查看: 20|回复: 0
流量劫持，你，了解么？
威望值经验值金钱
　　网站的策划人员认为，现在传得很猛的“流量劫持”，其实细分为两种，让我们一起来见识一下吧：
　　第一种方式的“流量劫持”：就是技术高手通过浏览器插件、电脑插件、病毒等等方式自动把用户正常访问的淘宝链接自动转换成自己的淘客链接，大家只要一听说“流量劫持”四个字就会想到的是这种方式。
　　第二种方式的“流量劫持”：通过SEO淘宝关键词、竞价排名等方式，把本来应该直接可以去淘宝网的用户带到了你的网站，按照联盟的解释，你的这个行为就属于劫持了本该属于淘宝的流量。比如说用户想去淘宝网，然后在百度搜索了“淘宝网”这个关键词，结果你的站的这个关键词排名比较高，排在了第二，于是用户点击进入了你的网站，再通过你的淘客链接进入淘宝网，这样淘宝联盟就认为：如果你的站没有这个关键词，那么用户应该是直接进入淘宝网，无需到你的网站再通过你的淘客链接进入，你把本该属于淘宝的流量引导到了你的站，属于流量劫持，你的佣金就这样被冻结了。
　　很多人被冻结佣金后，被联盟说是“流量劫持”，想到的总是第一种，没有想到第二种，于是申诉申诉再申诉，联盟又不告诉你详细，只告诉你“流量劫持”四个字，让你百思不得其解。
　　其实联盟所说的“流量劫持”有一个核心的意思就是：不管你用什么方法，只要把那些目的是直接去淘宝网的用户，在用户不知情或者误解的情况下引导到你的站，再通过你的淘客链接进入淘宝网的行为，就叫“流量劫持”。
温州品味阁广告扇厂
当前热门 /1
东莞畅乐低聚果糖绿色食品天猫旗舰店招聘天猫/淘宝SEO，网络推广，兼职淘宝客多名，SEO和推广是全职上班的，地点在东莞市樟木头镇，兼职淘宝客面向全国的，可以直接加QQ：，细节详谈
工作日:09:00-18:00 帖子删除请您加QQ: / SEO优化: / SEO建站: / 广告业务:
Powered by Discuz- -　　前几天上网打开163首页时，发现页面底部莫名其妙的出现一个边框。这在以前可是未曾有过的，而且以后也绝不可能会有这么丑陋的设计。　　趋于好奇心，立刻在边框上点了右键审查元素。尼玛，不看不知道，网易首页的HTML何时变得这么劣质了？　　没有doctype声明，连title元素都没有。script还是language=JScript风格，这得追溯到多少个世纪前了~　最劣质的是框架居然还是&frameset&元素。。。　　　　不用说，这显然不是网易的页面。页面里的ad字样，早已深深的出买了它，这就是个广告页面！&　　话说生在天朝，对于各种劫持早已司空见惯。　　在网页里劫持广告，油价2块钱一升的时代就有了，过了世界末日依旧存在，说明其中的利益是巨大的。　　不用计算，用手指估算下就知道了。我朝有好几亿电脑和手机用户，每天有无数个网页被打开。哪怕在1%的网页里插一个广告，都有数百上千万次的展示数量，其中的商机不言而喻。。。　　尽管对此有些无奈，但只要插入的广告不影响正常上网，也没什么意见。如果水平够高，完全可以伪装成页面里本来的广告，至少形式上一样，看不出任何的破绽。这样非但不BS，反倒会有些佩服。　　然而，至今见过的各种广告劫持代码，简直一个比一个劣质。这一次见到的，算是垃圾中的战斗机了。随便找个网页编辑器，自动生成的HTML也比这强多了，再随便找些css稍微修饰下，完全就不会被一眼看出是山寨套牌网页了。尼玛的这本身就是暗地里的干活，却没有任何简单的加密混淆，还光明正大的明文写着广告字样，这不是赤果果的秀智商下限吗？　　不过今天既然花时间吐槽这破玩意，就干脆再深入的讨论讨论未来可能还会出现的变招。　　　　Lv1. 当前最常见的：把被劫持的网页套在自己的空壳里。　　其实这样做的目的很明确，让广告显示在浏览器的最上方。