回复 20楼 kbsjaqtz 的帖子
嗯!! 这东西, 要一些做测试,一边设置规则.到时候,就很好理解了. 否则, 越看越迷糊. 当然.我刚刚开始学时.
由于是自学. 所以, 迷糊了一段时间. 现在, 设置起来.相当轻松.
回复 20楼 kbsjaqtz 的帖子
你把本人的回复贴, 加上主题, 全一字不漏的看完.然后,再实际的操作一下子. 差不多就全明白了! 你得这种想法其实很早就有了,关于端口(出或是入),Lns防火墙很早就开始搞这个,前几年火的很。LNS防火墙在封端口上可以达到巅峰之作,但仅仅而已。
我只给举一个简单的例子就可以完全破灭你的100%完美的理论基础。
你封出站的也好,入站的也好,前提是你起码对你联网运行的程序比较有把握,没有把握的联网程序在进程里查到也好,查不到也好,你感觉可疑就封嘛。anti-virus tools & firewall 永远落后于病毒,而我现在要搞的恰恰就是自己认为有把握的联网程序,现在假使你在用系统的Windows Media Play 在联网看电视或是电影,你肯定要开port,是吧,而你这个wmp恰恰被人修改了pe植入了木马,做到了免杀。
你自己说,这时封port还有用吗?这种情况就要通过在port的基础上进行特征码的检测才行,而有些NB的木马可以做到动态改变特征码,反病毒技术就要更进步才行。虚拟机,启发式之类的才被人提出来。
所以,封port(不管In 还是Out)是没有用的。你认为仅仅通过封port就可以彻底搞定木马病毒,那是你的认识还在几年前,你还没有被真正的cracker和hacker所碰到。
[[i] 本帖最后由 justfor 于 2007-10-16 15:21 编辑 [/i]]
回复 23楼 justfor 的帖子
哦! 是吗?[quote] wmp恰恰被人修改了pe植入了木马 [/quote]
不好意思? 你所说的东西, 只不过,是程序感染.
而且. 不管, 你说, 我这是几年前的东西也好. 还是怎么.
但关键就在于, 本人从来没看到过, 谁的文章,发表过端口方面的! (一般也就是如何封本地端口.这种过时
的东西! 而封杀外网端口. 这种解决滞后性的问题,有谁提出来过? )
先不谈,你的感染病毒. 只谈插入式进程. 这种东西, 插入到系统进程中,或者IE中.
就会访问网络.那么,使用netstat -ano 就可以查的出来. 直接封掉IP就行了.
而,程序感染,相对比较特殊. 但,像VING. 感染后, 程序根本不可能正常运行.
一眼就看的出来.
你说, 我的认识还在几年前?? 本人,根据, 反弹木马的特性所做出的规则.
绝对是最强的!! 根本无需怀疑. 防火墙的滞后性. 已经被本人彻底解决!
不管是什么黑客, 我说了很清楚, 只要用了,本人规则. 被 攻击可能性为0
被黑可能性为1%. 也就是如果黑客使用80端口. 那一定要自行判断.
其它的, 照样全封!
[[i] 本帖最后由 xqiafl 于 2007-10-16 16:16 编辑 [/i]] [quote] 而我现在要搞的恰恰就是自己认为有把握的联网程序,现在假使你在用系统的Windows Media Play 在联网看电视或是电影,你肯定要开port,是吧,而你这个wmp恰恰被人修改了pe植入了木马,做到了免杀。
[/quote]
是的. 卡巴默认确实, 允许很多程序访问网络. 其中就包括WMP.
它默认:80-83, 443, 1080, 3128, 8000, 8080, 8088, 11523 就允许这些端口访问!
只要木马的端口是期中一个就可以了. 但关建就在于. 你如何感染?
你能保证, 感染后, 程序还一定能够正常运行吗? 这显然不可能.
你WMP 感染病毒后, 还可以在网上,看电影???
说实话: 我以前中过VING. 中了之后, 虽然程序可运行. 但已完全变形了.
一眼就看的出来/. 被病毒感染后, 这个程序前,后,根本就不同了.
感染问题, 从不在本人考虑范围之内, 原因很简单. 用户一旦被感染.
首选,就是格盘. 从装系统. 根本就不需要再做什么了.
