5種方法逃過防火墻控制系統的研究

　　隨著木馬，后門的不停發展，防火墻本身也在不斷地發展，這是一個矛和盾和關系，知道如何逃過防火墻對于控制一臺系統是有很重大的意義的。

　　由于防火墻的發展，時至今天，很多防火墻都是以驅動形式加載的，核心部分是在驅動那里，保留一個界面給用戶去設置，這個界面程序同時充當了橋梁作用，傳統的殺防火墻進程以達到能控制到系統的方法已經是失效的了，而且這也不是一個好的方法(想想管理員發現防火墻的圖標不見了會有什么反應).以下是談談以種方法。

　　前提條件:

　　1.你在遠程系統有足夠權限

　　2.你已從ipc或mssql或其它得到系統的權限，但因為無論用ipc還是用mssql的操作，都并不如直接得到一個cmd的Shell操作來得快和方便

　　
方法1:不讓防火墻加載自己

　　使用各類工具，pslist,sc.exe,reg.exe等去查找防火墻在哪里加載的，如果是在run中那加載的話，用reg.exe將其刪除；如果是服務啟動，用sc.exe 將服務改為手動或禁止，然后重啟那系統，這樣系統重啟后防火墻就無法加載自己了。這種方法不讓防火墻運行，比較容易被管理員發現。

　　方法2:強行綁入防火墻允許的端口

　　一臺系統，如果有一些服務，如pcanywhere,sev-u,iis,mssql,mysql等的話，防火墻總要允許這些應用程序打開的端口被外界所連接的，而這些應用程序打開的端口是可以被后門或木馬程序自身打開的端口重新強行綁入的。例如pcnayhwere打開端口或serv-u打開的端口都可以被重新綁入，iis和mssql等就有時可以，但有時會失敗，原因不明。 由于那些應用程序是得到防火墻的授權并信任的，所以后門或木馬將綁口強行綁入后，是可以避開防火墻的，但這種方法對于那些比較高級的防火墻，如Zonealarm等，還是不行的，因為Zonealarm不只是監視端口，而且監視是什么程序嘗試去綁入某個端口的，如果后門沒得到Zonealarm授權的話，一樣是無法綁入那個端口的。

　　方法3:icmp協議或自定義協議的后門或木馬

　　對于一些防火墻是有效果的，但是如果防火墻是檢測有網絡連接的程序是不是防火墻信任的，那么這個方法就會失效，因為這類防火墻允不允許程序連接網絡是根據用戶是否讓那程序連接的，而并不是單單看協議或端口。

　　方法4:將后門或木馬插到其它進程中運行

　　系統中某些程序，99.9999%的用戶都會允許的，象IE,如果有用戶不允許IE連接網絡的話，那是很稀見的。因為IE一般都是防火墻信任的應用程序，所以只要將后門程序插入到IE中運行，那么防火墻一般是不會攔的。只要防火墻允許IE連接網絡，那么插入到IE中運行的后門就可以接受外界的連接了。這類后門一般是以Dl加載進去IE運行的，直接一個可執行程序將一個線程注入IE運行也可以，但遠沒有將DLL注入那么穩定。這種方法可以避開大部份的防火墻，但對于一些不但會檢查out bound，而且會檢查in bound連接的防火墻會有時失效。但總的來說，這算是一種很好和方便的方法(已經過測試).

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]