没有解决这个问题,所以我以前用天网防火墙搭配,但是大家知道,天网现在没有真正的破解,前面几个版本老是第二次拨号时无法上网,只有重启以后才行。而且国内的防火墙都是通过不断升级ip规则来实现功能的,代表国内防火墙最高水平的天网亦是如此,而国外的防火墙不是频繁升级的,这是技术上的差距。
瑞星杀毒软件
第二是瑞星,瑞星2005我用过一段时间,界面比较朴实,有个对瑞星情有独钟的同学,给了我一个他不知道哪里来的序列号和id,大部分情况下能升级。启动也比较快,内存占用也还可以,常驻内存程序比较丰富。
江民杀毒软件
第三是江民,江民在网上的评价还是比较高的,界面不错,有个同学使用的正版江民感觉比较专业,启动比较快,占内存还可以,他搭配的是天网,运行状况令人满意。个人感觉,国产最佳搭配-江民+天网。
再来说说国外的卡巴斯基、诺顿、MacAfee、F-SECURE、nod32,其中卡巴斯基,macfee,诺顿又被誉为世界三大杀毒软件!
卡巴斯基
在国内卡巴斯基不像诺顿那样有名,可能许多人还比较陌生,在这里重点介绍下。卡巴斯基总部设在俄罗斯首都莫斯科,Kaspersky Labs是国际著名的信息安全领导厂商。公司为个人用户、企业网络提供反病毒、防黒客和反垃圾邮件产品。经过十四年与计算机病毒的战斗,卡巴斯基获得了独特的知识和技术,使得卡巴斯基成为了病毒防卫的技术领导者和专家。该公司的旗舰产品-著名的卡巴斯基反病毒软件(Kaspersky Anti-Virus,原名AVP)被众多计算机专业媒体及反病毒专业评测机构誉为病毒防护的最佳产品。 1989年,Eugene Kaspersky开始研究计算机病毒现象。从1991年到1997年,他在俄罗斯大型计算机公司“KAMI”的信息技术中心,带领一批助手研发出了AVP反病毒程序。Kaspersky Lab于1997年成立,Eugene Kaspersky是创始人之一。
2000年11月,AVP更名为Kaspersky Anti-Virus。Eugene Kaspersky是计算机反病毒研究员协会(CARO)的成员,该协会的成员都是国际顶级的反病毒专家。AVP的反病毒引擎和病毒库,一直以其严谨的结构、彻底的查杀能力为业界称道。 俄罗斯杀毒软件之所以非常强大,是因为俄罗斯有国际顶尖的数理科技领域的特殊人才及优良的传统,这些专业人才的培养不是三年两载就能成功的。卡巴斯基基本都是一年破解升级,杀毒能力天下第一,你也看到了世界排行第一名,感觉专业就是专业,但是监控能力差了点,而且用起来一个字"卡",很占内存,无论时搭配自带的卡巴斯基防火墙还是ZA防火墙启动都比较慢,也许是因为太专业的原因吧,如果你实在害怕病毒,而且喜欢玩专业,愿意牺牲性能换来安全,你就用ZA搭配卡巴斯基吧!
诺顿杀毒软件
诺顿,诺顿大家很熟悉,老实说诺顿的广告宣传还真是不错的,但是大家注意,别看广告,看疗效!也是一年破解升级几年前叱诧风云的软毒软件,功能强大,当然诺顿企业版要比个人版本的杀毒能力更强悍,建议大家使用90版的,最新100版占用资源有点大,不算完美。但是如果你使用诺顿公司的全套产品,systemworks+安全特警,你会发现比蜗牛还慢,启动超慢(比卡巴斯基还慢),我实在搞不懂,一个杀毒软件,p4 1。8G 700多M的配置用起来都卡,还有什么意义所以还是上面那句话,如果你愿意牺牲性能换来安全,你就用ZA搭配卡巴斯基吧!,因为同样牺牲性能,卡巴斯基比诺顿好很多!
