马上登录【中国家电维修联盟论坛】获取更多更全面的信息!
您需要 登录 才可以下载或查看,没有帐号?请使用中文注册
x
分析WIN9X协议程序一段时间了,也建立了一个简单的“WIN9X个人防火墙”,与大家一起分享。现在主要是改动内核文件实现,等有空做个小程序直接在内存改动,提供选项,随时开关各安全选项功能等,真的成为一个防火墙吧。当然这也有好处,不需要占用内存。
7 ^! e+ x& ~5 i; g1 k1 J 注意改动文件请先备份,到时需要可以恢复。& r4 B: l5 I2 x" A6 c
0 a" s4 E0 ^6 h1 s' ` 1。 不让别人TCP连接的改法,这可以预防别人登录你的机器,进入共享目录,放TCP的木马控制你等,但你也不能使用FTP了,因为FTP数据回传要有外部连接。
3 D$ R) e) G* P' G5 e% h1 X- PDEBUG VTCP.386
1 k7 v8 R$ A. b# L_ D 5D56 2 s3 a5 e5 D" P" _/ u% T
如果显示是 0F 85 8C 01 00 ......那就是这种驱动程序.改, j, F; ], p8 z
_ E 5D56 E9 8D 01 00
) g2 ]7 _: l4 [% n) y+ V" V如果用别的HEX编辑软件修改可以搜索HEX串或者找文件偏移5C56H(从0开始算,注意DEBUG调进去是丛100H开始算)。7 }+ D' y8 Z- y1 W
同样不让TCP连接,但自己可以使用FTP的改法,这只是简单的判断是20端口连接就放行,别的端口的TCP连接不放行,所以只是简单预防(这样别人用20端口可以连接你的TCP服务),不过一般客户端是不能指定端口,也大于1024,所以可以简单的使用。左边是文件偏移,右边是改动后文件与原文件的区别。
' s7 P$ E3 Y; A) N1. C:\WIN98\SYSTEM\vtcp.386: 60,257 b字节
# x% p0 ^0 C) E: S. L( `2. C:\WIN98\SYSTEM\VTCP.bak: 60,257 b字节
( Y+ Y l4 h+ l7 c; S5C3F: 75 740 Z2 j& f: x: h6 H" M# A
5C40: E5 0B" X7 S+ l' y* O& Y: M
5C41: 8B 2B' j1 K f( I/ ?. }0 Q
5C42: 44 C0
4 m0 a( d8 L6 g* x5C43: 24 5D, r7 g2 D: M2 v. d
5C44: 4C 5F
# }- V1 O& ]) ^4 _" w Y e5C45: 80 5E
$ \; o' g0 |( ?/ ]( t' z5C46: E4 5B' k9 `: v' X5 i2 y' m3 [9 r# j
5C47: 16 83/ Y1 f' y! x% O, q. i9 a
5C48: 80 C4) q$ {* T3 x2 n, {" Y/ ^5 }
5C49: FC 40
+ }& S. O" D1 v$ |7 T5C4A: 02 C3! b0 b2 c. v }" n# Y$ ]
5C4B: 0F 904 P1 x! R* g- Y4 y, Z" I2 ?* v
5C4C: 85 8B: M, s- O8 S2 U
5C4D: 97 44; X- Y4 O$ X5 {& ~
5C4E: 01 24
6 S5 _! P* {/ ?& }. u3 a5C4F: 00 4C
8 S y ]1 n" ]% {5C50: 00 80/ W2 B' h# {! L. I' _1 H9 {8 W
5C51: 8B E4$ r' Q" ~3 {* Z
5C52: 44 16
+ G; |+ B7 r( _5C53: 24 806 H8 ^- h, @' L9 f% g# L+ S+ M3 {: N
5C54: 28 FC
, Q" T% L8 k+ A, P' @4 ^5C55: 66 02
. T. a# b1 C" W3 J5C56: 8B 0F: ~ Q$ v+ a" }7 r
5C57: 18 85
H2 d+ W5 O! Q, z F0 V$ y5C58: 66 8C. X1 ^: V0 d+ `
5C59: 81 014 Y/ h/ j- H7 ?7 T0 o
5C5A: FB 00: s4 \$ V; Q7 F, M+ Q6 H ]! u
5C5C: 14 6A$ C, @* f) T8 V1 R7 Y+ K
5C5D: 75 00
. y, X) s& `6 @5 s5C5E: EC 6A3 X6 @3 P1 k- ?, U( {' K* C0 U; @
5C5F: 90 06
8 b- P6 q: C" }' y n8 d5C60: 6A 8B
4 o, b6 f% X8 N1 `* e( J8 y5C61: 00 44. A) a8 j# J$ ]1 P$ R% d' l
5C62: 6A 24
$ N; M2 I( ]1 N) }+ F" U' l5C63: 06 30
9 g& d6 E" X# l1 d3 u9 G6 R) p36 差别 发现。 / W! \* y: K: {) u3 h
0 I1 F+ `# B* j* \' ^8 P 2。关掉IGMP协议的改动办法。IGMP协议有BUG,可以下载补丁。其实对于个人机器IGMP可能用不着,所以可以关掉,这样也可以避免利用以后发现的BUG攻击。找文件VIP。386中HEX码 00 6A 02 E8 改成 00 6A F2 E8就可以了。
6 O- ~' Z* n* C/ [9 N 3。ICMP协议的改法,也是文件VIP。386中找HEX码,(1)关掉ICMP协议改法:00 6A 01 E8 改成 00 6A F1 E8,这样使用ICMP协议的都不能使用,别人不能PING你,你也不能PING别人等。(2)ICMP协议中只让自己PING别人改法:83 F9 11 77 08 改成83 F9 00 75 08 。(3)ICMP协议中只是不让别人PING的改法:文件偏移D04DH(从0开始,如果是DEBUG调进去,就是D14DH)74 0D 改成90 90。$ l7 P, }& a2 s1 | [ e; y
大家可以参照和自己的需要相应改动。/ c$ S+ k; ^7 J9 O; b! Q4 |
& [! e/ Z! G& R& E5 d0 M
还有一个应注意的是,NETBIOS就是微软提供共享服务的,可能你上网时不小心就暴露了你的共享,还有可以通过NETBIOS查机器上的用户名等。其实只要稍微注意点就可以配置好这,拨号用户拨号的TCP/IP协议上不要绑定微软客户等,我是这上面什么都不绑;专线用户嘛你的专线IP不要绑定微软客户等就可以。这样外面就不能直接连接NETBIOS,不能得到你的机器名、共享目录等了,所以对外就不用怎么担心了。关键对内要怎么提供方便又要安全。再就是要注意几个漏洞,WINDOWS系统(WIN9X、WINNT)访问别人139时有泄露当前用户名、密码的问题,WIN9X的共享密码校验有漏洞。 |
IP卡
发表于 2002-3-3 22:28:00
提升卡
置顶卡
变色卡