简析windows软件防火墙实现技术

智能行为监控

　　随着防火墙的发展，现在的ZoneAlarm，Kaspersky等都发展成了所谓的“安全套件”，能够多方位的保护用户的系统。查杀未知的病毒和木马是所有防火墙厂商都非常注视的一环。在目前来说，查杀未知病毒木马，最行之有效的方法，就是类似于ZoneAlarm，Karpasky Internet Security，Mcafee，System Safety Monitor等安全工具的智能行为监控手段。实践证明，这种智能行为监控针对未知的恶意软件有着强大的杀伤力。例如，灰鸽子无论如何加壳变形，能够躲过杀毒软件的查杀，也不能逃避ZoneAlarm的智能行为监控；很多地下流传的没有公开的木马，放上去安装，在安装过程中也一样会报警；甚至很多0day overflow exploit在执行过程中就会报警。可以说，这个可能是目前最有前景的防火墙新技术。

　　例如，一个智能行为监控模块，可以监控以下进程行为，并且判定为恶意软件或者提示用户，让用户选择是否允许：

　　把自己注册成每次开机自动启动；

　　装载可疑的内核驱动程序；

　　注册未知的新服务；

　　修改或者替换系统重要文件；

　　使用raw_socket接口；

　　可疑的word宏或者脚本；

　　可疑的邮件附件例如可执行程序；

　　安装windows消息钩子；

　　创建远程线程到其他程序；

　　创建受控制的傀儡进程；

　　对系统API的请求来源代码和数据区在同一区域；

　　监控上述的这些行为，全部都可以使用系统钩子，消息钩子和API钩子等技术来实现，洗劫这里就不详细谈了，熟悉hook的技术人员都应该知道怎么做了。

　　反流氓软件技术

　　目前的信息安全领域，由于病毒的不可控性和黑客的技术门槛提高，黑客攻击和病毒攻击均有大幅度减少的趋势。但是一种新型的安全威胁却在日益的发展壮大，这种很不同于传统病毒的安全威胁，就是从开始就彻底的有明确商业目的的流氓软件。这种软件为了自己的商业利益，不惜牺牲客户的权益，强行在客户的浏览器上安装，驻留系统，强制制止用户卸载或者删除自己。这类软件也带来了非常大的麻烦，经常性地弹出广告页面，篡改用户浏览器主页，篡改用户浏览器搜索引擎，降低用户系统性能，更严重的是很多设计低劣的流氓软件会让用户的系统变得很不稳定，经常性的死机和重起。大量的防火墙客户对流氓软件深恶痛绝，希望防火墙能够在流氓软件安装的时候能够提示客户，给客户一个选择的机会。因此这也成了新一代防火墙应该拥有的功能模块。

　　由于流氓软件不同于一般病毒木马，有着强大的商业支持，升级换代非常快，并且碍于各方面的影响，防火墙和杀毒软件不好将其作为病毒木马来查杀，否则可能会引起法律和商业等背景关系上面的很多问题，所以比较好的一个选择，就是防火墙厂商使用行为监控方法来提示用户流氓软件的安装。

　　流氓软件除了拥有普通木马或病毒的以下几个特征，

　　把自己注册成每次开机自动启动；

　　装载可疑的内核驱动程序；

　　注册未知的新服务；

之外，还有一个很重要的特征就是劫持浏览器。以下的为了避免麻烦，均不举软件实例。　　

　　HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects，这个被叫做BHO插件的东西，是最多流氓软件和ie插件的栖身之所，监控这个健值是最重要的；

　　HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks，这个健值可用来劫持搜索引擎；

　　HKLM\Software\Microsoft\Internet Explorer\Toolbar，很多浏览器插件也会注册在这里；

　　HKCU\Software\Microsoft\Internet Explorer\Explorer Bars　　　　　　HKLM\Software\Microsoft\Internet Explorer\Explorer Bars　　　　　　HKCU\Software\Microsoft\Internet Explorer\Extensions　　　　　　　　HKLM\Software\Microsoft\Internet Explorer\Extensions　　　　　　　　这四个键值也有流氓插件钻入的可能。

　　HKLM\SOFTWARE\Microsoft\Internet Explorer\Main和　　HKCU\SOFTWARE\Microsoft\Internet Explorer\Main这两个子目录下面有大量的IE首页，搜索页面等敏感信息需要保护或者提示用户，这里就不仔细说了。