问:你好,我是个菜鸟,可自从你们开始编写这个规则包以来,就渐渐的对这方面的有了兴趣,我当然不打算也能写出这样的东西来,不过想多了解一点,请问应该怎么学习呢,应该从哪儿开始下手呢?呵呵,可能这个很复杂,要牵涉到的东西也很多,我只是比较感兴趣而已,另外还有几个很幼稚的问题,比如说你说的什么内置特指针判别码什么的,这样的东西在编写规则的时候是从哪儿写进去的,好象防火墙里面没有写这个东西的地方啊,是不是还有专门写这些东西的软件,假如我用别的防火墙,是不是就不能写呢,比如说ZoneAlarm,呵呵,可能这些问题很简单,可我确实搞不清楚,能不能给我说说呢?谢谢!
答:
1、应该从编程开始学,然后再学习端口的设置与程序特征码的分析、认定;
2、内置特征判别码指的是,直接植入防火墙内核的有关判别功能的程序,是用来判别相关程序是否合法,为防火墙引擎是否启动拦截、过滤指令提供依据;防火墙主要是要靠特征判别码来实施拦截、过滤的,比如说,80端口是上网的必需端口,但也是反弹性木马的依赖端口,如果单是关闭80端口,就无法上网,因此防火墙就必须通过内置的特征判别码来判别通过80端口的数据是不是蠕虫或木马,以过滤的方式来保证正常上网;
3、特征判别码是从相关的非法程序中提炼出来并重新编写的,属于动态类链接程序,是个专业性很强的工作,必须通过专门的编程工具来编写,并通过专门的汇编工具写入(链入)防火墙程序中,ZoneAlarm等防火墙也是这样的;
4、内置功能不属于防火墙的组件,因此如果没有通过专门的汇编是看不到。
