卡巴防火墙包过滤设置详解与最强模式!(最新补充)

xqiafl

嗯!!   这东西, 要一些做测试,一边设置规则.

到时候,就很好理解了. 否则, 越看越迷糊. 当然.我刚刚开始学时.

由于是自学. 所以, 迷糊了一段时间. 现在, 设置起来.相当轻松.

xqiafl

你把本人的回复贴, 加上主题, 全一字不漏的看完.

  然后,再实际的操作一下子.  差不多就全明白了!

你得这种想法其实很早就有了，关于端口（出或是入），Lns防火墙很早就开始搞这个，前几年火的很。LNS防火墙在封端口上可以达到巅峰之作，但仅仅而已。

我只给举一个简单的例子就可以完全破灭你的100％完美的理论基础。

你封出站的也好，入站的也好，前提是你起码对你联网运行的程序比较有把握，没有把握的联网程序在进程里查到也好，查不到也好，你感觉可疑就封嘛。anti－virus tools & firewall 永远落后于病毒，而我现在要搞的恰恰就是自己认为有把握的联网程序，现在假使你在用系统的Windows Media Play 在联网看电视或是电影，你肯定要开port，是吧，而你这个wmp恰恰被人修改了pe植入了木马，做到了免杀。

你自己说，这时封port还有用吗？这种情况就要通过在port的基础上进行特征码的检测才行，而有些NB的木马可以做到动态改变特征码，反病毒技术就要更进步才行。虚拟机，启发式之类的才被人提出来。

所以，封port（不管In 还是Out）是没有用的。你认为仅仅通过封port就可以彻底搞定木马病毒，那是你的认识还在几年前，你还没有被真正的cracker和hacker所碰到。

[ 本帖最后由 justfor 于 2007-10-16 15:21 编辑 ]

xqiafl

哦! 是吗?

wmp恰恰被人修改了pe植入了木马   

  不好意思?     你所说的东西, 只不过,是程序感染.  

  而且.  不管, 你说, 我这是几年前的东西也好. 还是怎么.

但关键就在于, 本人从来没看到过, 谁的文章,发表过端口方面的! (一般也就是如何封本地端口.这种过时

的东西! 而封杀外网端口．　这种解决滞后性的问题，有谁提出来过？　)
先不谈，你的感染病毒．　只谈插入式进程．　这种东西，　插入到系统进程中，或者ＩＥ中．
　就会访问网络．那么，使用netstat -ano 　就可以查的出来．　直接封掉ＩＰ就行了．

  而,程序感染,相对比较特殊.   但,像VING. 感染后, 程序根本不可能正常运行.

  一眼就看的出来.   

  你说, 我的认识还在几年前??   本人,根据,  反弹木马的特性所做出的规则.

  绝对是最强的!!    根本无需怀疑.     防火墙的滞后性.  已经被本人彻底解决!

  不管是什么黑客,  我说了很清楚, 只要用了,本人规则. 被 攻击可能性为0

  被黑可能性为1%.  也就是如果黑客使用80端口. 那一定要自行判断.

其它的, 照样全封!

[ 本帖最后由 xqiafl 于 2007-10-16 16:16 编辑 ]

xqiafl

而我现在要搞的恰恰就是自己认为有把握的联网程序，现在假使你在用系统的Windows Media Play 在联网看电视或是电影，你肯定要开port，是吧，而你这个wmp恰恰被人修改了pe植入了木马，做到了免杀。

是的.  卡巴默认确实,  允许很多程序访问网络.  其中就包括WMP.

  它默认:80-83, 443, 1080, 3128, 8000, 8080, 8088, 11523  就允许这些端口访问!

  只要木马的端口是期中一个就可以了. 但关建就在于.  你如何感染?

  你能保证, 感染后, 程序还一定能够正常运行吗?  这显然不可能.

  你WMP 感染病毒后, 还可以在网上,看电影???   

  说实话:  我以前中过VING.   中了之后, 虽然程序可运行.  但已完全变形了.

  一眼就看的出来/.     被病毒感染后, 这个程序前,后,根本就不同了.

     感染问题,   从不在本人考虑范围之内, 原因很简单.  用户一旦被感染.

  首选,就是格盘. 从装系统.  根本就不需要再做什么了.

  难道, PC机,被感染了. 它还会继续使用.?????  这显然不可能!

  如果,不是感染.    就算,过了卡巴主动防卸和表面查杀.   这个规则. 一样拦截!

  你如果, 还认为防火墙, 有滞后性, 那我只能说,  你的思路已经存在于05年了.

因为. 我06年用ZA 防火墙时, 它就可以做到这点. 比卡巴做的更好.

  即使,  建立的合法联接. 那么, 它依然, 会扫描这个连接. 只要一个非法动作. 就会报警!

   就一般,防火墙而言, 确实存在带后性, 但,卡巴KIS 和ZA 已不存在. 带后性.

