一直以來都有一個夢想：偶要是能發現些漏洞或BUG什么的該多好啊！于是整天對著電腦瞎弄瞎研究，研究什么呢？研究如何突破防火墻（偶這里指的防火墻是軟體型的個人防火墻，硬件的偶也沒條件。）嘿嘿，你還別說，還真沒白研究，還真給偶發現了大多數防火墻的通病。這個BUG能讓我們欺騙防火墻來達到訪外的目的，具體情況是怎么樣的呢？請看下面的解說！
首先，我要介紹一下Windows系統特性，當一個程序運行時，它不能刪除，但卻能夠改名！而當系統里的被保護程序遭到刪除或損壞或改名時系統就會及時調用備份文件給予還原！我再講講防火墻，大家都知道許多防火墻的“應用程序規則”里一般默認就會讓IE瀏覽器（iexplore.exe）、Outlook Express（msimn.exe）、lsass.exe、spoolsv.exe、MSTask.exe、winlogon.exe、 services.exe、svchost.exe通過，而大多的防火墻認為只要是與規則里的路徑及文件名相同就Pass！以這樣的檢測方法來決定是否放行，但它卻完全沒考慮到如果是別的文件替換的呢？——就相當于古裝片里的易容術，易容后就認不得了！這就給了我們機會，我們可以利用這個BUG來欺騙防火墻來達到訪外的目的！
小知識：其實現在大多木馬采用的DLL插線程技術也就是利用了這個原理，它們首先隱蔽的開啟一個認證放行的程序進程（如Iexplore.exe進程），接著把DLL型木馬插入這個線程內，然后訪外時就可輕松突破防火墻的限制了——因為防火墻是不會攔截已認證放行的程序的。
原理講完了，我們現在講講該如何利用這個BUG了！這里我用虛擬機做實驗，制造如下條件：
為了更符合現實，我給服務器安裝了“天網防火墻”、Radmin（但由于防火墻指定了訪問IP地址，所以沒辦法正常連接！），MSSQL SERVER、Serv-u。首先我們用常用的方法進行端口轉發，看看防火墻有什么反應！
第一步，啟用AngelShell Ver 1.0里的Fport（用來進行端口轉發的服務端，幾乎可以轉發任何端口），然后在本地用FportClient（用來進行端口轉發的客戶端）監聽好！
第二步，直接在CMDSHELL里運行“e:\www\fport.exe 4899 192.168.1.1 7788”，這時我們看到虛擬機里的“天網”對Fport馬上進行了攔截。
一篇關于防火墻的沖突的文章
近來試用了比較流行的幾個防火墻，在使用過程中進行了一些比較，記下了些文字，希望對一些不知道該如何選擇的提供一些參考。同時希望交流，共同提高。
只是比較之用，沒有廣告之意。使用全在各有所愛。
一.Kaspersky(卡巴斯基)防火墻（Kaspersky Anti-Hacker）
1.設置簡單，和Kaspersky(卡巴斯基)殺毒軟件一起使用沒有沖突，與ZoneAlarm Pro version:5.5.094.000運行也可以，沒見死機。
2.內存占用小，剛啟動時6M左右，最小時1M不到。
3.可以查看正在打開的端口，正在連接網絡的應用程序及連接地址、端口。
4.可以為每個程序定義規則（阻止、允許）及安全類型（瀏覽、文件傳送、信息發送等等）。發現有程序連接時會提示，并允許選擇自定義。
5.可以定義包過濾規則。默認已經定義一些。不過自定義的包過濾規則有點簡單。在一條規則定義幾個端口時不太方便（只能選單個或區間）。
6.本地連接的時候沒有提示。比如通過代理軟件上網，瀏覽器再通過代理軟件連接的時候不會對瀏覽器連接網絡進行提示。
二、ZoneAlarm Pro 5.5.094
1.資源占用較大，兩個進程，zlclient.exe占用4M左右， vsmon.exe占用9M左右。啟動還算快。和Kaspersky(卡巴斯基)殺毒軟件共處相安無事，和Norton防病毒軟件一起工作正常。和 Sygate Personal Firewall可能有沖突。
2.默認設置還算簡單，按默認設置即可阻止很多可疑連接。
3.功能強大，廣告過濾，郵件過濾都不錯。可對每一程序設置連接規則。
4、防火墻的專家設置項可以完成難度比較大的規則設置，設置規則還算簡單，根據參考可以自定義完成。
5、升級到6.0后資源占用變得很大，啟動響應比較慢。
6、對于網關的ARP保護并沒有效果，同局域網機器可以使用ARP欺騙進行攻擊致使無法上網。使用專家項設置IP和MAC綁定也無效果。經查ZoneAlarm 存在一個安全問題，允許未授權用戶在本地局域網安全設置下連接到該防火墻保護的主機。
三、F-Secure Distributed Firewall 5.5
與天網發生沖突，安裝第一次重新啟動后出現藍屏然后重啟。提示信息表示與sknfw.sys文件有關。最后沒有使用就刪除了，可惜。
四、Outpost Firewall pro 2.7.492.416
1、與天網發生沖突，安裝第一次重新啟動后出現藍屏然后重啟。提示信息表示與sknfw.sys文件有關。刪除sknfw.sys后再重新安裝則沒有出現這個問題。
2、與ZoneAlarm Pro有沖突，可以同時安裝兩個，不過只能運行其中一個，不然出現死機。與McAfee.VirusScan.Enterprise.v80共處沒有出現什么沖突。
3、啟動后只有一個進程outpost.exe，Outpost占用內存極小，剛啟動時20M左右，最小化正常后只有2M左右。
4、功能強大，設置復雜。不過按其默認設置基本上可以滿足上網要求。
5、可以查看正在連接網絡的應用程序、連接IP、端口，系統正在打開的端口。已經發送和接收的TCP，UDP數據流量。阻止的各項統計。
6、支持插件，默認安裝了active content,ads,attachment quarantine,attack detection,content,dns cache等插件。使用較多的是active content（包括pop-up windows,activeX controls,javascripts,vbscripts,cookies等的過濾設置）和ads（廣告過濾，