какой именно, если стандартный сп2, то проверь запущен ли сервис Спасибо за совет. А если стоит неизвестный заранее файрвол? Можно ли аккуратно "прощупать" систему, и понять, что сетевая активность контролируется?
Попробуй сконнектится с каким нить сервером, скажем 5 раз подряд, если блок - то ясно все думаю... Тогда файрвол сразу поднимет крик, типа приложение super_hacker.exe пытается соедениться с хостом XXX.XXX.XXX.XXX и предложит прихлопнуть наглеца. можно просто посмотреть какие процессы и опять же сервисы запущены (outpost.exe и т.п.) Да проблема в том, что файрволов понаписали очень много. И заранее неизвестно какой стоит у "клиента"
Можно посмотреть перехвачены ли ядерные ф-ции NdisXXXXXXXXX н-р простым просмотром оригинала и того, что есть. Если перехвачено - firewall однозначно.
Не все фаерволы перехватывают функции. Некоторые просто садятся на нижний уровень , как минипорт драйвер.
Можно посмотреть перехвачены ли ядерные ф-ции NdisXXXXXXXXX н-р простым просмотром оригинала и того, что есть. А где смотреть? Есть примеры кода?
flot, лучше спросить у Ms-Rem он продвинутый в перехватах Моя технология была в написании драйвера, который импортировал ф-цию NdisRegisterProtocol и по адресу самой ф-ции смотрел байтики push ebp mov ebp, esp .... Естественно перехваченный код будет отличаться jmp nnnnn
Чаще всего используются хуки экспортов ndis.sys. Обнаружить их легко (адрес функции NdisRegisterProtocol не входит в образ ndis.sys). Еще один признак фаерволла - наличие фильтра на \device\tcp (поле AttachedDevice в структуре девайса != NULL)
Ключи реестра, файлы в Program Files, процессы, сервисы, работающие драйверы. В общем разобраться как работают файреволы и выяснить что у них у всех одинаковое.
