关于逃避防火墙控制系统的研究(2)

　　方法3：Icmp协议或自定义协议的后门或木马

　　对于一些防火墙是有效果的，但是如果防火墙是检测有网络连接的程序是不是防火墙信任的，那么这个方法就会失效，因为这类防火墙允不允许程序连接网络是根据用户是否让那程序连接的，而并不是单单看协议或端口。

　　方法4：将后门或木马插到其它进程中运行

　　系统中某些程序，99.9999%的用户都会允许的，象IE，如果有用户不允许IE连接网络的话，那是很稀见的。因为IE一般都是防火墙信任的应用程序，所以只要将后门程序插入到IE中运行，那么防火墙一般是不会拦的。只要防火墙允许IE连接网络，那么插入到IE中运行的后门就可以接受外界的连接了。这类后门一般是以Dl加载进去IE运行的，直接一个可执行程序将一个线程注入IE运行也可以，但远没有将DLL注入那么稳定。这种方法可以避开大部份的防火墙，但对于一些不但会检查out bound，而且会检查in bound连接的防火墙会有时失效。但总的来说，这算是一种很好和方便的方法(已经过测试)。

　　方法5：将后门插入到IE中运行，并且使用反向连接

　　上面方法4已说明了IE一般是防火墙信任的应用程序，所以将后门插入到IE中运行已是一个好方法了，由于某些防火墙还会检查in bound连接(从外界连入系统的连接)，是会导致方法4失效的，因为防火墙是可能通知用户是否允许这个连接的，只要用户拒绝，那么方法4就失效了。但如果将后门插到IE中运行，并且让后门自动向外界一个指定的IP中连接(反向连接)，这样的话，几乎99%是会成功的，因为防火墙是已允许IE向外连接的了，所以一旦后门连接上那个指定的IP，攻击者就可以得到一个cmd下的Shell。

　　上面所说的几种方法中，方法1、2、3应用面是很窄的，而且并不能算是一种好的方法；方法4，5是比较高级的方法，而且管理员一般很难发现（一般不会有人会怀疑自己的IE被人插入后门在运行的，相信大部份上网用户不会知道有这些方法的），而且这些方法比较难检测出来。当然还会有其它方法的。