|
論壇說明 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2004-08-11, 03:27 PM | #1 |
榮譽會員
|
費爾個人防火牆核心技術簡介
費爾個人防火牆是一款功能強大而又完全免費的個人防火牆軟體,雖說它是免費的,但卻有著不俗的技術功底: 幾乎擁有專業防火牆軟體的所有強大功能 引入了別具特色的「流量示波器」,使得網路流量一目瞭然,生動地展現網路狀態 對代理上網進行了優化,使用者再也不用抱怨自己的郵件被代理伺服器盲目攔截 對網路芳鄰共用資源進行全面控管,使局域網管理更自由、更安全 套用層 / 核心層雙重過濾,完全管控TCP/IP網路封包 防出牆 / 防入牆雙牆防護,防止資訊洩漏和外來攻擊 對ICMP(PING)進行嚴格控制,有效保護IP位址不被偵測 全程交互式控管規則自動生成器,對任何情況的網路動作都可以進行動態、交互、自動生成控管規則,最大程度的方便操作 把複雜的功能設定進行了有效的條理化分類,做到既可以讓普通使用者感覺到簡單易用,又可以讓專業人士進行複雜的安全防範設定 強大的日誌記錄功能 漂亮流暢的操作畫面,各種人性化的設計,使用起來輕鬆方便 費爾托斯特安全 新版新特性 v5.5 新增特性(2004.6.6): 修正了掃瞄到長檔案名後程式崩潰離開的BUG 修正了Win9x/Me下無法對某些網路驅動器檔案進行即時掃瞄的BUG 修正了木馬引擎掃瞄的一個BUG 對木馬掃瞄、病毒掃瞄的容錯和識別能力分別進行了一些優化和改進 修正了在關機時偶爾引發系統重新啟動的BUG 修正了清除病毒木馬時備份檔案的一個BUG 在隔離面板中新增了導出的功能,方便使用者對某些病毒或木馬進行自由導出 對系統掃瞄的畫面進行了擴大,當掃瞄到較多病毒或木馬時更方便使用者的檢視和操作 對整體畫面的風格進行了一些改進和美化 附帶最新病毒碼v532489(2004.06.03),可檢查刪除大量目前最新流行病毒、木馬 -------------------------------------------------------------------------------- v5.3 新增特性(2004.01.16): 對掃毒內核進行大規模優化和改進,使得對病毒和木馬的識別能力和抗干擾能力再次得到大大提高 掃毒內核的速度得到前所未有的優化,掃瞄速度和效能都得到大幅提高,在充分保障安全的同時使系統資源的使用率降到最低 增強了即時防護引擎對檔案的檢查頻率,使得對網頁病毒和郵件病毒的敏感度大大增強,讓網頁和郵件中內嵌的惡意代碼不再有機會執行 解決了在WINNT/2000/XP/2003下與某些檔案系統監視型軟體的相沖問題 解決了與一些移動存儲裝置的相沖問題 新增了刪除掃瞄日誌的功能 新增了Explorer意外崩潰時自動還原通知區域圖示的功能 修改了操作方面的一些BUG 附帶最新病毒碼v508315(2004.1.15),可檢查刪除大量最新的木馬、病毒、密碼竊取、傳奇及遊戲類盜號木馬、駭客程式及後門程式 -------------------------------------------------------------------------------- v5.2 新增特性: 修正了內核在NTFS支持方面的一個漏洞,解決了在Win2000/XP/2003下偶爾死鎖的問題 對內核的木馬識別能力進行了優化,增強了識別率和抗干擾性 對系統掃瞄部分進行了優化,改變了以前在發現病毒時佔用系統資源較多的缺點,目前即使發現再多的病毒,掃瞄速度仍然迅捷,系統效能也不再受影響 附帶最新病毒碼v457421(2003.11.20),可檢查刪除大量最新木馬病毒、密碼竊取、傳奇及遊戲類盜號木馬、駭客程式及後門程式 對病毒碼進行了集中優化,大大增強了在識別腳本病毒方面的智慧性,可以迅速識別出那些經過精心偽裝和變異的病毒,讓其無法矇混過關、無處藏身 新增了對多種檔案類型的即時掃瞄支持,使得對許多新型網頁木馬可做到即時攔截,當使用者存取到含有木馬病毒的網站時會迅速警示,最大限度的保障使用者網上衝浪安全 新增了「病毒舉報」功能,當使用者發現新病毒或木馬時可以及時提交給我們的專業人員進行分析取樣,增強了方便與互動性 改變「隔離」為「刪除」,排除使用者在選擇操作方面的困擾,操作功能更加清晰明瞭 -------------------------------------------------------------------------------- v5.1 新增特性: 包含 2003.10.11 日最新病毒碼 v313263 解決了繁體作業系統下無法對繁體目錄進行病毒掃瞄的BUG 增強了內核對多國語言系統的支持 在系統掃瞄中加入了「全選」功能,並支持 Ctrl+A 的加速鍵 解決了原有版本中的有關控制、檔案清單、日誌中的BUG -------------------------------------------------------------------------------- v5.0 新增特性: 防不明病毒又有新突破,新引入了強大的「防不明病毒感染」功能,可有效阻止不明病毒對檔案的感染 病毒和木馬的識別率得到了重大改進 