Windows防火墙的设计2(注释).pdfVIP

Windows防火墙设计 李伟明 教学目的 随着网络安全问题日益严重，广大用户对 网络安全产品也越来越关注。防火墙作为一 种网络安全工具，早已普遍应用，成为广大 网络用户的安全保护者。 本课程设计的目的是学习Windows下防 火墙设计技术，并实现一个简单的Windows 下的防火墙软件。 教学内容 1. 学习Windows下SPI (Service Provider Interface)的数据报过滤原理 2. 读懂一个简单的SPI过滤程序 3. 设计和实现一个简单的Windows应用层 防火墙 基础知识 1. 了解Windows API程序的一般结构 2. 掌握Windows下Socket编程 3. 了解Windows下DLL的概念(重要) 4. 了解Windows 的访问注册表函数 参考书目 Windows防火墙与网络封包截获技术 电子工业出版社，朱雁辉 Programming Windows程式开发设计指南 作 者：Charles Petzold Windows 95 程式设计指南 作者：侯捷 WINDOWS 网络编程技术 MSDN相关资料 讲课内容 讲课时间4学时，实验16学时  Windows下Hook技术  Windows下报文截获技术  Windows下SPI原理  介绍一个简单的SPI截获程序  课程设计要求 开发环境  操作系统为Windows XP  编程工具为VC++ 6.0  提供例子代码和相关工具。 1.Windows的Hook技术 Hook分为两种 Hook消息 Windows是消息驱动的运行模式，所以Hook消息可以 进行很多特殊的处理。这里不详细介绍。参见 SetWindowsHookEx函数。（Windows 95 程式设计 指南） Hook函数调用 Hook函数调用是指截获特定进程或者系统对某个API 函 数的调用，使得API 的执行流程转向特定的代码，后者 称为注入代码，注入代码一般保存在注入DLL中。 1.Windows的Hook技术 Hook消息 1. 利用Hook消息技术，SetWindowsHookEx会自动将 注入DLL装入(全局钩子)，在装入DLL时候，该函数将 一新的Hook加入到原来的Hook 链中，当某一消息到达 后会依次经过它的Hook链再交给应用程序, 利用了 Hook消息作为引入机制。 Hook函数调用技术 1. 使用注册表注入DLL，主要是某些特定注册表项会被 Windows 自动调用。 2. 使用远程线程注入DLL，CreateRemoteThread()函数 在远程进程中创建一个线程，利用LoadLibrary伪装为 线程函数，装载注入DLL。 3. 通过覆盖代码进行Hook，即修改一个函数在内存中的 映像，嵌入汇编代码，使该函数一执行就转跳到注入函 数执行，最霸道的方法。DeTour库窃取密码。 1.我们学习的Hook技术 比较简单的Hook技术 使用注册表，修改注册表项，安排注入DLL。 在DLL中，利用函数指针来实现Hook。 2.Windows应用层报文截获技术 1、原始套结字(Raw Socket)。 Winsock2 以后提供了原始套结字功能，可以在用户态用 Winsock函数接收所有流经Winsock 的IP包。这种方法在 MSDN里面有叙述，是MS官方支持的方法，在网上也有 很多资料。但是这种方法只能监听但是不能拦截数据报， 所以可以作为