创建时间：2002-10-21文章属性：原创文章提交：flashsky (flashsky1_at_sina.com)作者：FLASHSKYEMAIL：flashsky@xfocus.org站点：www.xfocus.net  www.shopsky.com转载请注明原作者安全焦点在普通的WINDOWS 2000下实现实现包过滤的方法主要是书写NDIS过滤驱动程序，需要的技巧比较高，而且烦琐，需要

Copyright © 2003 by Stephan Wolf. All rights reservedAny device driver that you write has the potential risk of crashing the system. Thus, you should intensively test your driver before shipping it.

1. 简介httptunnel是通过HTTP通道来传输其他协议数据的工具软件,下载地址为:http://www.http-tunnel.com,目前最新版本3.0.52. htchtc是客户端,安装在防火墙内部网络一侧htc源文件包括htc.c, common.c, tunnel.c, http.c, base64.c这几个文件和port目录下的库程序流

互连网技术屏蔽了底层网络硬件细节，使得异种网络之间可以互相通信。TCP／IP协议组是目前使用最广泛的网络互连协议。但TCP／IP协议组本身存在着一些安全性问题。这就给“黑客”们攻击网络以可乘之机。由于大量重要的应用程序都以TCP作为它们的传输层协议，因此TCP的安全性问题会给网络带来严重的后果。 §1 TCP状态转移图和定时器    TCP状态转移图控制了一次连接的初始化、建立和终止，该图由定义的

基于HTTP的QQ协议V1.1的不完整成果,拿出来与大家分享一下。 大家说到QQ协议都觉得很神秘，是因为QQ不像MSN或者ICQ协议都已经官方公布了，而QQ的没有公布。研究 它的人也不是特别的多，虽然已经有了基于QQ协议所写成的第三方软件 foicq, qq plugins for gaim, LumaQQ，但是由于他们是基于二进制Stream的协议过于复杂，大家阅读代码也有一定的难度，再加上网络

编程实现重起网卡等设备    今天水木上有位朋友问我如何卸载WinPCap的驱动。因为此类驱动跟网卡绑定很紧密，卸载的时候最好是要把网卡重起一下（SnifferPro就是如此）。而重起网卡的程序实现又很少有资料介绍，前段时间好容易看到一篇文章，居然是用字符串查找到控制面板下面调用applet，呵呵，够狠 -_-b。刚好前几个月有同事有类似需求，我写过一个命令行下重起网卡的小工具，就把它翻出来大

Network Working Group P. SrisureshRequest for Comments: 2663 M. HoldregeCategory: Informational

Version 3, with UDP and TCP supportCheck Your Network Address Translator for Compatibility with Peer-to-Peer ProtocolsNAT Check by Bryan Ford, web magic by Dave AndersenHosted by the MIDCOM-P2P

    以下讨论的平台依据是Window XP + SP1, 不考虑Windows其它版本的兼容性问题, 但对NT系列的系统, 理论上是通用的. 方法一: 网卡重启     更改Windows网卡属性选项中IP地址, 通过对比前后注册表, 可以发现以下几处发生变化 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Paramet

ndis_hook.c00004 00014 #include 00015 00016 #include "adapters.h"00017 #include "av.h"00018 #include "memtrack.h"00019 #include "ndis_hk.h"00020 #include "filter.h"00021 #include "

Windows-based operating systems support several types of kernel-mode network drivers. The network drivers documentation describes how to write these drivers. This topic briefly describes the supported

一、什么是ICMP协议？ICMP全称Internet Control Message Protocol（网际控制信息协议）。提起ICMP，一些人可能会感到陌生，实际上，ICMP与我们息息相关。在网络体系结构的各层次中，都需要控制，而不同的层次有不同的分工和控制内容，IP层的控制功能是最复杂的，主要负责差错控制、拥塞控制等，任何控制都是建立在信息的基础之上的，在基于IP数据报的网络体系中，网关必须自

Introduction:I suppose any experienced Internet user knows what is firewall and when it is required. Those of you who interest in exact definition of this term I address to well-known on-line techni

