Простой фаервол

Тема в разделе "WASM.NT.KERNEL", создана пользователем Begemot, 28 дек 2006.

  1. Begemot

    Begemot New Member

    Публикаций:
    0
    Регистрация:
    28 ноя 2006
    Сообщения:
    79
    Доброго времени суток, господа!
    Хочу написать небольшой блокер урлов. Т.е. драйвер, который будет фильтровать попытки юзера зайти на неразрешенный сайт и/или стянуть что-нибудь плохое.
    Но никак не могу решить, перехват какой ф-ции был бы наиболее удачным.
    Connect, GetHostByName/ByAddr, или что-то другое?
    Знаю что перехват GetHostByName/ByAddr обходится без проблем и некоторые программы их вообще не используют.
    Подскажите, что лучше перехватить?

    Благодарю.
     
  2. Freeman

    Freeman New Member

    Публикаций:
    0
    Регистрация:
    10 фев 2005
    Сообщения:
    1.385
    Адрес:
    Ukraine
    отсюда методом исключения Connect
     
  3. Begemot

    Begemot New Member

    Публикаций:
    0
    Регистрация:
    28 ноя 2006
    Сообщения:
    79
    Логично :)
    Тогда усложню задачу(сам пока решения не нашел), как из-под ядра до нее дотянуться?
    И на каком уровне это лучше делать? Я имею ввиду ws2_32.dll или другом?
     
  4. Cr4sh

    Cr4sh New Member

    Публикаций:
    0
    Регистрация:
    17 апр 2006
    Сообщения:
    668
    нужно понимать архитектуру и принцип работы сетевой подсистемы винды...
    если уж из под ядра, то перехватывай обработчики из стуктуры NDIS_PROTOCOL_BLOCK для зарегистрированых протоколов NDIS (и NDIS_OPEN_BLOCK для открытых, стало быть)
    поиск рулит...
     
  5. FromRing0

    FromRing0 New Member

    Публикаций:
    0
    Регистрация:
    10 окт 2006
    Сообщения:
    73
    А если я юзаю сокс который сам ( сокс сервер ) резолвит адреса то что ты будешь делать ?
    советую начинать с теории.
     
  6. Begemot

    Begemot New Member

    Публикаций:
    0
    Регистрация:
    28 ноя 2006
    Сообщения:
    79
    Cr4sh
    Не подскажете, где можно почитать про это подробнее?
     
  7. Begemot

    Begemot New Member

    Публикаций:
    0
    Регистрация:
    28 ноя 2006
    Сообщения:
    79
    FromRing0
    Это будет Простой блокер исключительно против броузеров(стандартных).
    И юзать я его буду в домашних условиях, так что изврат совсем не обязателен
     
  8. Cr4sh

    Cr4sh New Member

    Публикаций:
    0
    Регистрация:
    17 апр 2006
    Сообщения:
    668
    http://rootkit.com/newsread.php?newsid=219
    http://www.fssr.ru/hz.php?name=News&file=article&sid=675
    http://www.wasm.ru/article.php?article=outpostk