[测试]WIN32全平台的使用WFP实现禁止访问指定域名（VISTA+）

Tesla.Angela

如果需要购买这个PoC的源码，请查看这里。

注意：部分PoC使用了知名的泄露证书（比如：“HT SRL”等）进行签名，微软在最新的系统上已经将这些证书拉黑。如果您发现驱动无法加载，请使用没有被微软拉黑的证书给驱动重新进行签名，或使用signtool工具移除驱动的签名后再关闭DSE进行测试。

---

WIN64版：http://www.m5home.com/bbs/thread-9503-1-1.html

在《WIN64教程》里，我讲述了如何使用WFP实现监控网络连接。不过教程里的WFP例子能被ARK工具枚举出Filter和Callout（因此你设置的拦截器可以被干掉）。而这个PoC实现了禁止访问指定域名，而且ARK找不到来自你的程序的Filter和Callout（我使用了WIN64AST、Windows Kernel Explorer和PCHUNTER-VIP测试，均未发现）。此PoC无硬编码，支持VISTA之后所有的系统。值得一提的是，这个PoC有应用程序版和驱动程序版，均可独立工作，适用于不同的场景。合法使用场景：OA软件在工作机器上禁止员工访问游戏/视频/购物网站；非法使用场景：Malware拦截安全软件访问“云安全中心”躲避“云查杀”。

技术亮点：
1、无WFP-FILTER和WFP-CALLOUT（或者说主流ARK工具都找不到）。
2、驱动版本实现了在内核里转换域名到IP地址（gethostbyname）。

测试方法：
1、加载驱动程序BlockDomain32.sys或者运行应用程序BlockDomain32.exe。
2、在浏览器里输入论坛网址（www.m5home.com/bbs），论坛无法被打开。卸载驱动程序或者关闭应用程序后，论坛可以被打开。