McAfee杀毒软件
简单注册可以获得一年正版升级,是我现在使用的杀毒软件,安全特警套件里面乱七八糟的东西很多,包括六个组件:1:McAfee VirusScan-反病毒系统;2:McAfee Personal Firewall Plus-个人防火墙增强版;3:McAfee SpamKiller-垃圾邮件过滤器;4:McAfee Privacy Service-免干扰服务,使孩子和家庭成员远离网上的有害信息;5:Identity Protection-身份和财务信息防护功能;6:Spyware/Adware Detection and Removal-间谍/广告软件监视和删除功能;7:Pop-Up Blocking-d出窗口屏蔽功能;8:McAfee Shredder-文件粉碎机,彻底删除可能被他人找回并利用的信息。很多雷同的我只安装了第一和第二个。足够用了,占内存不多,启动较快,比金山慢一点。杀毒能力没有卡巴斯基好,系而统监控恰恰是做的最好的,界面还好。
Nod32
nod32,微软御用了四年的杀毒软件,自然不差,启动较快,占资源超少,多次获得权威大奖,我使用以后觉得唯一的缺点是升级很慢,很难,能升级的基本都是国内院校的破解服务器,而官方服务器升级很慢。
F-SECURE
F-SECURE可能知道的人很少,别说用的人了,呵呵。我自己现在用的杀软就是这款,其实这款杀毒软件名气是相当响的。来自芬兰的杀毒软件,集合AVP,LIBRA,ORION,DRACO四套杀毒引擎,其中一个就是Kaspersky的杀毒内核,而且青出于蓝胜于蓝,个人感觉杀毒效率比Kaspersky要好,对网络流行病毒尤其有效。在《PC Utilites》评测中超过Kaspersky名列第一。该软件采用分布式防火墙技术。f-secure 曾经超过Kaspersky,排名第一,但后来Kaspersky增加了扩展病毒库,反超f-secure 。鉴于普通用户用不到扩展病毒库,因此f-secure还是普通用户很不错的一个选择。所以我用下来的感觉就是F-SECURE的综合能力可以排第一名!但是这个软件也有不足,就是进程太多,要近15个进程,呵呵,谁叫它有四套杀毒引擎呢?不过也够安全吧。进程虽多,却一点不觉得卡!
国外杀毒软件一般推荐咖啡套装,如果机子实在太好,愿意牺牲性能,对安全有特殊要求的请使用ZA+卡巴斯基单机版。
有的朋友问我一个杀毒软件保险吗,要不要装两个来个双保险,呵呵,对于这个我觉得是可行的,但是前提是你对杀毒软件的各项设置要比较了解而且自己的电脑配置要高档点,否则不是系统容易崩溃就是电脑被两个杀毒软件拖垮的。比较典型的例子就是卡巴斯基+KV2005的组合,很显然卡巴斯基系统监控的不足由KV2005来弥补。卡巴斯基只负责杀毒即可了。但是这个豪华组合要牺牲很多内存,你电脑够劲的话可以试试。另外卡巴斯基加NOD32也是不错的搭配,NOD32查毒和监控方面都不错,而且查毒速度奇快,内存占用很小,这样你可以用NOD32进行查毒,大家都知道卡巴斯基的查毒速度是很慢的,因为病毒库多啊,每个文件都要那13W病毒库去套,能不慢嘛!
有的朋友关心哪个杀毒软件病毒库多哪个就牛,呵呵,大家都以为卡巴斯基病毒库很多是伐,现在大概13万4千左右吧,但是面对
罗马尼亚的杀软BitDefender Professional近20W的病毒库,卡巴斯基一边凉快去吧。所以BitDefender Professional在2005年一些网站的测试中取得过第一名的成绩。但是病毒库多并不能说明问题,实际杀毒能力BitDefenderProfessional并没有比卡巴斯基更好,所以这个也是大家理解的误区!有人认为卡巴斯基病毒库升级极其迅速所以最牛,虽然卡巴斯基每小时都有升级,很频繁,但是很多病毒库都非最终版,也就是很容易出现误报现象,所以建议大家到周末的时候再升级自己的卡巴斯基,因为周末是卡巴斯基整理一周病毒库,删除错误病毒库的时候。
还有有的朋友认为杀毒软件只要杀毒厉害就是一流的,其实这种观点我认为也不对,比如macfee,它其实杀毒并没有怎么厉害,肯定没有卡巴斯基那么野蛮,但是为什么它也拥有广泛的用户群,有很好的口碑,很显然macfee的监控做的很完美,可以说滴水不漏,监控这么好的杀软我想杀毒能力稍微弱点又有何妨呢?因为第一道防线病毒都无法逾越的话不就是最大的成功么?反观卡巴斯基杀毒是厉害,但是恰恰是由于它监控的不足,使病毒可以入侵,但鉴于杀毒能力很牛,所以第二道防线病毒就通不过了,这样逆向思考或许就能想通了!
