win2k下个人防火墙开发问题,请驱动高手一定要看,拜托 !!!

小弟想开发一win2k下的应用防火墙,
已经使用了包括blackice,sygate,norton,tpf,kerio在内的国内外著名防火墙,查询了许多相关个人防火墙设计技术文章,大多采用tdi filter 过滤应用程序,使用ndis hook 过滤包,例外的是blackice 使用了中间层驱动开发技术

1.请问blackice 使用中间层驱动截获包比ndis hook 有什么好的地方?

2.如果一机器安装两个同类防火墙(都用tdi filter,ndis hook),这时候谁真正起到作用?? 有什么问题???

3.有没有使用驱动技术的网络程序能够躲避上述技术开发的防火墙进行网络通讯??如: rootkit?
如果存在,防火墙应该使用什么技术才能截获所有包括驱动在内的网络通讯??

小弟刚刚驱动入门,请高手指点一下,有些地方可能说的不对,见谅!!

汗，不知从哪里答起

小弟想开发一win2k下的应用防火墙,
已经使用了包括blackice,sygate,norton,tpf,kerio在内的国内外著名防火墙,查询了许多相关个人防火墙设计技术文章,大多采用tdi filter 过滤应用程序,使用ndis hook 过滤包,例外的是blackice 使用了中间层驱动开发技术

1.请问blackice 使用中间层驱动截获包比ndis hook 有什么好的地方?

//BLACKICE我不知道是什么，但IM比HOOK稳定，作为MS公开的和推荐
//的技术IMD的效率也可以。
2.如果一机器安装两个同类防火墙(都用tdi filter,ndis hook),这时候谁真正起到作用?? 有什么问题???
//都起作用，理论上没问题。

3.有没有使用驱动技术的网络程序能够躲避上述技术开发的防火墙进行网络通讯??如: rootkit?
如果存在,防火墙应该使用什么技术才能截获所有包括驱动在内的网络通讯??
//直接把防火墙做到MINIPORT里，但是通用性=0

小弟刚刚驱动入门,请高手指点一下,有些地方可能说的不对,见谅!!

//我也菜，个人看法希望没误导你

大哥，能不能一个一个的问啊，这么多很难回答的！

集中起来方便啊.
兄弟!!

希望高手多多帮忙,一直疑惑中!!!

1.imd是微软推荐并支持的方法，ndis hook大都是自己琢磨出来的东西，没有什么保障，操作系统一升级，就有可能坏事，而imd不用担心这个问题。
2.这个跟拦截的次序有关系。
3.具体问题具体分析，技术这东西，拿来做防火墙和做黑客程序没什么两样。

小弟想开发一win2k下的应用防火墙,
已经使用了包括blackice,sygate,norton,tpf,kerio在内的国内外著名防火墙,查询了许多相关个人防火墙设计技术文章,大多采用tdi filter 过滤应用程序,使用ndis hook 过滤包,例外的是blackice 使用了中间层驱动开发技术

1.请问blackice 使用中间层驱动截获包比ndis hook 有什么好的地方?

2.如果一机器安装两个同类防火墙(都用tdi filter,ndis hook),这时候谁真正起到作用?? 有什么问题???

3.有没有使用驱动技术的网络程序能够躲避上述技术开发的防火墙进行网络通讯??如: rootkit?
如果存在,防火墙应该使用什么技术才能截获所有包括驱动在内的网络通讯??

小弟刚刚驱动入门,请高手指点一下,有些地方可能说的不对,见谅!!

不过好象IMD和HOOK都有产品兼容的问题，如果真的有人写出了核心太木马，并且很认真得做这件事，如果防火墙不抛弃产品兼容估计是没有办法的！
Fracker说的没错，技术就是技术。所以说软件防火墙是绝对不安全的！呵呵

诚挚感谢楼上得高手!!!!!


还有两个问题:

1.ndis imd + tdi filter 我没发现这样得产品,是不是不能实现?或者是这种实现存在问题?

2.tdi filter 过滤tcp ,udp 程序没问题,对于 使用icmp通讯的程序,怎么拦截?? 谢谢..



[编辑 -  9/17/03 by  daviswjk]

继续求教!
谢谢

 filter 过滤tcp ,udp 程序没问题,对于 使用icmp通讯的程序,怎么拦截?? 谢谢..
拦截不到！

请问楼上的高手:


如何拦截发送icmp包的程序?

给你UP上去！
过滤icmp用ndis可以

1.ndis imd + tdi filter 我没发现这样得产品,是不是不能实现?或者是这种实现存在问题?

KFW好像就是的

ndis imd + tdi filter ，可以的啊，我就使用了类似的方式啊

我还是准备采用 ndis hook + tdi filter

我的毕设题目就是个人防火墙的设计与实现 :(
过分的老师竟然让我一个人搞这个，这位兄台留个联系方式吧。很想跟你探讨一下到底该从哪儿入手。
看了很多资料。还是NDIS中间层比较有前途，希望大家多给点指导

你要先读一些有关网络安全的书籍，然后有针对的提问题，那样大侠们才能更好、更快的帮助你。

ndis hook + tdi filter
我的理解是：

tdi filter 拦截 TCP ，UDP
ndis hook拦截ICMP,ARP,IGMP等

不知道对不对？

如果不限制操作系统的话,你还是用imd吧

虽然我觉的hook最好,但没有保障,调试又容易死机
在98-2000-xp下的编写也有很多不同

没看见你是说win2k下
建议你2k server 和 profession 两个版本都要试,我就出现过profession 下可以server 下驱动注册失败的情况