难道, PC机,被感染了. 它还会继续使用.????? 这显然不可能!
如果,不是感染. 就算,过了卡巴主动防卸和表面查杀. 这个规则. 一样拦截!
你如果, 还认为防火墙, 有滞后性, 那我只能说, 你的思路已经存在于05年了.
因为. 我06年用ZA 防火墙时, 它就可以做到这点. 比卡巴做的更好.
即使, 建立的合法联接. 那么, 它依然, 会扫描这个连接. 只要一个非法动作. 就会报警!
就一般,防火墙而言, 确实存在带后性, 但,卡巴KIS 和ZA 已不存在. 带后性.
如果, 使用他们还存在, 只能说, 你不会用!
这些规则. 都是拿木马,做测试. 的后的结论. 我文章中说的很清楚.
即使卡巴可以封远程端口. 但黑客换个端口. 那就又郁闷了.
如此. 就显得很被动. 所以, 本人根据, 防火墙的被动性, 已经自己设置出最强过滤包规则了.
已完全不存带后性!
虽然, 现在听说有反弹木马可过ZA6.0 但, 具体是怎么过的. 我没去测试.
但,我测试了卡巴了. 一运行.那个所谓的过主动防卸木马,机子就蓝屏了.
不要,说我, 没碰到真正的黑客, 什么的.
你也不需要把黑客想的那个神秘. 国产黑产, 有什么本事. 本人学了二年黑. 已经很清楚.
而且是彻底的清楚!
[[i] 本帖最后由 xqiafl 于 2007-10-16 15:51 编辑 [/i]] 远程端口这个东西,又不是只有卡巴和ZA有,你的话太绝对了~!
说白了不过就是包过滤规则而已~~~
比如BT,你怎么封远端?所有的BT软件端口都是随机的!那么如果一个木马插入BT的进程,你怎么办? 另外,你说的远程端口,80,53,443你不能封吧?难道人家玩木马的,不会用这些端口外联吗? [quote] 所有的BT软件端口都是随机的!那么如果一个木马插入BT的进程,你怎么办? [/quote]
老兄啊!! 我实在是不好在说了!
你认为一个木马会插入BT进程吗? 我晕了!
插到这个里面,
一不能开机自动启.
二. 只有当. 运行它时, 才有有效果. ; 这样,很容易被K掉的!
再说, 那个木马, 它怎么就知道, 哪个电脑中使用了BT. 哪个电脑中没使用???
这个是不实现的. 插入进程. 卡巴就会报警了!! [quote] 另外,你说的远程端口,80,53,443你不能封吧?难道人家玩木马的,不会用这些端口外联吗? [/quote]
说的好!! 这个就是规则肓区. 主要就是体现在80, 443 这两个上面了!
如果,黑客调用这两个端口. 即使是程序规则, 也拦不住.
我上面说的很清楚. 如果黑客使用这些端口. 那你只能手动分析!
就算是程序规则. 也一样要手动分析!
但关键就在于, 并不是所有黑客都会使用这两个端口的.
当然,使用80的较多. 但, 一瞬间就会被发现的.
当反弹木马, 客户端使用了80端口时.
那本地,程序就会去访问, 这个远程的80端口. 此时, 只要把相应的IP封了.就完事!
其实,规则,都是死的. 主要就是灵活运行!
我这个环境,是模拟的. 主动防卸和表面查杀都被木马突破的可能性. 所以做的一些防黑准备工作!
之所以, 在远程, 在封掉,那么多的端口. 就是要防止防火墙的滞后性!
当然, 如果,使用ZA的话, 基本上不具备带后性. 完全可以做到!
详细情况, 你自己去装个ZA . 先让反弹木马运行. , 再开ZA .
此时, 如果. 你想, 去浏览,肉鸡的文件. 那么. 防火墙就会报警了.
因为. 就算是信任连接, 在重新建立会话, 它一样会扫描数据的合法性!
[[i] 本帖最后由 xqiafl 于 2007-10-16 16:02 编辑 [/i]] [quote]原帖由 [i]xqiafl[/i] 于 2007-10-16 15:54 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=1902703&ptid=144028][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
老兄啊!! 我实在是不好在说了!