无论Outlook XP还是最新的Foxmail 4.0，都只能在HTML格式的电子邮件中嵌入JPG、GIF格式图片，而音色俱佳的Flash动画却只能作为电子邮件附件发送给好友，你可曾感到遗憾？　　经过一番实验探索，我使用Delphi终于实现了将Flash动画（.SWF格式）嵌入到电子邮件正文中发送的功能，Foxmail、Outlook均可以按照HTML格式的邮件查看，而且263、163等免费电子

CKcmd后门分析by SinbadDec 14, 2001http://sinbad.dhs.org简介 -=-=-=-=--=ACKcmd是提供Win2000下远程命令Shell的一种后门，它使用TCP来传输，但是不同于一般正常的TCP连接有三次握手，ACKcmd仅使用了TCP ACK数据包，所以一般情况下可以穿越防火墙及躲避IDS的检测。ACKcmd采用client/server结构，在目标

// Module Name: Ping.c//// Code by Rise//// Command Line Options/Parameters://        Ping [host] [packet-size]////        host        String name of host to ping//        packet-size    Integer size

是用AutoIt的脚本实现的。用AutoIt脚本，模拟鼠标/键盘操作，设置WIN_2000,WIN_XP设备驱动程序数字签名为忽略。脚本如下：;;;;;/////////////////////////////////////////////////////////////////////     Dim $dlgTitleSysProp="系统属性" Dim $hotkeyDrvSign ="!

零拷贝技术研究与实现作者：梁健（firstdot）E-MAIL：firstdot@163.com感谢王超、史晓龙的共同研究与大力帮助一．基本概念零拷贝（zero-copy）基本思想是：数据报从网络设备到用户程序空间传递的过程中，减少数据拷贝次数，减少系统调用，实现CPU的零参与，彻底消除CPU在这方面的负载。实现零拷贝用到的最主要技术是DMA数据传输技术和内存区域映射技术。如图1所示，传统的网络数

Project leaders: André Bertelli Araújo (lliberte a gmail com) and João Eriberto Mota Filho (eriberto a eriberto pro br). Translated from http://hlbr.sourceforge.net by André Bertelli Araújo (lliberte

原来机器中的Winpcap的版本是3.0，程序总是运行不下去，分析之后得知原来是自己的Winpcap版本出了错，其中的一个函数pcap_findalldevs_ex（），在3.0的版本和3.2的版本中的参数的个数不一样，导致程序出错。事例代码如下：#include #include /* 4 bytes IP address */typedef struct ip_address{ u_char

原文出处：http://www.driverdevelop.com/article/znsoft_ndis-sniffer.mht#xx907xx发布者：soarlove本文简单地介绍了NDIS (Network Driver Interface Specification 即网络驱动接口规范)，以及应用程序如何与一个驱动程序交互，如何最好地利用驱动程序。作为例子，本文提供了一个应用程序使

由于互联网发展的历史原因， TCP/IP 协议及 HTTP 、 FTP 等基于 TCP/IP 协议的各种应用层协议，在协议设计之初均未考虑安全传输问题。随着互联网的发展，国际标准组织虽陆续推出了 SSL 、 HTTP1.1 等具有安全传输能力的应用层协议，但作为应用层承载协议的 TCP/IP 协议仍存在着固有的安全缺陷，造成至今未能有彻底的、低成本的、不需硬件支持的互联网安全传输解决方案。正是由于

TCP/UDP Handle List //// Coded By Napalm// Modified By ZwelL//#include #include #include #include #include #pragma comment(lib, "psapi.lib")#pragma comment(lib, "ws2_32.lib")#pragma comment(lib, "sh

By: andreasThis is the second and last article on how to hook into the NDIS and TDI layer. The approach we will use will be slightly different from the NDIS case. However, a neat side effect is that

Download source code - 41.1 KbIntroductionWelcome to the fifth installment of the driver development series. The title of this article is a little bit misleading. Yes, we will be writing a

这里说的虽然是硬件防火墙，但几乎所有的工作都是软件工作。硬件防火墙的核心是软件。    在开发前，首先要清楚知道自已要需要的是什么类型的防火墙。同为硬件防火墙，大致可以分为高端以千兆为代表的主火墙，中端的百兆企业防火墙，以及低端家庭-小办公室的防火墙（SOHU-SMB）。这三个级别的防火墙的开发方式有很大的不同。高端千兆防火墙的代表产品包括Netscreen的 5000系列防火墙，以及Nodia-

