天网是大家常用的防火墙软件，有许多人撰文提议安装天网，一时间天网防火墙成了菜鸟、高手必备工具。这样做当然好，至少说明了大家的网络安全意识提高了许多。但万事都有个“度”，超过这个“度”就不好了。现在有许多人对天网的迷信达到了痴迷的程度，认为安装了天网就高枕无忧了，他们在上网时只是打开天网，至于天网运行得怎么样就不管了。其实，就在此时你危险了！ 
一、堡垒往往是从内部被攻破的 

　　堡垒往往是从内部被攻破的，这话一点都不假。远在古希腊时代，坚固的城墙没有保护住特洛伊人的家园，被一个小小的木马所攻破，在今天这个道理依然应验。 

1.用黑毒克星或NoSkyNet 

　　目前的天网防火墙可谓树大招风，天网也逐渐成为了黑客们攻击的主要对象！针对它的黑客工具也层出不穷，黑毒克星和NoSkyNet就是其中之一。这两个软件共同的特点之一就是小巧隐蔽，另一个特点就是它们将天网破坏殆尽后，居然还能让天网防火墙在任务栏正常显示图标！具有极大的危害性和欺骗性。 

　　虽然黑毒克星和NoSkyNet必须被运行它们才有机会破坏天网防火墙，但百密难免一疏，对于仅几k大小的黑毒克星、NoSkyNet，真的很难保证不会中招（黑客们当然不会那么傻，他们会把黑毒克星、N oSkyNet改名，如改为系统优化或微软补丁之类的名称，这样如果你运行了这些“优化补丁”，你的天网就完了！），对付它们只能自己小心了。 

2.用黑洞2001 

　　黑洞2001是个木马程序，具有出色的多进程监控功能。随着大家安全意识的不断提高，大多数人都安装了网络防火墙，木马们的生存空间越来越小，为生存计，木马开发者想出了一个办法，他让木马服务端定时刷新进程，如果发现其中的进程名称与其事先定义好的相符合，就将这个进程关闭，如果这个被关闭的进程恰巧就是防火墙，那你的网络大门就完全敞开了，监控端就可为所欲为了。 

　　事实上这个功能就是针对防火墙出现的，一切堡垒都是从内部被攻破的在此得到了充分的体现。其实在黑洞2000中就有了这样的功能，只不过黑洞2 000只能关闭天网防火墙，对其它防火墙没有任何作用。黑洞2001则可以定义长达99个英文字符号，完全可以将您可能会用到的防火墙都定义到其中，从而可将这些防火墙全部关闭！ 

对于黑洞2001的多进程监控功能，让我们作一个小测试。首先，在客户端作配置。点击“修改远程服务器端设置”按钮，再点击其中的“智能监控”标签，出现如图所示画面( 如图1)。 


图1 

　　在“进程监控”栏中添入“墙，毒，LOCK”，选中“使用进程监控”，然后点击“修改配置”保存设置。在服务端运行天网防火墙、金山毒霸、L ockdown、PC-Cillin等软件，一分钟后这些软件被自动关闭！由上可以看出如果你中了黑洞2001，那么你的防火墙就全成了聋子的耳朵——摆设！ 

3.利用“反弹端口”型木马 

　　国内第一个“反弹端口”型木马“网络神偷”就可以突破天网防线，使天网失效。“正常”木马是由客户端主动连接服务端的，通俗的说就是下木马方要主动连接中木马的机子，这样很容易让防火墙发现；而反弹端口型木马与一般的木马相反，反弹端口型木马的服务端（被控制端）使用主动端口，客户端（控制端）使用被动端口，当要建立连接时，由客户端通过 FTP 主页空间告诉服务端：“现在开始连接我吧！”，并进入监听状态，服务端收到通知后，就会开始连接客户端。为了隐蔽起见，客户端的监听端口一般开在8 0，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似“TCP　服务端的IP地址:1026　客户端的IP地址:80 ESTABLISHED”的情况，稍微疏忽一点你就会以为是自己在浏览网页。（防火墙也会这么认为的，我想大概没有哪个防火墙会不给用户向外连接8 0端口吧）。因此这类木马可以突破几乎所有的防火墙（包括代理防火墙及过滤型防火墙）！ 

在我用“网络神偷”试验过程中，在天网设置成默认规则的情况下，服务端连接成功并进行文件访问，服务端主机上的天网毫无反应！天网就这样被突破了！“反弹端口”型木马由于是由服务端主动连接客户端的，所以天网规则里的“禁止所有人连接”对它是一点用也没有，只要“允许F TP的数据通道”开启和“TCP数据包监视”关闭（默认设置正是这样），天网就不会有任何反应的，这可比黑洞等木马一上来就关闭天网要危险多了！ 

　　注：由于网络神偷使用了VxD技术，因此该软件无法在Windows2000/NT下使用，非Windows2000/NT下的朋友就要小心它了！