首页
论坛
课程
招聘
[原创] 关于 调用[netsh.exe]添加删除IP策略。实现简单防火墙。
2021-3-2 22:41 1383

[原创] 关于 调用[netsh.exe]添加删除IP策略。实现简单防火墙。

2021-3-2 22:41
1383

原贴:https://bbs.pediy.com/thread-266056.htm

 

时间过去个把月了好像。今晚有时间,把他OD之发现了一些东西。
上述帖子内,和网上能找到的信息都说明,IP策略不存在API。
也就是说 必须使用 [netsh.exe] 这个外壳程序。

 

但问题是,经过多次调试发现。
1、【netsh.GenericMonitor】嵌套执行多次(netsh.exe是有导出函数的,而且是可以正常当DLL加载调用。)。
2、最后直接 <jmp.&POLSTORE.IPSecSetFilterData>
难想象,最后是直接jmp过来。

 

总结,IP策略是有API可用的。

 

下面是32位版本的导出函数,64位的自己整。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
         Press "ESC" to close this window
 
Modul name:POLSTORE.DLL
More
    TimeDateStamp: 57349A88
    Version: 0.00
    Ordinal base: 00000001
    Number of functions: 0000003B
    Number of Names: 0000003B
 
  GenerateIPSECPolicy rva: 0002E1AD ord:   1
  ProcessIPSECPolicyEx rva: 00001E54 ord:   2
  WriteDirectoryPolicyToWMI rva: 0002D8B3 ord:   3
  IPSecAllocPolMem rva: 00028AAC ord:   4
  IPSecAllocPolStr rva: 00028ABC ord:   5
  IPSecAssignPolicy rva: 00022E81 ord:   6
  IPSecClearWMIStore rva: 00023187 ord:   7
  IPSecClosePolicyStore rva: 00022CED ord:   8
  IPSecCopyAuthMethod rva: 00028B6C ord:   9
  IPSecCopyFilterData rva: 00028B2C ord10
  IPSecCopyFilterSpec rva: 00028B3C ord11
  IPSecCopyISAKMPData rva: 00028B4C ord12
  IPSecCopyNFAData rva: 00028B5C ord13
  IPSecCopyNegPolData rva: 00028B1C ord14
  IPSecCopyPolicyData rva: 00028B0C ord15
  IPSecCreateFilterData rva: 000219CC ord16
  IPSecCreateISAKMPData rva: 000226D1 ord17
  IPSecCreateNFAData rva: 00021E8E ord18
  IPSecCreateNegPolData rva: 00021CB2 ord19
  IPSecCreatePolicyData rva: 0002177C ord20
  IPSecDeleteFilterData rva: 00021A32 ord21
  IPSecDeleteISAKMPData rva: 0002276D ord22
  IPSecDeleteNFAData rva: 00022134 ord23
  IPSecDeleteNegPolData rva: 00021D4E ord24
  IPSecDeletePolicyData rva: 0002181F ord25
  IPSecEnumFilterData rva: 000218C2 ord26
  IPSecEnumISAKMPData rva: 00022591 ord27
  IPSecEnumNFAData rva: 00022210 ord28
  IPSecEnumNegPolData rva: 00021B72 ord29
  IPSecEnumPolicyData rva: 00021635 ord30
  IPSecExportPolicies rva: 00022FE1 ord31
  IPSecFreeFilterData rva: 00028ADC ord32
  IPSecFreeFilterSpec rva: 00028BBC ord33
  IPSecFreeFilterSpecs rva: 00028BAC ord34
  IPSecFreeISAKMPData rva: 00028AEC ord35
  IPSecFreeMulFilterData rva: 00028B9C ord36
  IPSecFreeMulISAKMPData rva: 00028BCC ord37
  IPSecFreeMulNFAData rva: 00028BDC ord38
  IPSecFreeMulNegPolData rva: 00028B8C ord39
  IPSecFreeMulPolicyData rva: 00028B7C ord40
  IPSecFreeNFAData rva: 00028AFC ord41
  IPSecFreeNegPolData rva: 00028A9C ord42
  IPSecFreePolStr rva: 00028ACC ord43
  IPSecFreePolicyData rva: 00028A8C ord44
  IPSecGetAssignedPolicyData rva: 00022FB1 ord45
  IPSecGetFilterData rva: 00022347 ord46
  IPSecGetISAKMPData rva: 000228AD ord47
  IPSecGetNegPolData rva: 0002246C ord48
  IPSecImportPolicies rva: 000230AE ord49
  IPSecIsDomainPolicyAssigned rva: 00024497 ord50
  IPSecOpenPolicyStore rva: 000241D2 ord51
  IPSecSetFilterData rva: 00021962 ord52
  IPSecSetISAKMPData rva: 00022631 ord53
  IPSecSetNFAData rva: 00021FE1 ord54
  IPSecSetNegPolData rva: 00021C12 ord55
  IPSecSetPolicyData rva: 000216D5 ord56
  IPSecUnassignPolicy rva: 00022F19 ord57
  RegCreateNFAData rva: 0001BEA4 ord58
  RegCreatePolicyData rva: 0001440A ord59

[培训] 优秀毕业生寄语:恭喜id:一颗金柚子获得阿里offer《安卓高级研修班》火热招生!!!

最后于 2021-3-2 22:50 被ffashi编辑 ,原因: 不完整
收藏
点赞0
打赏
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回