一般为了达到这个效果，会把广告显示在页面的右下角，盖住被劫持页面的滚动条，看起来就像是浮动在浏览器之外一样！　　这招够狠，乍一看，还真以为是QQ之类的软件弹出的消息框呢。不过只要把浏览器窗口退出最大化，顺便再拖一下窗口，广告也跟着动起来了：）假李鬼就瞬间原形毕露了！　　防范措施　　这种劫持毫无技术含量可言，反劫持也相当容易。只要在自己网页里验证下window.top，是不是在合法的URL列表里。如果不是，那就不允许被内嵌在其他网页内。更好的办法就是把top地址提交到后台服务器上，统计下究竟有哪些网站套了自己的页面。&　　Lv2. 在返回网页里插入外链&script&　　这种做法相比之前的，要隐蔽的多，至少不会把人家网页的源文件给替换了。　　当然，如果仅仅是在网页的最后面插入&script&，那还是能被瞬间揭穿，甚至会报毒，因为这太山寨了！有哪个正常的网页会在&/html&后面跟内容呢？只有挂马的脚本。。。　　不过，要是放对地方，还真不能一眼看出。例如把广告的&script src=""&插在&head&&/head&其中的密密麻麻引用外部js的地方，至少能混上一段时间了。防范措施　　一般来说，插入的&script&大多都是外链形式的，这样广告变换会比较灵活。对于这种劫持，就要使用类似杀毒软件扫描可疑模块的原理。　　广告不管怎样插，最终都会以静态HTML留在网页里，这是不容抹去铁证！　　当我们的网页HTML加载完毕，触发DOMContentLoaded时，我们可以开始扫描一遍DOM内所有的&script&标签。如果发现有不在信任列表里的src，那么网页很有可能被注入了可疑的脚本！　　我们可以提交可疑脚本的url到后台服务器，做进一步认证。如果确实有风险，那么必须弹出警告框提醒用户。　　Lv3. 在返回网页里插入内置&script&　　相比外链的脚本，内置的就棘手的多。外链的url域名的总是那么几个，可以简单的实现过滤。但内置脚本就千变万化了！随机变量名，插入废代码，各种玄乎。。。不过，魔高一尺，道高一丈~防范措施　　想最简单的对付这种劫持，我们必须预先默认个规定，来识别真假脚本元素。我们给自己的&script&元素设置个固定的标签，例如&script myjs="true"&。当然具体的标签名和值是经常变动的，对于劫持程序来说，显然不知道会有这么个规矩，仍然傻乎乎的插入&script&...&/script&。　　于是在之后的"肃反运动"中，可以直接清洗掉了。。。　　Lv4. 在返回网页的&script&里混入广告代码　　随着劫持程序不断升级，招数会变的越来越狠。说不定某天，劫持程序内置一个html语义分析器，智能的把广告脚本合并混淆到页面原先的js里！　　若要真是这样，那么之前说的给自己的脚本元素加上特征码也无济于事了。因为特务已深深的混入到了我们内部，真真假假很难被识别！　　最致命的是，脚本未必都是放在&script&&/script&，也有可能是&element onxxx=""&的内联形式。。。这下麻烦大了，我得想想怎么解决。。。防范措施　　对于这种情况，还真找不到一个简单的方法来识别。唯一能走通的路，就是在发布HTML时，记录下文件的Hash值。可以把值写入网页，或者存在数据库里。　　当网页内容加载完成时，我们通过ajax再次读取当前页面的内容（一般来说读的就是当前页面的缓存数据）。通过同样的算法算出页面的校验值，和原始值一比对，就知道页面是否被第三方篡改了。　　我们还可以把篡改过的html发到后台，找出字符串差异部分，让技术人员分析分析到底做了哪些手脚。　　当然，这只限于静态网页。　　Lv5. 在返回网页的外链脚本里混入广告代码　　这招可算是终极篇 &&&& 它完全不修改任何HTML内容！　　