OmegacmLabs: “Firewalls. Outpost Firewall Pro”Basic aims of this document.        In this document it will be briefly told about some features of firewall Agnitum Outpost Pro, initial representa

下载好了WpdPack_3_2_alpha1.zip（下载地址：http://www.winpcap.org/install/bin/WpdPack_3_2_alpha1.zip），解压后除了有文档，例子外还有Include和lib，于是想用TC2来做开发环境，但是编译的时候老是出问题，于是放弃。后来阅读了Winpcap手册后才知道因为是在windows上开发，所以它推荐用VC++6.0，于是改用

////Protocol Wrapper Version 1.05//Author: gjp//email: gjpland@netease.com//#include "NdisHook.h"#include "HookRule.h"#pragma pack(push)#pragma pack(1)typedef struct _HOOK_C

#define MY_PORT   7609   HANDLE hTdiTransport = NULL;                    // handle to tdi transport   PFILE_OBJECT pTdiTransportObject = NULL;        // pointer to tdi transport object   dStatus = Tdi

 I just spotted a scary looking rootkit project:http://www.xfocus.net/tools/200602/uay_source.rarthis is written by a guy called Uay, and it has the makings of a powerful rootkit.He has hook

uty hi,i mAde A bAckdoor this dAys,just for leArning the skills.so some of the code you mAy fAmiliAr :> my english is poor,just reAd the sourcethis bAck door run in ring0 Atfer it gets stArted.And b

关于解决应用层提取NDIS驱动数据包丢包的方案，通过event加共享内存实现 截获的网络封包，很多时候都需要将包的信息或者是包的内容通过win32层显示出来，很多人想到的方法是event加IOCTL，不过这样很容易产生丢包的问题，因为网络接受发送数据包的速度原比event 和 IOCTL的速度要快，也就是说当一个event发到win32层时，win32层通过DeviceIoControl得到数据的

日期: 2004-07-19 16:55更新: 2004-08-17 16:23链接: http://www.opencjk.org/~scz/windows/200408171624.txt--------------------------------------------------------------------------    ☆ NDIS Protocol Driver   

1]给了一张Windows网络架构图，有助于理解NDIS，推荐入门者先看看这张图。[2]有一些关于Windows网络架构的讨论，这只是一种个人学术观点，仅供参考，不可当成官方结论。NDIS(Network Device Interface Specification)提供一个系统的、完整的Wrapper，NDIS Miniport Driver、NDIS ProtocolDriver等等均属于"插

免费第一个miniport.c #include "precomp.h" #include "pgpNetKernel.h" #include "stdio.h" #pragma hdrstop BOOLEAN VpnAdapterCreated = FALSE; extern UINT MediumArraySize; NDIS_STATUS MPInitialize( OUT PNDIS_ST

1.xfiter firewall(朱的代码,已经包括在出版的书籍中,可以参考)2.ndis fw)多个版本,俄罗斯牛的东西,3.apf fw(就是noname ,fracker牛,1.1 ,1.3,1.4) miniport 函数的hook,有创新4.ndishook1.c(gjp,大牛的)5.破解的PCAUSA代码(win9x的,universal 未发现)6.tguard

假如我获得的数据包如下所示，这里有两个数据包，一个长度590，还有一个长度110。Packet length : 590005dba36:00 00 5a 42 40 86 00 10 7b 3b 90 f5 08 00 45 00005dba46:02 40 d3 2a 40 00 7f 06 08 24 85 fc 09 70 85 fc005dba56:09 01 04 72 00 14 0

Kernel mode sockets libraryIts my birthday today (just turned 31 the 31st december, funny eh ?!), i wanted to publish something, it makes me feel alive. Christ lived 33 years only, if id be the new

网络数据包拦截通用技术 作者:甘嘉平 (gjp)看到很多仁兄提供的数据包的拦截技术，其中最多的是编写IM DRIVER在NDIS中间层 对MINIPORT（网卡驱动程序）和协议驱动程序之间的数据包进行拦截。这是微软提供的一种技术 但编写该过滤程序拦截程序非常的复杂，安装也很麻烦。 本人简单的介绍一种更有效的基于NDIS包拦截技术。 大家都知道，NDIS协议驱动程序是通过填写一张NDIS_PROTO