个人防火墙的几个问题

想作一个个人的防火墙，功能类似于Norton，有几个疑问：
1。在应用层实现好还是在imd实现好
2。哪里可以得到相关的资料

谢谢

想作一个个人的防火墙，功能类似于Norton，

Norton的firewall似乎还可以防止病毒，你怎么实现？？
至于在网络方面，我认为应该用IMD。

[quote]想作一个个人的防火墙，功能类似于Norton，

Norton的firewall似乎还可以防止病毒，你怎么实现？？
至于在网络方面，我认为应该用IMD。
 [/quote]

norton的firewall和防病毒应该是两个东西。
但是，我感觉norton的firewall是应用层的东西，不知道你用过norton的firewall没有？

我没有用过Norton的防火墙，但是我看天网防火墙在给自己做广告时说，他们的实现原理和Norton一样，都是不是用Imd而是用Hook的办法，不过由于Norton在处理一个Undoc函数时没有做好所以会有bug，而他们已经解决了这个问题。所以我想Norton也不仅仅是应用层！

 WWW.PROGRAMSALON.COM 有一个用 API HOOK 做的软件。可以过滤
 
封包，也可保护文件。

norton的firewall和防病毒应该是两个东西。
但是，我感觉norton的firewall是应用层的东西，不知道你用过norton的firewall没有？

我没有用过norton的firewall，我是去网上看了下，它上面说的是可以防病毒！
另外，什么叫应用层的东西？
另外，所谓HOOK方法在NT、2000下不可以，天网用HOOK是在98下。

[quote]norton的firewall和防病毒应该是两个东西。
但是，我感觉norton的firewall是应用层的东西，不知道你用过norton的firewall没有？

我没有用过norton的firewall，我是去网上看了下，它上面说的是可以防病毒！
另外，什么叫应用层的东西？
另外，所谓HOOK方法在NT、2000下不可以，天网用HOOK是在98下。 [/quote]

不会吧？2000下有一个IpFilterDriver的东东，可以Hook他呀

天网的HOOK可和它不一样！
本论坛上有VMM_HOOK……的原代码，我想至少98下的天网就是这样做的！

windows2000 InstallFileSystem Kits 可以实现你想要的。

只要应用驱动进入到ring0，你想做什么都没人可以阻挡得了你（如9x/me下面的vxd,NT/2K/XP下面的WDM等，至于使用什么undocmented API都是跟风跟的太紧，MS什么时候想你死就得死的很难看），使用什么模型都不是问题。

fracker 说的对，win2000DDK里面有的 用ip filter hook driver,加一点入口参数就可以了的样子。








我还是新手，要是答得对，给点分吧。

我个人认为应用层比较好，至少不会轻易死机，
开发也容易点。

我还是没有思路。不过感谢各位的参予，分数还是要给的。

我还是没有思路。不过感谢各位的参予，分数还是要给的。

我来归纳一下，防火墙有如下几种思路：

应用层：
1、winsock2(98/se/me,nt4,2k,xp)支持一种叫做
LSP的分层技术，可以参考sdk或者ddk，这里有一篇文章，
http://www.microsoft.com/msj/defaultframe.asp?page=/msj/0599/LayeredService/LayeredService.htm
简单介绍。
2、用全局的hook api，hook winsock函数。

以上是我能想到的。

核心层：
1、imd，不需要我多说了，98/se/me,nt4,2k,xp支持。
2、tdi filter，98/se/me,nt4,2k,xp支持。
3、ndis hook，这个也许需要多说两句。
9x下的hook通过hook_device_service，该技术很早
就在白云站上有过帖子，此后我在pcausa上也看到了
source。
nt/2k/xp下通过注册一个协议，通过返回的handle强制
类型转换可以遍历系统中所有协议的proctocol_char，
因此得到了ip协议的pt_receive等函数入口，修改这个
char的值，就相当于hook ip协议的函数。注意核心代码
共享一个内存空间，所以只要把入口改成你的驱动函数
入口就行。

norton,天网的方法估计都是这样，我没有仔细研究过。
绿盟的估计是tdi filter，我也没有仔细研究过。这些
软件我都是听说，没有安装过，上面的话不过是从他们
的广告的话中猜想的。