Преодоление firewall'ов снаружи и изнутри
       

все они грузят баннеры через


Ну банерорезалки — это понятно. IE, Лис, Опера — все они грузят баннеры через Winsock и такой меры вполне достаточно, но вот брандмауэр…





Рисунок 4 сетевой стек крупным планом от вершины до самого дна

Под ws_32.dll находится драйвер afd.sys (ancillary function driver – вспомогательный служебный драйвер), в котором реализованы основные операции над сокетами: создание сокета, установка соединения и т. д. Фактически, ws2_32.dll представляет собой высокоуровневую user-mode обертку, а afd.sys ее kernel-mode часть, образуя что-то вроде айсберга. Если быть совсем точным, то этих оберток целых две — между ws2_32.dll и afd.sys находится библиотека msafd.dll, на которую садятся некоторые брандмауэры, пытающиеся фильтровать трафик. Однако, это не самое удачное решение. Во-первых, как уже говорилось, часть трафика идет мимо сокетов, а, во-вторых, приложению ничего не стоит обратится к драйверу afd.sys напрямую!

Спустившись на одну ступеньку вглубь, мы обнаруживаем драйвер tcpip.sys, сосредоточивший в себе реализацию протоколов TCP/IP. Это так называемый уровень TDI (Transport Data Interface — Интерфейс Передачи Данных), так же называемый "транспортным" уровнем или уровнем сетевых протоколов. Здесь же расположен драйвер NWLNKIPX.SYS, реализующий протокол IPX и другие сетевые драйвера, давно отошедшие в мир иной и представляющий только исторический интерес. Когда компьютер работает в режиме маршрутизатора или шлюза весь трафик идет через сетевые драйвера (главным образом через tcpip.sys) и на верхних уровнях просто не появляется (впрочем, если сетевая карта поддерживает режим FFP, трафик может не дойти и до tcpip.sys). Зловредные программы прикладного уровня могут вызывать tcpip.sys напрямую (или через высокоуровневую обертку wshtcpip.dll), минуя ws2_32.dll. Для установки TCP/IP фильтра необходимо перехватывать все вызовы к устройствам \Device\RawIp, \Device\Udp и \Device\Tcp. Это достигается либо вызовом IoAttachDevice, либо прямой модификацией указателей таблицы диспетчеризации.


Содержание  Назад  Вперед






Forekc.ru
Рефераты, дипломы, курсовые, выпускные и квалификационные работы, диссертации, учебники, учебные пособия, лекции, методические пособия и рекомендации, программы и курсы обучения, публикации из профильных изданий