然而，一般的网页多多少少要外链几个js文件吧。于是，那些外链的脚本就成了香饽饽的肥肉被盯上了！　　当然也可以像验证html那样，事先计算出所有的js文件的hash值，然后再使用ajax重新读数据认证比对。　　不过可别忘了，外链js的路径可以是任意的，而ajax只能读取同源站点。而且，外链的&script&也无法读取其text内容。于是当我们使用站点外的js文件时，劫持程序可以肆无忌惮的从中混入代码！防范措施　　由于受到沙箱策略的严格控制，我们根本无法获得外部js内的实际内容，所以：走为上。尽量不使用外部站点的js文件。　　对于自己站点，但不是同个域名的，可以使用Flash的URLLoader跨域加载，只需部署一个crossdomain.　　Lv6. 把返回网页的图片内容替换成广告图片　　这样的流量劫持已经超越人类了，赶紧派一个神做了它吧。。。防范措施　　理论上，完全可以解决。事实上，也没问题，只是工作量巨大。。。　　不过外链图片不管同源还是跨域的，都可以由Flash直接读取，所以可以和html和js一样，我们使用文件二进制的Hash比对，同样可以验证图片数据是否被劫持。　　当然要事先要计算出站点下或外链图片的hash值，客户端也要分析出当前页面里用到的图片，并逐个验证。这不得不说是个蛋疼的过程。。。　　　　＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝　　暂时就YY到这里，以后有新的想法或更好的解决方案，继续来这里补充。　　大家有什么巧妙的检测方法，欢迎留言～　　上面说了一大堆，其本质无法就是在客户端，把使用到的资源和服务器原始资源二进制校验，将出现问题的资源反馈给后台记录，找出安全隐患。　　虽然这里假象嵌入的仅仅是广告脚本，然而这种脚本拥有和页面内其他脚本一样的权限，因此可以轻而易举的获得用户的cookie。嵌入的脚本甚至可以通过WebSocket连接到黑客控制台，发送你的鼠标和键盘的一举一动，以及页面上显示的内容；对方还可以远程控制，让js在页面里悄悄执行各种意想不到的操作。。。
[页设计]浅谈站流量劫持防范措施_郑少群个人浅谈站流量劫持防范措施 时间: 03:43
浏览:人 前几天上打开163首页时,发现页面底部莫名其妙的出现一个边框。这在以前可是未曾有过的,而且...浅谈站流量劫持防范措施 - 站安全 - 红黑联盟[]浅谈站流量劫持防范措施 11:54:19 我来说两句 作者:EtherDream收藏 我要投稿 前几天上打开163首页时,发现页面底部莫名其妙的出现一个边框。这在...浅谈站流量劫持防范措施-WEB安全-黑吧安全[]浅谈站流量劫持防范措施来源:本站转载 作者:EtherDream 时间: TAG: 我要投稿 前几天上打开163首页时,发现页面底部莫名其妙的出现一个...浅谈劫持站流量核心技术 - 杂谈活动 A5交易 admin55条回复&-&发帖时间:&日浅谈站流量劫持防范措施-WEB安全- - 百科教程_经验分..._上学吧 这样的流量劫持已经超越人类了,赶紧派一个神做了它吧。。。 防范措施 理论上,完全可以解决。事实上,也没问题,只是工作量巨大。。。 不过外链图片不管同源还是...Web的脆弱性:各种注入、攻击 - 站安全 - 红黑联盟上一篇:浅谈站流量劫持防范措施 下一篇:Discuz X2后台getshell 鸡肋 相关文章web脆弱性评估&漏洞利用WEB应用脆弱性防止策略突破SA的各种困难各种数据库SQL注入残章...HTTPS 能否避免流量劫持?_沃通 SSL 报道_技巧知识_..._硅谷动力[]Https是很有效的流量劫持防范措施,无论是络服务提供商还是广大民,为自己的帐户安全和权益,都要形成使用https访问站的习惯和意识,重要的站必定...