Филтриране на NetBIOS на приложния слой
Има ли някакви готови решения за темата в природата (за NT/2K/XP-системи)? Повечето PersonalFirewall, които филтрират трафика на ниво приложение , издават за целия NetBIOS трафик, че "приложението" е системно (а малцинството изобщо не го филтрират).
Теоретично филтрирането на ниво приложение е възможно - аз самият, със силно желание, бих могъл да напиша най-простите прокси-DLL за библиотеките mpr и netapi32. Но, първо, бих искал по-красиво решение, и второ, не бих искал да преоткривам колелото.
A> Има ли в природата някакви готови решения за тема (за A> NT/2K/XP-системи)?
NetBIOS scope ID. стара, забравена, вероятно бъгова функция.
WBR, Дмитрий // [Team-TBH-TNG].
AA> Има ли в природата някакви готови решения за тема (за AA> NT/2K/XP-системи)?
DP> NetBIOS обхват ID. DP> стара, забравена, вероятно бъги функция.
Това вероятно не е точно това, от което се нуждая. Цитирайки MS KB 138449: === Опцията Scope ID в TCP/IP конфигурацията предоставя начин за изолиране на група от компютри, които комуникират само помежду си. Идентификаторът на обхват е стойност на низ от знаци, която се добавя към NetBIOS името и се използва за всички NetBIOS през TCP/IP комуникации от този компютър. Други компютри които са конфигурирани с идентичен Scope ID могат да комуникират с този компютър, докато TCP/IP клиенти с различен Scope ID пренебрегват пакети от всеки друг Scope ID. [изтекъл] Информацията в тази статия се отнася за: Microsoft Windows NT Workstation 3.5 0 Microsoft Windows NT Server 3.5 Microsoft Windows NT Server 3.51 Microsoft Windows NT Server 4.0 MicrosoftWindows 95 Microsoft Windows за работни групи 3.11 === Наистина стара функция :-)
Но не това ми трябва. Ще се опитам да дам пример, за да обясня какво ми трябва . Да кажем, че подозирам, че имам троянски кон на моя компютър. За да проверя подозренията си, инсталирам някаква лична защитна стена, като Kerio, Outpost, Norton. След това започвам внимателно да следя регистрационните файлове.
Ако видя, че процес с име system32.exe се опитва да осъществи достъп до порт 25 , тогава всичко е ясно и просто тук. Ако видя, че процес с име svchost.exe се опитва да осъществи достъп до порт 80 , тогава тук е по-сложно, но можете също да го разберете, ако желаете. Но ако процес с име System се опита да осъществи достъп до порт 139, тогава не мога да го разбера тук.
Опитах се да помисля малко. оказа се зле :-( Филтриране на действия като WNetAddConnection("\\\\MyCoolServer\\c$", "MyC00lPassword","X:") все още е възможно по някакъв начин, но действия като SetCurrentDirectory("\\\\HackedComputer\\HiddenShare$") и подобни вече са много по-трудни за филтриране.
Има ли готови решения за филтриране поне на първия тип действия?