另外我需要强调一点的就是卡巴斯基其实并不适合每个人,大家应该依照自己的实际情况装杀毒软件,卡巴斯基占用系统资源更象暴发户,所以很容易拖垮电脑,如果自己电脑配置本身就不高,CPU处理器能力也不强,或者内存就256MB那么点,我想还是算了吧,毕竟装了以后你才知道什么叫慢,开了个卡巴斯基,除了得到我系统应该很安全了这样的心里安慰,其他事情都不能做,开个大程序就卡,玩个游戏载入要老半天,这又何苦呢?与其这样,我宁可欣赏某些朋友的做法,什么杀毒软件也不装,就搞个防火墙玩玩,毕竟节省资源啊!敢于裸奔电脑上网的用户我就更佩服了!
我写这篇文章就是希望大家不要盲目跟风,卡巴斯基是好,卡巴斯基是比较牛,但不是意味着就要一窝蜂都去装卡巴斯基,何必呢,天下杀毒软件如此之多,何必单恋他一个呢?大家说对吧!
附各软件的官方网站:
金山毒霸:
江民:
瑞星:
卡巴斯基:
诺顿:
咖啡:
f-secure:
nod32:
参考资料:
二推荐杀毒最强组合:
卡巴斯基被誉为世界最好的杀毒软件 杀毒能力排第一名! 但任何软件都不能100%堵住病毒,所以加装:Ewido Security Suite Plus(最好的防杀木马软件) v35 完美注册汉 (已经试验无冲突,各管一方,互补互助)
卡巴斯基中文单机版(Kaspersky Anti-Virus Personal)是俄罗斯著名数据安全厂商Kaspersky Labs专为我国个人用户度身定制的反病毒产品。
卡巴斯基是世界最好的杀毒软件杀毒能力排第一名!
下载
软件名称: Ewido Security Suite Plus(最好的防杀木马软件) - 6646
授权方式: 破解软件
Ewido Security Suite Plus(最好的防杀木马软件)下载介绍:许多的反木马程序中,Ewido 是最好的。国内的木马x星等和它比简直是小儿科了。最近在上的测试里表明,它可以有效地检测出多形态和进程注入式木马,这些甚至完全不能被像诺顿和AVG等杀毒软件所查杀。不过它没有TDS-3 或Trojan Hunter有效但TDS-3目前还没推出支持中文 *** 作系统的版本,Trojan Hunter是英文的没汉化版。但对于个人而言Ewido足够强大了,和kaspersky结合使用加上ZoneAlarm防火墙,可以使得系统坚若磐石。
推荐所有没有安装反木马扫描器的个人计算机用户下载这个软件,并每周定期扫描。我猜你可能在你会为所得到的结果感到惊讶。
注册码:
8AFE-4C38-AFE4-C4C0
3371-2A43-3712-A4DA
3AFE-EB13-AFEE-B41C
4AF2-8244-AF28-2475
AE9C-B00A-E9CB-0410
98D8-1529-8D81-5480
6DE7-1B76-DE71-B42F
下载:
再装个防火墙就能堵住源头了
防火墙就用ZoneAlarm:
ZoneAlarmPro v55114 Oem豪华中文零售版:
序列号:LMLTK-XT5RC-XHVML-ROE4W (我建议装这个版本)
ZoneAlarm Pro v61737 汉化版 ;
序列号:hh11s-pv5cu-batbk-1mvdqe-md0gc0 (这个版本里的反间谍会杀死QQ,使用时可以关闭反间谍)
对于个别顽固病毒,推见一个小工具,安装后,点击要删除的文件右键,有个“unlocker”,进去解锁,就能删除!
Symantec诺顿企业版杀毒防火墙软件,服务器杀毒防火墙SymantecEndpointProtection将SymantecAntiVirus与高级威胁防御功能相结合,可以为笔记本、台式机和服务器提供无与伦比的恶意软件防护能力。它在一个代理和管理控制台中无缝集成了基本安全技术,从而不仅提高了防护能力,而且还有助于降低总拥有成本。
Windows服务器系统使用,win2008,win2012,win2016win2019
服务器一般会有两种使用方式,一种是托管的服务器,或者是在IDC租用的服务器,此时需要的是单机防火墙;另外一种是公司学校的局域网服务器,这种一般是作为网络出口的桥头堡,保护整个局域网的安全,这时要使用专门的网关防火墙。几款单机版防火墙比较适合于拥有IDC服务器的用户:
BlackICE Server Protection , Cyberwall PLUS-SV
KFW傲盾防火墙服务器版
服务器网关防火墙: ISA Server
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)