Фільтрування NetBIOS на рівні додатків
Чи є в природі якісь готові рішення для сабжа (для NT/2K/XP-систем)? - System (а меншість взагалі його не фільтрує).
Теоретично фільтрація на рівні додатків можлива - я сам при великому бажанні міг би написати найпростіші proxy-DLL для бібліотек mpr і netapi32. Але, по-перше, хотілося б красивішого рішення, а по-друге, не хотілося винаходити велосипед.
A> Чи є в природі якісь готові рішення для сабжа (для NT/2K/XP-систем)?
NetBIOS scope ID. стара, забута, можливо глючна фіча.
WBR, Dmitry // [Team-TBH-TNG].
AA> Чи є в природі якісь готові рішення для сабжа (для AA/gt; NT/2K/XP-систем)?
DP> NetBIOS scope ID. DP> стара, забута, можливо, глючна фіча.
Напевно, це не зовсім те, що мені потрібне. Цитую MS KB 138449: === Scope ID option в TCP/IP налаштування забезпечує спосіб ізолювати на група комп'ютерів, що тільки комунікують з усіма іншими. Scope ID є character string value, що є приєднаним до NetBIOS name і є використаним для всіх NetBIOS за допомогою TCP/IP комунікацій від комп'ютера. Інші комп'ютери що configured with identical Scope ID є можливим для комунікації з цього комп'ютера, коли TCP/IP клієнти з різною Scope ID disregard packets from any other Scope ID. [Поскипано ] Визначення в цьому матеріалі applies to: Microsoft Windows NT Workstation 3.5 Microsoft Windows NT Workstation 3.51 Microsoft Windows NT Workstation 4.0 Microsoft Windows NT Server 3.5 Microsoft Windows NT Server 3.51 Microsoft Windows NT Server 4.0 MicrosoftWindows 95 Microsoft Windows for Workgroups 3.11 === Фіча дійсно стара :-)
Але мені потрібне не це. Спробую навести приклад, щоб пояснити, що мені потрібно. Допустимо, я підозрюю, що у мене на комп'ютері є троян. Щоб перевірити свої підозри, я встановлюю якийсь персональний фаєрвол, наприклад, Kerio, Outpost, Norton. Після чого починаю уважно стежити за логами.
Якщо я бачу, що процес з ім'ям system32.exe намагається звернутися до 25-го порту, то тут все ясно і просто. Якщо я бачу, що процес з ім'ям svchost.exe намагається звернутися до 80-го 1>порту, то тут вже складніше, але за бажання теж можна розібратися. Але якщо процес з ім'ям System намагається звернутися до 139-му порту, то тут я розібратися вже не можу.
Я спробував трохи подумати. виходило погано :-( Відфільтрувати дії типу WNetAddConnection("\\\\MyCoolServer\c$", "MyC00lPassword","X:") ще хоч якось можна, але дії типу SetCurrentDirectory("\\\HackedComputer\HiddenShare$") і тому подібні фільтрувати вже набагато складніше.
Чи готові рішення для фільтрації хоча б дій першого типу?