你认为一个木马会插入BT进程吗? 我晕了!
插到这个里面,
一不能开机自动启.
二. 只有当. 运行它时, 才有有效果. ; 这样,很容易被K掉的!
再说, 那 ... [/quote]
当然,我只是举例子!事实上配合卡巴的主防来用,的确还是有效果的!不过说最强恐怕言过其实!
看看我截的图,不就是指定远程端口的设置吗?大部分的防火墙都有这样的功能,就看你如何创建规则了!
你去看看xyzreg的《所有的防火墙都很弱》,再看看防火墙区的VNC规则包吧!
软墙有软墙不可避免的缺陷的!!
另外,注入BT不是什么新鲜事!至于说卡巴报警,目前的条件下,也不是没有病毒能干掉卡巴的,起码,一个免杀加一个时间批处理就能做到了!有些病毒会注入到所有进程里面,保证自己不被kill!只要取得了一个进程的权限,那么利用它来外联,相信不是什么困难的事情~~~~
其实对于你提出的封禁远程端口的问题,很简单,我只要在防火墙规则后面加两条规则就能搞定了!包过滤是从上到下依次匹配的,我最后写一条规则,封禁所有的远程端口,只要上面已经创建的规则没有匹配的连接都封禁!那不就OK了?
[[i] 本帖最后由 jpzy 于 2007-10-16 16:06 编辑 [/i]] [quote] 远程端口这个东西,又不是只有卡巴和ZA有,你的话太绝对了~! [/quote]
你去试试,其它的访火墙, 一封就不能上网了. 是的. 它们是都有. 但关键在于,
能不能达到理想中的效果! 这才是主要的!
个人,保留个人的想法吧!!
由于,我做过测试. 所以,我只认死理.
那就是: 包过滤的精华. 在于封远程端口. 如果只是封本地端口.
还不如不封!
很明显! 主动防卸,将会终结,杀软的滞后性.
封远程端口. 同样,会在某种程度上, 局部性终结滞后性!
毕境, 防火墙不是杀软.
一句话: 不管,怎么样. 你只要打全系统补丁.
装上卡巴或MCAFEE或江民. 那你的中毒性本来就可以降到最低.
再用上本人的规则包. 显然会成为最强! 当然,推荐使用卡巴!
回复 30楼 jpzy 的帖子
嗯!! 完全正解!!!顶起! 看了半天我来说两句:我没有LZ那样高深的技术水平,所以我不敢在技术上说怎么样,但就觉得你个人太狂了点,除了卡巴和ZA其他的都是烂的?到现在我还没有看到有谁敢这样说的。[:07:] 而且你自认为学了两三年黑就认为自己有多了不起了,什么史上最强,出了个什么规则包就无敌了之类的,做人要谦虚和低调,不知道这样的道理你知道不[:06:] ?论坛里比你水平高的我相信有很多,但他们从来都没有像你这样的狂妄自大,有了点皮毛技术就飞上天了,这叫满瓶不动半瓶摇!这点我无视你。[:08:]
[[i] 本帖最后由 dwj001 于 2007-10-16 16:55 编辑 [/i]] 真是够强的,学习了。 [quote]原帖由 [i]xqiafl[/i] 于 2007-10-16 15:36 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=1902642&ptid=144028][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
不好意思? 你所说的东西, 只不过,是程序感染.
而且. 不管, 你说, 我这是几年前的东西也好. 还是怎么.
但关键就在于, [color=red]本人从来没看到过, 谁的文章,发表过端口方面的![/color] (一般也就是如何封本地端口.这种过时
的东西!)
而,程序感染,相对比较特殊. 但,像VING. [color=red]感染后, 程序根本不可能正常运行.
一眼就看的出来.
[/color]
你说, 我的认识还在几年前?? 本人,根据, 反弹木马的特性所做出的规则.
绝对是最强的!! 根本无需怀疑. 防火墙的滞后性. 已经被本人彻底解决!
不管是什么黑客, 我说了很清楚, 只要用了,本人规则. 被 攻击可能性为0
被黑可能性为1%. 也就是如果黑客使用80端口. 那一定要自行判断.
其它的, 照样全封![/quote]
[quote][color=red]只要木马的端口是期中一个就可以了. 但关建就在于. 你如何感染?