新增大量病毒碼,除毒量得以海量擴充 對病毒碼進行了壓縮處理,在效能得到提高的同時也加快了線上升級 對可疑程式及免疫受損檔案的阻止操作行為新增了可控功能,方便使用者自由控制 對系統內核進行了重大改進,增強了健壯性和穩定性 加入了「掃瞄日程」功能,以支持在指定時間裡自動進行系統掃瞄 加入了「系統日誌」功能,即時記錄掃瞄日誌 對即時警示進行了改善,可顯示排隊的警示個數及一次性全部關閉,大大增強了方便性 新增了按兩下病毒清單開啟所在目錄的功能,方便檔案檢視 新增了病毒清單的排序功能,方便檢視 新增了顯示病毒碼日期和提醒升級的功能 對備份及更名進行改善,解決因檔案已存在造成的操作失敗 -------------------------------------------------------------------------------- v4.0 新增特性: 開始支持對腳本病毒的全面檢查刪除,並可即時檢測存取的網頁是否安全 具有智慧評測html/script代碼安全性的能力,可偵測到不明腳本病毒及危險腳本 啟髮式掃瞄技術進行重大改進,具有對可執行程式進行代碼級智慧評測的能力,有效定位非法程式 極大增強了廣譜引擎的抗干擾性,不再對加殼程式進行隨意警示,準確率大幅提高 病毒碼進行了海量擴充,新病毒碼升級到 v295388 ,殺盡病毒木馬 新增了對即時防護檔案類型的可定義功能 內核功能及免疫引擎進行重要改進,增強了穩定性 解決了對一些特別檔案進行掃瞄時出現死機的問題 費爾個人防火牆採用兩種封包過濾技術: 1. 套用層封包過濾,採用 Winsock 2 SPI。 2. 核心層封包過濾,採用 NDIS-HOOK。 Winsock 2 SPI 的技術特點: Winsock 2 SPI 工作在 API 之下 Driver 之上,屬於套用層的範疇。利用這項技術可以截獲所有的關於 Socket 的網路通信。比如:IE、OUTLOOK 等一般的應用程式都是使用 Socket 進行通信。它的技術特點主要有: 優點: 1. 工作在套用層,以 DLL 的形式存在,編程、偵錯方便。 2. 跨 Windows 平台,可以直接在 Windows 98/ME/NT/2000/XP上通用,Windows 95 只需安裝上 Winsock 2 for 95,也可以正常執行。 3. 效率高,由於工作在套用層,CPU 佔用率低。 4. 封包還沒有按照低層傳輸協定進行切片,所以比較完整,很容易做內容過濾。 5. 做防色情之類的軟體,不用根據具體的瀏覽器進行分別編程,既簡單又安全。 缺點: 1. 不用 Socket 的網路通信無法攔截,比如:使用NetBios的網路芳鄰,和使用ICMP傳輸協定的Ping。 2. 微軟對SPI設計的問題,導致如果安裝順序出錯很容易造成網路癱瘓。這意味著如果同時安裝幾個使用SPI技術的軟體,而且有使用非標準安裝方式的軟體,很容易有的被繞過或者不能正常網路通信。所以建議編寫SPI程序一定要用標準的安裝方式。 SPI 在 操作系統種的結構如下圖:我們需要處理的是傳輸服務提供者。 層次結構圖:費爾個人防火牆的XFILTER.DLL處的就是基礎服務提供者的位置。 NDIS-HOOK 的技術特點: NDIS 是網路接頭規範,Windows 使用 NDIS 函數庫實現 NDIS 接頭。所有的網路通信最終必須通過 NDIS 完成。NDIS 橫跨 傳輸層、網路層和資料鏈路層,NDIS 的結構如下圖: 微軟提供了以下幾種標準接頭編程方式: 1. TDI 傳輸層過濾驅動程式(TDI Filter,比如一般的 Tcp Filter Driver) 2. 傳輸協定驅動程式 (Protocol Driver) 3. 中間驅動程式 (IM Driver) 4. 小連接阜驅動程式 (Miniport Driver) 其中 TDI Filter Driver 和 IM Driver 通常用做封包過濾。也是防火牆和VPN軟體常用的技術。但是它們都有一些缺陷: TDI Filter Driver 屬於 Upper Driver,位於 TcpIp.sys 之上,這就意味著由 TcpIp.sys 接收並直接處理的資料包就不會傳送到上面,從而無法過濾某些接收的資料包,典型的就是ICMP,ICMP的回應包直接由TcpIp.sys產生並回應,上面的過濾驅動程式全然不知。 IM Driver 功能比較強大,但編程接頭複雜。最麻煩的是安裝,自動化安裝太困難。 NDIS-HOOK 克服了上面的缺陷。NDIS-HOOK 的工作原理是直接替換 NDIS 的函數庫中的函數位址,這樣只要向 NDIS 的請求就會先經過我們自己函數的處理,這樣就非常簡單,處理完轉發給系統函數就完成了。NDIS-HOOK技術有以下特點: 1. 編程方便、接頭簡單、思法明確、效能穩定。 2. 更靈活,可以僅僅截獲自己需求的,不需要冗余的程式碼。 3. 功能強大,可以截獲所有 NDIS 和 TDI 函數完成的功能。當然比標準方式功能強大許多。還可以用這項技術延伸到 HOOK 所有系統函數。 4. 安全性高,這樣截獲封包較為底層,不容易被穿透。 5. 安裝簡單。 NDIS-HOOK 安裝前的結構示意圖: NDIS-HOOK 安裝後的結構示意圖: |
送花文章: 3,
|