转贴
揭开PCAUDIT穿透防火墙之迷
我在拿到PCAUDIT这款安全测试软件后,首先在自己使用的机器上进行了测试,结果这台机器的安全防线很块就被PCAUDIT突破。这结果并没有让我有什么不安,毕竟这只是一台普通的机器,但是看着安全测试页上机器的全屏截图,我还是决定在服务器进行一下测试。
结果在服务器上的测试结果令我非常吃惊,抛开硬件安全设备不说,单单只说已经安装所有补丁其整个系统我也精心设置了,可为什么还是在短时间就会被突破呢?更奇怪就是系统使用的软件防火墙竟然没有任何反应!这97K的安全测试程序,又一次点燃了我对安全测试的兴趣。
通过监控软件我发现当PCAUDIT运行时会出现RUNDLL32.EXE这个系统进程发送对外连接请求,此时有些防火墙会出现提示会询问用户是否放行,但是无论用户选择什么都是无法通过PCAUDIT的测试的。通过监控我发现依次会有management,Instumentation,RunaDllasanApp……等系统程序会有对外连接请求,由于这些都是系统本身自带的程序所以当这些软件有对外连接请求的时候一般的防火墙都不会询问用户而是直接放行!当你认为自己禁止上面这些所有的系统程序的连接请求时就会通过PCAUDIT的测试,那你就太小看PCAUDIT因为此时这个测试软件会扫描系统,把所有自己可以利用的程序都利用上!当防火墙提示VIRUSSCAN杀毒,天网/黑冰防火墙等等你熟悉的软件有对外连接请求时你会放行吧?但是如果你放行了就中了PCAUDIT的圈套!因为PCAUDIT就是通过这些你认为100%不会有问题的连接泄露你的信息的。这才是PCAUDIT最大的秘密!(由于大家的软件环境不同所以用户不要指望通过高手发布的防火墙规则来通过PCAUDIT的测试)
从短期来看,普通用户能否通过PCAUDIT的测试并没有什么太大意义,因为要用户通过测试也意味这自己多数有用的对外连接都将被自己的防火墙拦截,这是不现实的!对于网站的管理员来说,PCAUDIT可以轻易的摧毁你的自信。没有绝对安全的系统,也没有100%没有问题对外连接请求。
但是从长期来看PCAUDIT将预示着一个新的木马时代的来临,因为从某个方面来说PCAUDIT就是一个木马,它已经完全打破通过防火墙来抵御木马的传统观念,因为这个准木马可以利用任何防火墙信任的进程对外发送信息,如果说在见到PCAUDIT时木马还在特洛伊城外时,那么现在木马已经进入特洛伊城并且夜幕即将来临。
虽然PCAUDIT仅仅是一款安全测试软件,但是鉴于其对以后木马有深远的影响我希望瑞星将其列为病毒,并通过它完善防火墙系统