你能保证, 感染后, 程序还一定能够正常运行吗? 这显然不可能.
你WMP 感染病毒后, 还可以在网上,看电影???
说实话: 我以前中过VING. 中了之后, 虽然程序可运行. 但已完全变形了.
一眼就看的出来/. 被病毒感染后, 这个程序前,后,根本就不同了[/color].
[/quote]
呵呵,知道什么是牛人了。~~~~~~~
计算机世界浩如烟海,你没看到的东西多着呢,你没看到人家发表封port来防木马的文章那是这个根本没啥含量,早就过时了,高手随干这事情。呵呵。
我说pe文件植入木马,你说: "程序感染,相对比较特殊. 但,像VING. 感染后, 程序根本不可能正常运行. 一眼就看的出来. " 呵呵,我算是百说了,你根本就没明白是怎么回事。看你的回复,我感保证你没写过程序,起码没写过系统程序。你都不知道如何debug和trace一个PE程序。PE 的意思就是 Portable Executable(可移植的执行体)。Win32环境自身所带的执行体文件格式,研究PE 文件格式是我们洞悉Windows结构的良机。了解PE是一切在windows平台上的cracker和hacker的基础的基础。通过Win32汇编或是C编写PE插入式病毒是牛人的基础。
举一个例子在PE Loader一个程序之前,病毒可以直接修改代码开始执行位置,将病毒本身分散插入到每个Pe节的空隙中,将病毒本身先与程序load于内存,强悍的病毒可以隐藏自身,变化本身的特征码,做到免杀不是什么难事。这个还只是举一个ring3级别的例子,更将强悍的编写DDK级别的病毒直接进行ring0内核级别的rookit。你连毛都摸不到。举的这个例子,不知道你看的明白否,估计你只能意会一下。举这个例子就是形象的告诉你,病毒分散插入式一个pe程序,并非感染一个程序使它不能运行。魔鬼上身,可以与人同行。
[quote][color=red]是的. 卡巴默认确实, 允许很多程序访问网络. 其中就包括WMP.
它默认:80-83, 443, 1080, 3128, 8000, 8080, 8088, 11523 就允许这些端口访问!
只要木马的端口是期中一个就可以了. 但关建就在于. 你如何感染?[/color]
[/quote]
呵~~~犹太人说20%的人掌握80%的财富,不是吗。满大街的盗版系统不都是哪来就安装,网上一堆的系统不是一样
哪来就用,有谁会还说我被别人操纵为肉鸡了。我是最NB的,最酷的,最吊了,我的系统安全着呢。
很好,很强大。~~~~~~~
[quote][color=red]感染问题, 从不在本人考虑范围之内, 原因很简单. 用户一旦被感染.
首选,就是格盘. 从装系统. 根本就不需要再做什么了.
难道, PC机,被感染了. 它还会继续使用.????? 这显然不可能!
如果,不是感染. 就算,过了卡巴主动防卸和表面查杀. 这个规则. 一样拦截![/color] [/quote]
呵~~~~~~~~
就你这种见解,我都懒的回了。腻水了。
爱迪生说过,99%的勤奋+1%的灵感=成功。 这话对病毒而言太对了,失败99次,只要逮住机会成功一次,它就是Winner。anti-virus干掉了我99次,但你失败了一次,你就是loser,永远就是loser!!矛与盾的哲学就在这里。病毒不需要鲜花,不要掌声,不怕嘲笑,我只要一次机会。。。。。。
[color=#ff0000]“PC机,被感染了. 它还会继续使用.????? 这显然不可能!” [/color]呵呵~~~~~ 那点硬件费用算了啥,搞掉你的数据是病毒走向死亡达到最大的巅峰,生的渺小,死的伟大。这是010101的世界。。。。。。
口出狂言,小弟我是大大的不敢,我都不是hacker,也不会写nb的病毒,只不过是个普通的混饭吃的小人物罢了,呵呵。我前面回贴,你都看不懂我的讲述。你连pe格式都不懂,还敢号称学黑两年,你怎么在windows平台上混啊,难到是黑客工具操作两年。呵呵。所以我又不得不费口水了一帖解释了一遍。不知您老大明白了一点否,封port是没有用的。这是最后一帖哈,88了。[:13:]
[color=red]~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~[/color]
[color=red]~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~[/color]
老大同志,我马上要去吃饭了。我其实真的没别的意思,没有丝毫嘲笑或是讽刺你的意思。
就是想告诉你别认哪个死理,封port是没用的。病毒运行一次和运行100000000次是一样的。你应该仔细体会一下。别钻牛角尖。我很佩服你的钻研,但不要钻牛角尖,你会更牛逼的。我先祝福你一把。
88,走了。祝你进步!!!!
