Firewall for Windows, handsmake

[Altera]

Цитата:

идея нормальная, работать будет. вот только при такой реализации возникает проблема постоянного поиска новых процессов и куча других проблем, так как программы могут обращаться напрямую к ядру мимо перехваченных тобой функций.
Наиболее оптимальный вариант в данном случае написать драйвер режима ядра, который в ядре системы будет перехватывать функции работы с сетью.

Цитата:

Заморочки с драйвером не нужны для курсовой

А в универе чему по этому поводу учили? Тем и воспользуйся. Если обычное приложение в инет не пропусти уже хорошо. Тем паче что идеальный брандмауер создать невозможно

[GunSmoker]

Microsoft рекомендует разработчикам реализовывать фильтрацию пакетов в виде стороннего промежуточного драйвера NDIS.

[BOBAH13]

Цитата:

А в универе чему по этому поводу учили? Тем и воспользуйся.

Ахаха C++ Builder 6 самое близкое к этому что мы учили. Такому нас не учат, нас ставят перед фактом, вот задание, пишите, как? ваше дело. Разумеется в группе народ в шоке, что и где и как писать ну это уже параллельная тема в этой ветке.

GunSmoker да я прочитал об этом по ссылкам, что давали, не думаю что имеет это смысл в моем ситуации делать, а даже через хук API, думаю всем будет интересно, т.к. тут не только файрвол как факт, но и хуки и перехват API, еще и общение между .dll и приложением. Много интересных аспектов, по моему мнению. В будущем как сделаю, думаю многим поможет (хотя бы части из того что будет сделано). По сути ничего тяжелого не намечается.

Еще раз спасибо всем за отзывчивость.

[JTG]

Цитата:

Сообщение от GunSmoker

Microsoft рекомендует разработчикам реализовывать фильтрацию пакетов в виде стороннего промежуточного драйвера NDIS.

Да мало ли что они там советуют Для снифферов такое может и подходит (хотя, судя по отзывам, написание этого-самого драйвера ещё тот геморрой), но не для файрвола, по крайней мере не как основной компонент защиты.

[GunSmoker]

Тогда любопытно, чего-ж это Касперский использует NDIS-драйвер?

P.S. Кстати, встроенный в Windows Firewall интегрирован в драйвер IPNat (как несложно догадаться из названия, это - поддержка NAT), который регистрируется в драйвере TCP/IP как драйвер ловушки (если я ничего не путаю, то такая ловушка может быть в единственном числе).

[JTG]

Потому что таскает за собой здоровенную систему самозащиты, которая не даст похукать ниже. Получается вроде как pseudo-intermediate NDIS driver

[MaTBeu]

Цитата:

а даже через хук API, думаю всем будет интересно, т.к. тут не только файрвол как факт, но и хуки и перехват API, еще и общение между .dll и приложением.

Мне кажется, у вас возникнут "небольшие проблемы" с хуком API и внедрениях dll на системах выше Win XP. Потому как UAC и Windows Defender не спят) Но я могу ошибаться. У меня с Java возникали проблемы с Windows Defender и Windows Firewall.

[BOBAH13]

Цитата:

Сообщение от MaTBeu

Мне кажется, у вас возникнут "небольшие проблемы" с хуком API и внедрениях dll на системах выше Win XP. Потому как UAC и Windows Defender не спят) Но я могу ошибаться. У меня с Java возникали проблемы с Windows Defender и Windows Firewall.

У меня ПО XWindows Dock 2, в нем реализован FlashWindow(Ex) перехват. Работает на множестве ПК (точно более 30000) с Windows Xp/Vista/7 и x32/x64 у меня самого windows 7 x64, грузится при включенном антивирусе даже в explorer без каких либо вопросов Думаю будет все ок.

Если даже рассмотреть с другой стороны, разве тот же UAC будет запрещать вызывать Windows API для установки хуков? А раз .dll уже загружена процессом, и является его частью памяти, то редактирование разрешенных участков памяти в одном процессе (не говоря о тех же API Read/WriteProcessMemory) тоже было бы глупо запрещать. Так, что логически все нормально, иначе казус вышел бы, что сама система запрещает свои же API вызывать

[GunSmoker]

Цитата:

Сообщение от JTG

Потому что таскает за собой здоровенную систему самозащиты

Единственный смысл существования которой - пользователи, работающие под админом (привет XP и все, кто отключает UAC).

[Altera]

Цитата:

Сообщение от BOBAH13

Если даже рассмотреть с другой стороны, разве тот же UAC будет запрещать вызывать Windows API для установки хуков? А раз .dll уже загружена процессом, и является его частью памяти, то редактирование разрешенных участков памяти в одном процессе (не говоря о тех же API Read/WriteProcessMemory) тоже было бы глупо запрещать. Так, что логически все нормально, иначе казус вышел бы, что сама система запрещает свои же API вызывать

Ну, суть проактивной защитой как раз в том и заключается, что бы отслеживать и блокировать вызовы некоторых API функций
UAC лично я сразу-же отключал...

P.s. Касперским давно не пользуюсь. Т.е. раньше я его устанавливал, сканировал комп и удалял, а щас использую Emsisoft Commandline Scanner.