[转载]关于SP2自带防火墙可能被绕过的问题
信息来源:黑客基地前几天看到一篇题讲述WindowsXP SP2自带的防火墙Windows Firewall的一个问题,就是任何程序只要具有管理员权限,就可以在注册表中添加一个键值,从而使Windows Firewall允许该程序接收外部数据的进入,这样就可以与外网畅通无阻地传输数据!因为这些操作都是后台进行的,所以用户根本不知道。
这个注册表键
位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\ Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
数据类型: 字符串
语法:
1 字符串名:
字符串名是用来标识该程序的,默认是用程序的完整路径作为字符串名。
2 字符串数据:
由程序的完整路径开头,然后再以 : 隔开,后面依次为端口,操作,防火墙中的显示数据。比如:
C:\Program Files\MSN Messenger\msnmsgr.exe:*::MSN Messenger
这个表示C:\Program Files\MSN Messenger\msnmsgr.exe的这个程序,*代表任何端口,Enabled表示允许(Disabled表示禁止),在防火墙中显示的数据为MSN Messenger。整句话完整的说就是:允许C:\Program Files\MSN Messenger\msnmsgr.exe程序接收任何端口发来的数据,并在防火墙中项目显示MSN Messenger
对于我们学习黑客技术的朋友一定会遇到过这样的问题,就是在使用工具时对防火墙的拦截十分苦恼,自己辛辛苦苦上传了的后门就被防火墙拦截了,致使许多木马都默认自动杀了常见防火墙进程,但这样非常容易让别人察觉出来,最简单的方法就是在防火墙允许列表中添加自己的木马而不被发现。
我认为不管防火墙列表是注册表键值还是文件中的数据,无论是哪一种保存方法,都应该加密数据,不能让程序如此轻而易举地绕过防火墙。
目前SP2普及很快,越来越多的Windows用户会使用SP2的Windows Firewall,那么就是说只要以管理员权限运行一个未知程序,如果是病毒的话,那么它就已经可以正常和外界通讯了,而这些自己是完全不知道的!如果SP2再出现SP1中的ms03049那样的溢出漏洞的话,如果许多用户的XP SP2管理员密码还是弱口令的话,那么利用木马种植工具就会更容易入侵了!
在此提醒那些初级用户,最好不要使用Windows Firewall,使用第三方防火墙;或者平常使用电脑时以Users组用户登录,这个一般人不太愿意。 我查看了一下,我的电脑那里有4项吔!!!
听你一说,那我这不是很恐怖??!!!!
页:
[1]