[color=red]~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~[/color]
[color=red]~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~[/color]
[[i] 本帖最后由 justfor 于 2007-10-16 17:56 编辑 [/i]] [quote]原帖由 [i]dwj001[/i] 于 2007-10-16 16:53 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=1903013&ptid=144028][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
看了半天我来说两句:我没有LZ那样高深的技术水平,所以我不敢在技术上说怎么样,但就觉得你个人太狂了点,除了卡巴和ZA其他的都是烂的?到现在我还没有看到有谁敢这样说的。[:07:] 而且你自认为学了两三年黑就认为自 ... [/quote]
老兄,小猪我忍不住了。
你没有技术那么你就没有说话的权利。楼主狂,是因为楼主有能力,如果你有能力那么你也可以狂。
我们这些小白,就好好的学习,看他们的技术大战好了,不要乱插话(如果有带点建设性的话可以,废话就算了,影响大家的学习)
回复 33楼 dwj001 的帖子
从防火墙的规则包上面来讲, 应该是最强了..说实在的. 我实在是找不到. (除了80端口能被突破外) 其它的有什么问题了.
当然. 有了强大的规则包, 还要配合程序规则, 才能算是真正的完美!
技术比我,你好的, 当然很多. 很多. 国人黑客又算得了个什么. 一堆鸟人. 说实话.
即使, 本人,不用这么变态的规则, 本人也不把国内黑客,当满大个事!
但,本人一向就很狂.
这种狂妄,并不是对于, 你们而言. 而是,那些,喜欢装B 的.黑客而言.
本人技术, 说实话. 确实,不怎么好. 但本人已具备足够的实力. 保证,本人电脑的安全.
这个过滤规则包, 本来就已经很强了. 这是事实.
因为.本人现在实在是太自信了. 所以, 已藐视国内, 任何一个黑客/
虽然,黑的水平一般, 但防的水平. 也是专业水平. 所以, 这里的狂妄只对那些垃圾而言.
防火墙, 我只相信卡巴和ZA . 其实, 是本人我觉得其它防火墙,
根本不够格称为防火墙. 滞后性. 太强了. 而且连弥补的空间都没有!
虽然.卡巴,ZA 也有滞后性, 但起码. 可以弥补.
所以, 本人也只能,说,那些,墙, 很垃圾.
[[i] 本帖最后由 xqiafl 于 2007-10-16 17:37 编辑 [/i]] 各位大虾,小猪提一个建议
你们说的时候能不能稍微的上一些图,这样我们低层次的小白比较容易学习到一些东西~~~
回复 35楼 justfor 的帖子
首先,本人明确表态, 本人是不会写程序!你说的,本人暂时无法看懂. 本人是纯程序盲.
现在,暂时没的时间学!! 以后会提高的.
只学过, ASP,MSSQL. 这些东西. . 研究过,服务器, 安全. PC机安全.
只是, 防黑. 本人相信, 即使,不会程序,也一样可以做到完美.
不过,本人知道, 再怎么不得了病毒.木马, 他绝对要访问网络. 即使本人,不调用那个程序.
他也会调用某个程序访问网络. 这是事实!
远程,要开端口. 这也是事实./ 在规则面前, 根本不存在, 牛皮病毒. 与 免杀木马.
这些根本就无任何意义!
即使, 本人不用WMP, 它也要去访问网络!
我以上, 说的对不对!
如果, 它是访问80. 那只能手动封杀. 如果是其它. 那只能说, 在我的规则面前.
没有任何意义!
本人, 也只对你回复最后一次!!
[[i] 本帖最后由 xqiafl 于 2007-10-16 17:53 编辑 [/i]] [:xi14:] 好东西 得好好学习 学习