解析木马如何穿过你的防火墙？(2)

　　3.应用程序筛选.(只允许特定程序访问网络)

　　木马也不甘落后,自己不能访问网络,只好寄人篱下:

　　进程插入技术诞生了,通常firewall都要允许iexplore.exe,explore.exe,svchost.exe,services.exe等程序访问网络,于是木马便盯上了这些程序.插入...插入再插入

　　现在的远程控制一般都是插入进程式,一是隐蔽(没有自己进程),二是穿墙.典型如Bits.dll(替换系统服务BITS,插入svchost.exe中) 和灰鸽子/PcShare(默认插入iexplorer.exe浏览器进程)等.

　　4.协议筛选.

　　(例如,只允许80端口通过http协议,这样那些端口复用的后门没有使用http协议,不幸被防火墙拒之门外.:-)

　　怎么办? 暗渡陈仓, 挖隧道: http-tunnel (http隧道)将木马通信封装成http数据报进行传输.

　　使用这种技术的有pcshare(使用双向http隧道传输)

　　5.IP过滤,一般就是化分为本机,局域网,广域网三个层次,不过木马也不是吃素的,有些木马已经开始智能化了:

　　比如,无法连到黑客主机或者跳板,就搜索本机的代理设置,如IE代理设置,然后代理出去!

　　可以想象P2P形式的马也将于不久以后成为可能,这样木马和僵尸网络的区别就更小了 呵呵

　　6. 现在很多防火墙都可以检测传输的敏感信息,如用户口令等,所以抗IDS,抗自动分析,这便成了高级木马需要考虑的东西,换句话说保护黑客控制的安全性和隐秘性.典型的解决方法就是采取加密措施,如最简单的对付IDS检测的方法,xor异或加密.

　　但是现在的防护墙肯定不是以上技术的分离,而是一定有多项技术同时采用.

　　同时,综合利用以上对抗技术的木马也不鲜见了.

　　木马和防护墙 永远是一对矛盾,彼此斗争,彼此发展.呵呵