环境:windows
背景知识除了这两天不停的goolge外,几乎为零。我喜欢新鲜的东西,加上又是安全方面的,我肯定全力以赴的去做。不过这个是一个挑战。因为windows的操作系统,懂得很少,不像linux至少还浅浅的研究过。而且最近也一直在研究linux kernel,和 linux shell。
不过还算比较幸运,今天找到了一些比较有用的资源。至少知道应该去学习什么东西。在windows的用户态下只能在socket,准确地说应该是winsock的层次上,而对于网络协议栈中底层协议的数据包无法进行处理。对于一些木马和病毒来说很容易避开这个层次的防火墙。 那就要利用驱动程序来拦截数据报。主要有以下方法:
1、TDI过滤驱动程序(TDI Filter Driver)
2、NDIS中间层驱动程序(NDIS Intermediate Driver)
3、Win2k Filter-Hook Driver
4、NDIS Hook Driver
对于这些知识我只是,粗略的了解而已!!在接下去的一些日子会深入,当然要实现防火墙还有过滤规则。
在接下去的一段日子,应该会非常的忙碌------赣能系统,soa,这个防火墙,学院网站,教务还有很多bug今天下午去办公室,老师正在因为这个一个bug引发的结果人工的在那排课。我觉得应该把花哥他们叫回来等这个系统用一段时间后再放他们,不然这系统我要改到什么时候!!!有点痛苦,而且没有任何文档之类的东西,只能通读读出问题的模块代码然后改,有的时候遇到几个模块的数据交叉使用的bug那就郁闷了,还要在代码中看清数据的流程。反正是一个苦差啊!!!!!
windows下基于ndis的防火墙待续中……