灰鸽子工作室的另一大作

灰鸽子工作室的另一大作


                                                                      -----风云防火墙测试手记
                                                                      作者:[url=]HGZ#BeMaverick
转载请注明出处:
[/url]http://bbs.huigezi.net      http://hi.baidu.com/exploit0day
官方主页:http://www.218.cc/

  自从作者放出风声说风云防火墙马上就要问世的时候!我时刻关注着灰鸽子论坛,这里会有人问了为什么是灰鸽子论坛呢?(其实风云防火墙是灰鸽子工作室旗下的产品,其官网为www.218.cc)。最近有幸拿到了作者提供的2009测试版,说是测试版其实就是正式版上市前我先拿到罢了。在这里感谢黄土平大哥给了这次测试机会。
一.网络防火墙
1.首先看下风云防火墙的主界面如图(1)



1.JPG (91.91 KB)
2009-3-19 03:21 PM


图(1)

    很明显能从防火墙的左侧看到各项协议的发包数量和速度,而且还有对应的相应拦截数量。让使用者很明显的就能对网络流量进行分析,右侧则是防火墙一些监控状态的开启和关闭 的按钮,如常规的网络防火墙,APR防火墙,进程,文件注册表监控,但是风云防火墙推出了自己的独特监控模式,这个在别的防火墙里面几乎没有出现过,这就是特征码防马和密码框保护。之所以有特征码防马这个也是风云防火墙的一大亮点,现在网络上的各种远程控制软件层出不穷,而且有一半以上的木马都是灰鸽子的变种,这也是促使作者开发这款防火墙的初衷吧,有了上面的这些监控肯定会给电脑新手带来一个纯净的使用环境。下面则是网络流量统计,这个就不用过多的介绍了!

    网络连接也是风云防火墙的一个特色,现在很多的远控软件都是什么插进程的,对于一般用户很难发现。但风云防火墙他可以显示出对外连接的每个进程的端口号及对方的IP和端口,更甚至能显示出对方的地理位置,这项功能更容易让新手来了解自己的电脑是否安全,是否沦为了别的远程主机!就拿我的遨游来说吧如图(2),下面显示出了我的遨游对外的所有连接数及对应IP让人一目了然。


2.JPG (121 KB)
2009-3-19 03:21 PM



图(2)

访问规则和IP端口过滤规则以及ARP防火墙常规的防火墙里面都有这里就不在过多的介绍了!

二.主动防御
主动防御里面包括了常规的一些监控,包括进程监控,文件监控,注册表监控。有了这些功能相信即使你已经中了别人的木马也不回成为沦为别人的远程主机的!
1.进程监控
进程监控模式里面罗列了六项木马的行为监控如图(3)。据我了解在网络的这个“黑社会”里面好多的放马人为了尽可能的让自己马小他们一半都会对自己的免杀木马进行加壳处理的,有的为了逃避杀毒软件的主动防御他们就进行修改系统时间从而达到使杀毒软件失效的作用从而保护自己的生存。有的甚至不惜暴露自己而强行将其他安全软件进程进行强行终止。有了风云防火墙的这些进程监控模式我相信恶意木马肯定会原形毕露的。


3.JPG (85.43 KB)
2009-3-19 03:21 PM


图(3)

2.文件监控
文件监控对常规及非常规的可执行文件进行了相当严密的监控,每当你试图运行一个可执行程序时防火墙就会弹出下列提示如图(4)


4.JPG (39.82 KB)
2009-3-19 03:21 PM


图(4)

在文件监控界面如图(5)中使用者可以添加对应的规则,如允许某个文件夹下的文件运行,或者阻止某些文件运行等。


5.JPG (79.45 KB)
2009-3-19 03:21 PM


图(5)
3.注册表监控
注册表监控又是阻止木马病毒运行的另一个好方法。她可以对进行注册表修改的程序进行监控,从而阻止那些非法行为的程序运行,也可以选择忽略某个键值不被监控或者阻止某些键值禁止被修改。界面如下


6.JPG (129.1 KB)
2009-3-19 03:21 PM


图(6)


三.系统检测
系统检测这里面的八项功能是木马病毒最爱占据的巢穴了,在这里面有80%的木马病毒将会显出原形。
1.进程管理
在进程管理如图(7)的这一项中不仅显示出了进程的名字,ID这些在任务管理器可以看到的信息,更重要的是他把运行程序所在的路径及程序自身的信息等这些在任务管理器根本无法显示的也显示了出来!


7.JPG (129.89 KB)
2009-3-19 03:21 PM


图(7)

2.常规启动项管理
常规启动项管理里面的信息就是我们在运行里面输入msconfig所看到的结果
3.服务启动项管理
服务启动项管理就是我们在运行里面输入services.msc所看到的结果在此就不再介绍
4.插件管理
插件管理里面显示的是一些在系统里面注册的Dll文件及一些组件
5.文件关联检测
说一下这项吧,现在好多的木马病毒就是运用了注册表的文件关联,当你辛辛苦苦的把病毒杀掉了,但是如果你不小心运行了他关联的扩展名文件,那么恭喜你你还得重复上面的操作一次。

6.Hosts文件管理
Hosts文件管理主要是显示出来C:\WINDOWS\system32\drivers\etc\hosts这个文件的内容,好多的恶意插件也是利用了Hosts,把一些常去的网站劫持到恶意软件指定的网址上已增加他网站的点击率。
7.修复IE故障
这项的工作就是修复那些被恶意插件或者病毒篡改的网页设置。从而解决那些受害者不能使用浏览器的问题。
8.SSDT
这项有可能有好多的人不知道是什么,这里我简单的介绍一下。SSDT的全称是System Services Descriptor Table,系统服务描述符表。通常来说此表与链接系统内核的API密切相关,这个表就是一个把ring3的Win32 API和ring0的内核API联系起来的角色。对此有一项应用就是杀毒软件的主动防御,当然病毒也可以通过修改主动防御的SSDT来绕过杀软的主动防御。大家看到这些也应该明白了吧。我也就不再多说了!

总结
  至此灰鸽子工作室出品的防火墙我就介绍到这,由于本人技术有限文章中难免会有一些技术性错误还恳请老牛指出。我相信熟知灰鸽子源代码的作者开发出的风云防火墙肯定能抵挡住网络中的那些让人闻风丧胆的远程控制木马。还网民一个洁白的天空! 本人QQ:366754756。验证答案[D.B.G].原与志同道合的你交朋友

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; 51Logon.com; .NET CLR 1.1.4322; CIBA; .NET CLR 2.0.50727; MAXTHON 2.0)