Windows軟件防火墻實現(xiàn)技術簡述

字號:

關鍵字:
     封濾技術,NDIS鉤子,應用程序訪問網絡控制,TDI鉤子,智能行為監(jiān)控,反流氓軟件,自我保護技術。
    本文簡要介紹了目前流行的Windows軟件防火墻的各個功能組件,及其實現(xiàn)方法。
    內容目錄:
    • Windows軟件防火墻的發(fā)展概況
    • 封濾技術
    • 應用程序訪問網絡控制
    • 智能行為監(jiān)控
    • 反流氓軟件技術
    • 自我保護技術
    • 附錄
    Windows軟件防火墻的發(fā)展概況
     從Windows軟件防火墻的誕生開始,這種安全防護產品就在跟隨著不斷深入的黑客病毒與反黑反毒之爭,不斷的進化與升級。從最早期的只能分析來源地址,端口號以及未經處理的報文原文的封濾防火墻,后來出現(xiàn)了能對不同的應用程序設置不同的訪問網絡權限的技術;近年來由ZoneAlarm等國外知名品牌牽頭,還開始流行了具有未知攻擊攔截能力的智能行為監(jiān)控防火墻;最后,由于近來垃圾插件和流氓軟件的盛行,很多防火墻都在考慮給自己加上攔截流氓軟件的功能。綜上,Windows軟件防火墻從開始的時候單純的一個截包丟包,堵截IP和端口的工具,發(fā)展到了今天功能強大的整體性的安全套件。
     接下來本文就對一個Windows軟件防火墻應當擁有的這些組件進行一個簡要的技術介紹。
    封濾技術
     封濾技術是最原始的防火墻所擁有的第一種功能。但是該功能簡單強大,直到現(xiàn)在都是任何一個防火墻必不可少的功能。
     想要在網絡數(shù)據(jù)包到達應用程序之前攔截之,就要在系統(tǒng)的網絡協(xié)議棧上面安裝過濾鉤子。對Windows NT系列內核來說,可能安裝過濾鉤子的地方大致是這么幾個,從高層到底層排序:SPI層(早期的天網防火墻 ),AFD層(資料缺乏,尚無例子),TDI層(不少國內墻),NDIS層(ZoneAlarm,Outpost等)。越位于高層,則產品開發(fā)難度越低,但是功能越弱,越容易被攻擊者所穿越。由于NDIS層的防火墻具有功能強大,不易被穿透等優(yōu)點,近來各大防火墻廠商的趨勢是選擇NDIS層來做濾。
     目前比較流行的NDIS鉤子技術有兩種。一種是掛接ndis.sys模塊的導出函數(shù),從而能夠在每個ndis protocol注冊的時候截獲其注冊過程,從而替換其send(packets)handler和receive(packet)handler。這個方法的缺點是在第一次安全之后無法立刻生效,必須要重起一次,而且要禁用的話,也必須重起。
     2004年12月的時候,www.rootkit.com上面的一名黑客發(fā)表了一篇的文章:“Hooking into NDIS and TDI, part 1”(http://www.rootkit.com/newsread.php?newsid=219)。這篇文章本意是為rootkit作者們提供一種掛接底層驅動實現(xiàn)端口重用的方法,但是這篇文章揭示了一個全新的技術:通過動態(tài)的注冊ndis假協(xié)議,可以獲得ndis protocol的鏈表地址。得到這個地址之后就能不通過重起,就能替換并監(jiān)控每個ndis protocol的send(packets)handler和receive(packet)handler,并且可以動態(tài)的卸載監(jiān)控模塊不需要重起。在這篇文章出現(xiàn)之后,很多防火墻廠商都悄悄地對自己的產品進行了升級。目前的ZoneAlarm等產品就是使用這種技術,可以在安裝后即時發(fā)揮作用。這個例子更充分的體現(xiàn)了,黑客和反黑技術本來就是相輔相成的,本源同一的。
     這里給出一個尋找該鏈表頭的代碼例子:
    該函數(shù)返回的NDIS_HANDLE就是鏈表頭地址。
    NDIS_HANDLE RegisterBogusNDISProtocol(void)
    {
     NTSTATUS Status = STATUS_SUCCESS;
     NDIS_HANDLE hBogusProtocol = NULL;
     NDIS_PROTOCOL_CHARACTERISTICS BogusProtocol;
     NDIS_STRING ProtocolName;
     NdisZeroMemory(&BogusProtocol,sizeof(NDIS_PROTOCOL_CHARACTERISTICS));
     BogusProtocol.MajorNdisVersion = 0x04;
     BogusProtocol.MinorNdisVersion = 0x0;
     NdisInitUnicodeString(&ProtocolName,L"BogusProtocol");
     BogusProtocol.Name = ProtocolName;
     BogusProtocol.ReceiveHandler = DummyNDISProtocolReceive;
     BogusProtocol.BindAdapterHandler = dummyptbindadapt;
     BogusProtocol.UnbindAdapterHandler = dummyptunbindadapt;
     NdisRegisterProtocol(&Status,&hBogusProtocol,&BogusProtocol,
     sizeof(NDIS_PROTOCOL_CHARACTERISTICS));
     if(Status == STATUS_SUCCESS){ return hBogusProtocol;}
     else {
    #ifdef bydbg
     DbgPrint("ndishook:cannot register bogus protocol:%x\n",Status);
     DbgBreakPoint();
    #endif
     return NULL;
     }
    }
    得到這個ndis protocol的鏈表后,遍歷表中的每一個ndis protocol,對于每一個ndis protocol,又各有一個鏈表,用來描述和該ndis protocol有聯(lián)系的所有ndis miniport和該ndis protocol綁定的狀態(tài)。每個這種狀態(tài)塊,叫做一個ndis open block。每個綁定的send(packets)handler和receive(packet)handler都在這個ndis open block里面。
    struct _NDIS_OPEN_BLOCK
    {
    #ifdef __cplusplus
     NDIS_COMMON_OPEN_BLOCK NdisCommonOpenBlock;
    #else
     NDIS_COMMON_OPEN_BLOCK;
    #endif
    #if defined(NDIS_WRAPPER)
     //
     // The stuff below is for CO drivers/protocols. This part is not allocated for CL drivers.
