引言: 关键字:截包 应用层 中间层 NDIS Windows作者:Fang(fangguicheng@21cn.com)为什么要在应用层截包 引言截包的需求一般来自于过滤、转换协议、截取报文分析等。
摘要:(1).微笑(微笑很重要,从你第一天开始微笑,你会感到世界变得美好起来)| 试过,效果不错(2).赞美的言语神态(和你交谈的对方有没有露出甜美的笑容呢) 恩,有效果(3).富有同情心(做一个善良的人就从现在开始) 没怎么注意过(4).静心倾听(理解万岁,这样也可以简单的做到) 这个好象不难 (5).注视的眼神(你关注的眼神一定能让对方感觉到) 这个需要养成习惯(6).记住别人的姓名(这是基本技能)......
摘要:第1章 假想的病毒程序 假如您对病毒的了解象人们对尼斯湖怪的了解一样少,那么读了下面的程序,你会发现怪? 一个批处理病毒 你第一次用批处理编程序是在几年前?你是否想象过下面的批处理也是一个病毒? @echo off rem 文件名 virus.bat rem 本病毒感染自动执行批处理文件 if drive=="a:\" goto end123 if drive=="c......
应用层截包方案与实现关键字:截包 应用层 中间层 ndis windows作者:fang(fangguicheng@21cn.com) 【程序编程相关:
自己动手阻挡网络插件提示框】 【推荐阅读:
我的百宝箱之Eclipse 3.0.1插】 【扩展信息:
这些样式表,你都用过么?】 为什么要在应用层截包 引言 截包的需求一般来自于过滤.转换协议.截取报文分析等. 过滤型的应用比较多,典型为包过滤型防火墙. 转换协议的应用局限于一些特定环境.比如第三方开发网络协议软件,不能够与原有操作系统软件融合,只好采取“嵌入协议栈的块”(bits)方式实施.比如ipsec在windows上的第三方实现,无法与操作系统厂商提供的ip软件融合,只好实现在ip层与链路层之间,作为协议栈的一层来实现.第三方pppoe软件也是通过这种方式实现. 截取包用于分析的目的,用“抓包”描述更恰当一些,“截包”一般表示有截断的能力,“抓包”只需要能够获取即可.实现上一般作为协议层实现. 本文所说的“应用层截包”特指在驱动程序中截包,然后送到应用层处理的工作模式. 截包模式 用户态下的网络数据包拦截方式有 1. winsock layered service provider; 2. windows 2000 包过滤接口; 3. 替换系统自带的winsock动态连接库; 利用驱动程序拦截网络数据包的方式有 1. tdi过滤驱动程序(tdi filter driver) 2. ndis中间层驱动程序(ndis intermediate driver) 3. win2k filter-hook driver 4. ndis hook driver 用户态下拦截数据包有一些局限性,“很显然,在用户态下进行数据包拦截最致命的缺点就是只能在winsock层次上进行,而对于网络协议栈中底层协议的数据包无法进行处理.对于一些木马与病毒来说很容易避开这个层次的防火墙.” 我们所说的“应用层截包”不是指上面描述的在用户态拦截数据包.而是在驱动程序中拦截,在应用层中处理.要获得一个通用的方式,应该在ip层之下进行拦截.综合比较,本文选用中间层模式. 为什么要在应用层处理截取的报文 一般来说,网络应用如防火墙,协议类软件都是工作在内核,我们为什么要反过来,提出要在应用层处理报文呢?理由也可以找出几点(哪怕是比较牵强): 众所周知,驱动程序开发有一定的难度,对于一个经验丰富的程序员来说,或许开发过程中不存在技术问题,但是对初学者,尤其是第一次接触的程序员简直是痛苦的经历. 另外,开发周期也是一个不得不考虑的问题.程序工作在内核,稳定性/兼容性都需要大量测试,而且可供使用的函数库相对于应用层来说相当少.在应用层开发,调试修改相对要容易地多. 不利的因素也有: ...
下一页 摘要:如何建立ipc连接呢?不用我说,大家都知道: net use \\ip\\ipc$ password /user:user。在这里,我们应想办法得到administrator的权限的帐户和密码,方法有很多: ⑴流光扫描 ⑵null.printer缓冲区溢出 ⑶ms sql空密码 ⑷unicode漏洞 ⑸远程终端输入法漏洞 ⑹idq.dll漏洞 ……......
