Wie funktionieren Desktop-Firewalls?
-
Hallo,
nach langem Überlegen habe ich mich entschloßen diesen Thread im WinAPI Forum zu posten.Die Frage läßt steht ja bereits im Topic: Wie funktionieren Desktop-Firewalls?
Also wie erkennen diese Programme den Zugriff auf Netzwerkressourcen? Per API Hooking? Oder gibt es andere verwendete Techniken? (Welche?)
-
Wahrscheinlich über nen treiber...
-
Bufferoverflow schrieb:
Wahrscheinlich über nen treiber...
welchen treiber
ich vermute mal (bin mir aber auch nicht sicher) das ein timer abläuft und und alle x-mal die ports überprüft werden ob sie offen sind. wenn ja wird überprüft ob der service der auf dem port läuft zulässig ist.
api-hooking könnte ich mir allerdings auch sehr gut vorstellen.
-
wenn ja wird überprüft ob der service der auf dem port läuft zulässig ist
dann kann es auch schon zu spät sein. diese technik ist nicht sonderlich empfehlenswert.
in erster instanz bietet sich api-hooking auf jeden fall an. wenn man so ein dingen selber schreiben will, sollte man mit den funktionen listen, bind, connect, recv, send bzw. deren pendants aus der WSAxxxx gruppe anfangen.
noch effektiver aber auch entsprechend aufwendiger ist natürlich die methode, eine art treiber-aufsatz zu schreiben, der die pakete checkt bevor sie an das net-api weitergegeben werden. eine art low-level paket filter.
rocknix ///
-
Hallo,
miller_m schrieb:
welchen treiber
Treiber ist schon mal gar nicht so abwegig, das ist tatsächlich eine der Möglichkeiten, ansonsten verbleibt Winsock-Hooking. Ein Ausgangspunkt zu dem Thema findet sich unter
http://www.internals.com/articles/apispy/apispy.htm
im Abschnitt "Winsock Hooking"
MfG
-
meistens geschieht das über NDIS kernelmode geschichten (und NICHT über api hooks)
http://www.ntkernel.com/utilities/tdi_fw.shtml
seit windows xp gibts auch nen API für firewalls http://msdn.microsoft.com/library/default.asp?url=/library/en-us/network/hh/network/fltrhook_68rr.asp