     //
     struct _NDIS_OPEN_CO
     {
     ....
     };
    #endif
    };
    typedef struct _NDIS_COMMON_OPEN_BLOCK
    {
     PVOID MacHandle; // needed for backward compatibility
     NDIS_HANDLE BindingHandle; // Miniport's open context
     PNDIS_MINIPORT_BLOCK MiniportHandle; // pointer to the miniport
     PNDIS_PROTOCOL_BLOCK ProtocolHandle; // pointer to our protocol
     NDIS_HANDLE ProtocolBindingContext;// context when calling ProtXX funcs
     PNDIS_OPEN_BLOCK MiniportNextOpen; // used by adapter's OpenQueue
     PNDIS_OPEN_BLOCK ProtocolNextOpen; // used by protocol's OpenQueue
     NDIS_HANDLE MiniportAdapterContext; // context for miniport
     BOOLEAN Reserved1;
     BOOLEAN Reserved2;
     BOOLEAN Reserved3;
     BOOLEAN Reserved4;
     PNDIS_STRING BindDeviceName;
     KSPIN_LOCK Reserved5;
     PNDIS_STRING RootDeviceName;
     //
     // These are referenced by the macros used by protocols to call.
     // All of the ones referenced by the macros are internal NDIS handlers for the miniports
     //
     union
     {
     SEND_HANDLER SendHandler;
     WAN_SEND_HANDLER WanSendHandler;
     };
     TRANSFER_DATA_HANDLER TransferDataHandler;
     //
     // These are referenced internally by NDIS
     //
     SEND_COMPLETE_HANDLER SendCompleteHandler;
     TRANSFER_DATA_COMPLETE_HANDLER TransferDataCompleteHandler;
     RECEIVE_HANDLER ReceiveHandler;
     RECEIVE_COMPLETE_HANDLER ReceiveCompleteHandler;
     WAN_RECEIVE_HANDLER WanReceiveHandler;
     REQUEST_COMPLETE_HANDLER RequestCompleteHandler;
     //
     // NDIS 4.0 extensions
     //
     RECEIVE_PACKET_HANDLER ReceivePacketHandler;
     SEND_PACKETS_HANDLER SendPacketsHandler;
     //
     // More Cached Handlers
     //
     RESET_HANDLER ResetHandler;
     REQUEST_HANDLER RequestHandler;
     RESET_COMPLETE_HANDLER ResetCompleteHandler;
     STATUS_HANDLER StatusHandler;
     STATUS_COMPLETE_HANDLER StatusCompleteHandler;
    #if defined(NDIS_WRAPPER)
     ....
    #endif
    } NDIS_COMMON_OPEN_BLOCK;
    需要處理的,是ndis open block里面的SendHandler,ReceiveHandler,WanReceiveHandler,ReceivePacketHandler和SendPacketsHandler。
    一定要注意的是,不同于很多文章中的描述,主要處理SendHandler和ReceiveHandler,正確的應該是主要處理ReceivePacketHandler和SendPacketsHandler,現(xiàn)在的主流網卡和系統(tǒng)驅動,都是使用后面兩者。
    應用程序訪問網絡控制
     以往的防火墻只能古板的允許或者禁止整個系統(tǒng)去訪問網絡上的目標,比如允許了系統(tǒng)可以訪問外網的http端口,就允許了所有進程,不能只控制IE等幾個進程有權這樣做。該技術的出現(xiàn)解決了這個問題,對每個陌生的進程都會詢問客戶是否允許訪問網絡,因此還有一定的查殺未知木馬病毒的能力。
     由于NDIS里面的那些send/receive handler全都是由tdi緩沖之后再調用的,運行的上下文全都是kernel,并且不保存原先進行tdi操作的進程號,因此在封濾的NDIS鉤子層次無法取得進行操作的進程ID。想要解決應用程序訪問網絡控制的問題,就需要在tdi或者更高的層次上使用鉤子。一般來說,主流是使用tdi鉤子,在進程的網絡調用棧進行到tdi的TDI_CONNECT,TDI_LISTEN,TDI_RECEIVE,TDI_SET_EVENT_HANDLER等調用時,進行進程判斷和提示。
     對于winsock的應用程序來說,最重要的是主動連接請求,TDI_CONNECT;接受連接請求,TDI_SET_EVENT_HANDLER中的TDI_EVENT_CONNECT。對于udp收發(fā),還要處理TDI_SEND_DATAGRAM,TDI_RECEIVE_DATAGRAM和TDI_SET_EVENT_HANDLER中的TDI_EVENT_RECEIVE_DATAGRAM請求。這個時候,直接PsGetCurrentProcessId就可以得到進程號。
     tdi鉤子有一個問題,就是對于TDI_SET_EVENT_HANDLER的hook,很可能不能及時發(fā)揮作用,必須要重起以后。由于不像ndis鉤子需要hook系統(tǒng)函數(shù)或者修改系統(tǒng)數(shù)據(jù)結構,tdi鉤子可以直接使用微軟提供的過濾器驅動程序接口,在安裝編寫上要比ndis鉤子簡單的多,IoAttachDeviceToDeviceStack就可以了。