如发现有乱码，请点击下面链接浏览原文
正文摘录:

霹隔c、耵Ⅻ踯、…32、wchoit·x‘c、删、”‘渊、lss；“·；。祷i器蒜}篓：：量；∑慧；：。：，。蕊：：凇‰嚣黜：嚣船：器径，只要更改它就可以进行伪造了。人家明白了吧，所以呢.如果程序在开始时就自行更改了这些信息，那么防火墙很可能就会得到虚假的信息。那叉为什么要使用这么长的文件名昵?这是因为伪造必须要保证文件的真实路径比伪造后的路径长，否则就会出现如图8所示现象。然而有趣的是这段数据本身的属性就是可写的，编程的时候连属性都不用改了。没有失效H是被软件骗丁图4=、缺陷原理篇程序是怎么做到欺骗的昵?编写过程序的且H友一定知道一个名为Gc-tM0dulcFilcNanlc的函数，该函数可以返回进程的路径全名，比如c：＼Pf0五i。黼’‘同个^静九一’哪’^甜“’km^eiiHl：En庄t)…，3gralrIFiles＼【ntcrnetExplorer＼IEXPLORE.EXE，那么这些信息是哪来的呢?使J扫OIlyDBG加载调试一个a.EXE文件.OD停在人口点后按ALT}M组台键打开内仔窗口，左键般击地址为00020000的dK一行【图5)。图5在新弹出的窗口中单击右键，选择文本uNlcoDE(64字符).如图6。向下拉动滚动条就会看到如图7所示字符…7…l……l…0…罂器：甚l-.嚣：：兽1嚣嚣：：器}m·…0010’!”a0骂壹爿：：点臻：：i嬲i嚣ii：：建；型：?Hi∞。…¨l…∞口日t#q)’n…0l口a…00#iMtclr……l㈣0…日…·：=：：慨：：：：：—一——…m}≈，【_H㈣}*ll_*H。一…一一“ⅢIo“……}*)mⅢc…”……01jK·…¨l……0a┗┻┻┻┛图6图7线框内所标示出的就是其它程序所获得的进程路图9原理讲完了，听上去什么部是美好的.F面要泼冷水了。因为信息被更改了，所以不只是防火墙不能扶得正确的进程路径，挫序自身所使用的API也不能正确的找得进程路径，这样的函数如GetModuIeFlleName。这对_f自L写程序还好说，佩是对于改造其它程序来说珏能足尝试着做了。当然如果你HOOK了这些函数并返同正确的路径应该能改造成功，这些就留给大家慢慢研究吧(代码我提供了.但是没有写HOOK的部分，有人写出来就发出来啊!)。三.利用篇前面说了，改别人的东西比较困难，但足井不代表一定不成功.我呵了个小程序供大家改造其他文件，使用方法卜分简单(图9)。使用该工具.我成功的改造了大家很常片j的Nc，测试结果Nc一切口!常，并成功穿透防火墒!最皤注意对1：加壳的软件对其改造一定会失败.所队请脱壳后再尝试。在本文即将完成的最后阶段我对网上查阅到的2O07排名前三的防火墙进行了测试，排名第三的诺顿个人防火墙竟然也被欺骗而放行了!好了，最后税大家愉快。(本文所涉及到的测试程序厦代码已收录到光盘中)墨M哩.一”¨¨n呻n篮拈∞∞∞∞“∞∞嚣鼗鼗繇嚣嚣琵嚣警懋誊黔罴器∽嚣器鲁喜鲁蚤盛嚣嚣“‰嚣嚣∞曩嚣％嚣黑塞船亳{{{