大流量站应注意被恶意劫持流量-SEO优化-28推论坛 -9条回复&-&发帖时间:&日etherdream是什么意思_etherdream的翻译_音标_读音_用法_例..._必应必应词典为您提供etherdream的释义,络释义: 浅谈站流量劫持防范措施;冷却效果;... 浅谈站流量劫持防范措施(EtherDream)[推荐]实在受不了canvas的语法了!emag...电信运营商劫持百度站流量挨罚数十万元_Baidu 百度Beta据悉,青岛中院判决联通青岛和青岛奥商络涉及用不正当方式劫持其他商业站流量,对两家课以数十万元人民币罚金并勒令其公开道歉,这也是国内首起电信运营商因...你的站域名是否安全 站长应防止域名劫持 - A5站长站域名安全一直是大家关注的问题,我们知道如果自己的站域名被劫持,那么用户无法正常访问,站流量受损,一些域名被解析到恶意钓鱼站,导致用户财产损失。疯狂的淘宝客:一次搜索引擎流量劫持事件分析 - 为程序员服务站搜索引擎流量被劫持,高手帮忙看看 - 站长资源交流 - ..._落伍者9条回复&-&发帖时间:&日windows虚拟主机提权方法总结 < 小残&#39;s Blog – 关注络安全目前国内大部分站的现状是建立在各大虚拟主机系统上,独立服务器的站点是越来越...DDOS deflate如何抵御DDOS攻击 浅谈站流量劫持防范措施 相关文章webshell提权拿...我的个人站在吧流量被劫持?我的个人站,现在做..._爱问知识人 我的个人站在吧流量被劫持? 我的个人站,现在做的不是私服站,可是在吧却被维直接给跳转到他们的私服站上去了,怎么处理啊? 1条回答 分享到: ...劫持流量是什么意思呢?_百度知道3个回答 - 提问时间: 日1.劫持友浏览,增加某个站的流量,以获取非法收益。 限制流量或劫持 2.它可以对IE6、IE7浏览器栏进行劫持来刷搜索流量,同时监视用户的进程操作,并......【人类何苦互相伤害】 百度起诉360二审细节:奇虎承认劫持流量 ... >> 百度起诉360二审细节:奇虎承认劫持流量 提出和解遭拒 9月4日,北京...百度表示,对搜索结果进行标注并无必要,“奇虎360所标注的少数 恶意站 中...浅谈百度的快照劫持-站推广/SEO优化-站帮8条回复&-&发帖时间:&日防止【宽带运营商】强插广告、对页劫持,跳转,加尾巴+..._吾爱破解5条回复&-&发帖时间:&日电信运营商“劫持”商业站流量被罚-新闻频道-和讯百度昨日宣布,日,山东省高级人民法院对百度诉青岛联通(600050,股吧)等流量劫持案件进行了终审判决。法院判定青岛联通流量劫持的行为构成对...防止电信运营商域名劫持的办法 另外,除了域名劫持,运营商还有一个更卑鄙的做法,那就是流量劫持,直接修改页内容,加入或者替换广告,如果你访问的站经常被加入莫名其妙的广告,很可能就是这种...[科普文] 什么是络流量劫持?揭秘详解黑客劫持的攻击手段与防御...流量劫持能有多大危害? - EtherDream - 博客园[页设计]WiFi流量劫持 —— 打开任意页各大站皆中毒_郑少群...浅谈站流量劫持防范措施 | IT瘾 相关[站 流量 劫持] 推荐: 浅谈站流量劫持防范措施 - - 博客园_EtherDream の 原创空间 前几天上打开163首页时,发现页面底部莫名其妙的出现一个边框...流量劫持是如何产生的?(5) - 站长之家谈谈站流量与上赚钱的关系_络辅助_太平洋电脑PConline 纯净无劫持!百度低调推出公共DNS服务08日 夏末...络广告位评估的站,让数据来帮我们衡量流量...浅谈液晶显示器最佳分辨率 诺基亚Lumia 2520无法...