Firewall for Windows, handsmake

[BOBAH13]

Приветствую.

Теория
В универе предлагают курсовой на тему защита / фильтрация комп. сетей. Ну грубо говоря. Индивидуальное задание заключается в том, чтобы создать подобие файрвола для Windows, к примеру выдавать запрос на разрешение или отклонения входного/выходного сетевого подключения.

Решение
Как я понимаю, следует внедрять свою .dll во все процессы (хуки помогут), после чего отлавливать WinSock функции подключения, создания сокетов и др. После чего к примеру слать SendMessage что в свою очередь вернет результат отработки в моем приложении и заморозит тред который пытается создать сокет (к примеру). Далее, либо вернуть ошибку либо вызвать оригинал функции WinSock перехватываемой.

Вопрос
Будет ли работать такая логика? Может еще чего перехватить, дописать, проверить? Кто знает, прошу выкладывать свои мысли, думаю может еще кому то будет интересно.

[ex.cluz]

Статейку в "хакере" давно уже видел, найду - ссылку кину.

А какой язык?

[rpy3uH]

идея нормальная, работать будет. вот только при такой реализации возникает проблема постоянного поиска новых процессов и куча других проблем, так как программы могут обращаться напрямую к ядру мимо перехваченных тобой функций.
Наиболее оптимальный вариант в данном случае написать драйвер режима ядра, который в ядре системы будет перехватывать функции работы с сетью.

[pu4koff]

Можно посмотреть как сделано здесь и здесь. Лучше всё же через драйвер делать. Это решение мне кажется надежнее, изящнее и в целом лучше. А вот хуки выглядят как костыль... но зато в реализации попроще пожалуй будет Сам правда я этим всем не занимался, так что мнение моё основано на теоретических знаниях.

[Alex Cones]

Думаю, будет нелишним зайти на http://SourceForge.net и найти какой-нибудь файрвол. Затем просто открыть его исходник и посмотреть, как это устроено. Как вариант - пойти по стопам Попова и просто изменить автора программы

P.S. Про Попова я серьезно!

[BOBAH13]

На счет метода "Попова" смысла для меня никакого нет, ну да ладно. Я прочитал статьи там оказывается есть несколько вариантов файрволов, попробую свой метод, посмотрим что будет. Спасибо за подсказки и помощь.

Просто если мой метод, заморочки с драйвером не нужны, загрузка и в 32х и в 64х процессы, всегда грузится через хук во все процессы, к примеру используя GetMessage хук (гарантия загрузки в процессы). Перехват API тестировал, работает.

Если интересно, и если заработает, то потом может и статью еще одну выпущу в журнал если надо.

Язык не важен, я думаю что .dll на C++, UI наверное на C#/WPF.

[ex.cluz]

Цитата:

может и статью еще одну выпущу в журнал

Если еще и поподробнее - то было б замечательно!

[JTG]

Цитата:

Будет ли работать такая логика?

Будет. Но файрвол ничего не заметит, если кто-то воткнётся прямо в стек TCP/IP

Цитата:

заморочки с драйвером не нужны

Заморочки с драйвером не нужны для курсовой Да и не выйдет вот так с бухты-барахты написать более-менее корректно работающий и учитывающий все тонкости драйвер.

[BOBAH13]

Цитата:

Заморочки с драйвером не нужны для курсовой Да и не выйдет вот так с бухты-барахты написать более-менее корректно работающий и учитывающий все тонкости драйвер.

Именно это больше будет разминка для меня, более менее работающий файрвол, покрывающий точно рядовые приложения, ну и оценка в поряде, т.к. это будет "ух ты..." для препода моего универа.

[DIgorevich]

Чтобы Ваш препод сделал "Ух, ты!", достаточно направить его сюда и показать Ваши ответы, либо статейку в журнале...