  如果, 使用他们还存在, 只能说, 你不会用!
这些规则. 都是拿木马,做测试. 的后的结论.   我文章中说的很清楚.
即使卡巴可以封远程端口.  但黑客换个端口.  那就又郁闷了.
如此. 就显得很被动. 所以, 本人根据, 防火墙的被动性,  已经自己设置出最强过滤包规则了.
  已完全不存带后性!  
  虽然, 现在听说有反弹木马可过ZA6.0  但, 具体是怎么过的. 我没去测试.
  但,我测试了卡巴了. 一运行.那个所谓的过主动防卸木马,机子就蓝屏了.
  不要,说我, 没碰到真正的黑客,  什么的.  
  你也不需要把黑客想的那个神秘. 国产黑产, 有什么本事. 本人学了二年黑.  已经很清楚.
  而且是彻底的清楚!

[ 本帖最后由 xqiafl 于 2007-10-16 15:51 编辑 ]

jpzy

远程端口这个东西，又不是只有卡巴和ZA有，你的话太绝对了~！
说白了不过就是包过滤规则而已~~~

比如BT，你怎么封远端？所有的BT软件端口都是随机的！那么如果一个木马插入BT的进程，你怎么办？

jpzy

另外，你说的远程端口，80，53，443你不能封吧？难道人家玩木马的，不会用这些端口外联吗？

xqiafl

所有的BT软件端口都是随机的！那么如果一个木马插入BT的进程，你怎么办？

老兄啊!!     我实在是不好在说了!

   你认为一个木马会插入BT进程吗?  我晕了!

  插到这个里面,

一不能开机自动启.  

二.  只有当. 运行它时, 才有有效果.  ; 这样,很容易被K掉的!

再说, 那个木马, 它怎么就知道,  哪个电脑中使用了BT. 哪个电脑中没使用???

这个是不实现的.   插入进程.  卡巴就会报警了!!

xqiafl

另外，你说的远程端口，80，53，443你不能封吧？难道人家玩木马的，不会用这些端口外联吗？  

说的好!!   这个就是规则肓区.   主要就是体现在80, 443  这两个上面了!

  如果,黑客调用这两个端口. 即使是程序规则, 也拦不住.

  我上面说的很清楚.   如果黑客使用这些端口.  那你只能手动分析!

就算是程序规则.  也一样要手动分析!  
  但关键就在于, 并不是所有黑客都会使用这两个端口的.

  当然,使用80的较多. 但, 一瞬间就会被发现的.

  当反弹木马, 客户端使用了80端口时.

   那本地,程序就会去访问, 这个远程的80端口. 此时, 只要把相应的IP封了.就完事!

其实,规则,都是死的. 主要就是灵活运行!

  我这个环境,是模拟的. 主动防卸和表面查杀都被木马突破的可能性. 所以做的一些防黑准备工作!
  之所以, 在远程, 在封掉,那么多的端口.  就是要防止防火墙的滞后性!
当然, 如果,使用ZA的话, 基本上不具备带后性. 完全可以做到!
  详细情况,  你自己去装个ZA . 先让反弹木马运行.    , 再开ZA .
此时, 如果. 你想, 去浏览,肉鸡的文件. 那么. 防火墙就会报警了.
因为. 就算是信任连接,  在重新建立会话, 它一样会扫描数据的合法性!

[ 本帖最后由 xqiafl 于 2007-10-16 16:02 编辑 ]

jpzy

原帖由 xqiafl 于 2007-10-16 15:54 发表


老兄啊!!     我实在是不好在说了!

   你认为一个木马会插入BT进程吗?  我晕了!

  插到这个里面,

一不能开机自动启.  

二.  只有当. 运行它时, 才有有效果.  ; 这样,很容易被K掉的!

再说, 那 ...

当然，我只是举例子！事实上配合卡巴的主防来用，的确还是有效果的！不过说最强恐怕言过其实！
看看我截的图，不就是指定远程端口的设置吗？大部分的防火墙都有这样的功能，就看你如何创建规则了！
你去看看xyzreg的《所有的防火墙都很弱》，再看看防火墙区的VNC规则包吧！
软墙有软墙不可避免的缺陷的！！

另外，注入BT不是什么新鲜事！至于说卡巴报警，目前的条件下，也不是没有病毒能干掉卡巴的，起码，一个免杀加一个时间批处理就能做到了！有些病毒会注入到所有进程里面，保证自己不被kill！只要取得了一个进程的权限，那么利用它来外联，相信不是什么困难的事情~~~~

其实对于你提出的封禁远程端口的问题，很简单，我只要在防火墙规则后面加两条规则就能搞定了！包过滤是从上到下依次匹配的，我最后写一条规则，封禁所有的远程端口，只要上面已经创建的规则没有匹配的连接都封禁！那不就OK了？

[ 本帖最后由 jpzy 于 2007-10-16 16:06 编辑 ]