【论文】浅谈对流量测量仪表的防腐措施_百度文库 浅谈对流量测量仪表的防腐措施_专业资料。腐蚀性介质对流量测量仪表的损害是最严重的,虽然随着新的耐腐蚀材料不断出现,耐腐蚀流量计也不断改进,仍然不能避免腐蚀...WiFi流量劫持—— JS脚本缓存投毒(2)_幽灵学院 - 中国最权威的...所以只能使用DNS劫持的方法来获得用户的流量。因此也就产生了一使用NodeJS,我们... 无线络防止黑客攻击完全手册 使用HTTPS 的站也能被黑客监 Backdoor.Farfli!...“流量劫持”意思其实有两种,你知道了吗_百度知道1个回答 - 提问时间: 日1.劫持友浏览,增加某个站的流量,以获取非法收益。 限制流量或劫持 2.它可以对IE6、IE7浏览器栏进行劫持来刷搜索流量,同时监视用户的进程操作,并...发现论坛流量不够用,PR检测劫持其他站PR?_百度知道2个回答 - 提问时间: 日流量不错!它的流量能辅助的提升站的流量,和世界排名.PR等都可以,另外他们就像这样:简单分析站流量劫持防范措施(图文)_络赚钱_站运营_脚本之家[]接下来详细介绍站流量劫持 前几天上打开163首页时,发现页面底部莫名... 这样的流量劫持已经超越人类了,赶紧派一个神做了它吧。。。 防范措施...流量劫持能有多大危害? FEX 做最专业的前端上一篇文章,介绍了常见的流量劫持途径。然而无论用何种方式获得流量,只有加以利用... 防范措施:重要的站必定使用 HTTPS 协议,登陆时需格外留意。 国外的大型站...流量劫持 —— 浮层登录框的隐患
传统的登录框
在之前的文章流量劫持危害详细讲解了 HTTP 的高危性，以至于重要的操作都使用 HTTPS 协议，来保障流量在途中的安全。
这是最经典的登录模式。尽管主页面并没有开启 HTTPS，但登录时会跳转到一个安全页面来进行，所以整个过程仍是比较安全的 && 至少在登录页面是安全的。
对于这种安全页面的登录模式，黑客硬要下手仍是有办法的。在之前的文章里也列举了几种最常用的方法：拦截 HTTPS 向下转型、伪造证书、跳转钓鱼网站。
其中转型 HTTPS 的手段最为先进，甚至一些安全意识较强的用户也时有疏忽。
然而，用户的意识和知识总是在不断提升的。尤其在如今各种网上交易的时代，安全常识广泛普及，用户在账号登录时会格外留心，就像过马路时那样变得小心翼翼。
久而久之，用户的火眼金睛一扫地址栏即可识别破绽。
因此，这种传统的登录模式，仍具备一定的安全性，至少能给用户提供识别真假的机会。
华丽的登录框
不知从何时起，人们开始热衷在网页里模仿传统应用程序的界面。无论控件、窗口还是交互体验，纷纷向着本地程序靠拢，效果越做越绚。
然而华丽的背后，其本质仍是一个网页，自然掩盖不了网页的安全缺陷。
当网页特效蔓延到一些重要数据的交互 && 例如账号登录时，风险也随之产生。因为它改变了用户的使用习惯，同时也彻底颠覆了传统的意识。
乍一看，似乎也没什么问题。虽然未使用登录页跳转，但数据仍通过 HTTPS 传输，途中还是无法被截获。
HTTP 页面用 HTTPS 有意义吗？
如果认为这类登录框没什么大问题，显然还没领悟到『流量劫持』的精髓 && 流量不是单向的，而是有进也有出。
能捕获你『出流量』的黑客，大多也有办法控制你的『入流量』。这在流量劫持第一篇里也详细列举了。
使用 HTTPS 确实能保障通信的安全。但在这个场合里，它只能保障『发送』的数据，对于『接收』的流量，则完全不在其保护范围内。[1]&&&&&
【声明】:黑吧安全网()登载此文出于传递更多信息之目的，并不代表本站赞同其观点和对其真实性负责，仅适于网络安全技术爱好者学习研究使用，学习中请遵循国家相关法律法规。如有问题请联系我们，联系邮箱，我们会在最短的时间内进行处理。
