关于逃避防火墙控制系统的研究(1)

　　随着木马，后门的不停发展，防火墙本身也在不断地发展，这是一个矛和盾和关系，知道如何逃过防火墙对于控制一台系统是有很重大的意义的。

　　由于防火墙的发展，时至今天，很多防火墙都是以驱动形式加载的，核心部分是在驱动那里，保留一个界面给用户去设置，这个界面程序同时充当了桥梁作用，传统的杀防火墙进程以达到能控制到系统的方法已经是失效的了，而且这也不是一个好的方法(想想管理员发现防火墙的图标不见了会有什么反应)。以下是谈谈以种方法。

　　前提条件：

　　1.你在远程系统有足够权限。

　　2.你已从ipc或mssql或其它得到系统的权限，但因为无论用ipc还是用mssql的操作，都并不如直接得到一个cmd的Shell操作来得快和方便！

　　方法1：不让防火墙加载自己

　　使用各类工具，pslist、sc.exe、reg.exe等去查找防火墙在哪里加载的，如果是在run中那加载的话，用reg.exe将其删除；如果是服务启动，用sc.exe将服务改为手动或禁止，然后重启那系统，这样系统重启后防火墙就无法加载自己了。这种方法不让防火墙运行，比较容易被管理员发现。

　　方法2：强行绑入防火墙允许的端口

　　一台系统，如果有一些服务，如pcanywhere、sev-u、iis、mssql、mysql等的话，防火墙总要允许这些应用程序打开的端口被外界所连接的，而这些应用程序打开的端口是可以被后门或木马程序自身打开的端口重新强行绑入的。例如pcnayhwere打开端口或serv-u打开的端口都可以被重新绑入，iis和mssql等就有时可以，但有时会失败，原因不明。 由于那些应用程序是得到防火墙的授权并信任的，所以后门或木马将绑口强行绑入后，是可以避开防火墙的，但这种方法对于那些比较高级的防火墙，如Zonealarm等，还是不行的，因为Zonealarm不只是监视端口，而且监视是什么程序尝试去绑入某个端口的，如果后门没得到Zonealarm授权的话，一样是无法绑入那个端口的。