上一篇：【】【】查看: 1589|回复: 7
深度分析流量劫持木马样本：百度杀毒可拦截
开始爱你了
　　　近日，百度官方声明说率先监测到一款伪装成游戏启动器，与色情游戏打包进行传播的流量劫持型木马，正在迅速蔓延。该木马是通过大量过滤HTTP请求包，实现网页域名的重定向，引诱用户访问黑客推广的ID页面，劫持流量，从而牟取大量的推广费用。
病毒名称：win32.Trojan-Dropper.Agent.jsla
& 病毒类型：Dropper
& 文件MD5：e9e7e331db65aa64d838d6ad5eccf4f7
& 危害等级：中
& 感染系统：windows
& 开发工具：Broland Delphi 7.0
& 加壳类型：无
& 木马描述：该木马通过加载驱动的形式，在Device\TCP设备栈顶附加过滤驱动，当用户访问特定网站时，HTTP请求包流经木马过滤设备，过滤设备对特定网站的HTTP请求包进行重定向，把用户请求重定向到黑客预定的推广链接，从而达到劫持用户请求的目的。
& &&&该木马通常伪装成游戏启动器，通常与一些色情游戏打包在一起进行传播。目前，在网上，这些色情游戏广泛的通过各种论坛、网盘、游戏下载站等渠道进行传播，鱼龙混杂；由于游戏内容的特殊性，此类游戏的下载量一般比较大；我们从网上找到一个捆绑有此类启动器的游戏下载站，从下载站统计数据可知，单个游戏下载量已经达到上千次，保守估计，该木马至少感染了数十万台计算机。下载后解压文件如图所示：
我们可以简单的算一下，一台计算机一天，假设全部是通过推广渠道访问各种搜索页面，如：百度、搜狗、淘宝、京东等等，所有推广流量产生的推广收益是1毛，那一万台机器，一天产生的推广收益将是1000块，在理想情况下，一个月，黑客的推广收益将是3,0000元。这就是流量劫持背后不可告人的秘密。
　　当木马程序运行时，会在当前目录释放gamechk.dll、wvi.dll和svvr.ini文件，在Windows\System32下释放safeini.cfg和dvsrec.ini文件，在Windows\System32\drivers下释放websafe.sys，并将所有文件属性设置为隐藏。这些文件中，动态链接库和配置文件，在用完后会被删除。
　　　gamechk.dll是木马程序其他功能模块的载体；模块被加载以后，首先尝试打开wvi.dll,如果不存在，则在当前目录下创建wvi.dll文件；然后加载wvi.dll,保存wvi.dll导出函数指针并调用wvi.RemoveDriver函数移除原有的驱动对象。
　　　接着，尝试打开System32\drivers下的websafe.sys,若不存在，则释放websafe.sys文件并设置隐藏，只读属性后，调用wvi.InstallDriver函数安装驱动对象。
　　　最后，尝试打开System32\下的safeini.cfg文件，若不存在，则释放出加密后的safeini.cfg文件并设置隐藏属性。
& wvi.dll行为分析
Wvi.dll模块主要功能是加载和卸载驱动模块、检测驱动模块运行情况以及解密和加载驱动配置文件safeini.cfg。LoadConfig函数中，首先会对配置文件进行一次解码，然后在调用zLib库对解码后的文件进行解压。
　　解压成功之后，会在注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control中，创建webhj键，其中Search键值，就保存着解压后的配置文件。
　　最后，打开设备，发送配置文件更新命令，使得驱动模块读取最新的配置文件。
& Websafe.sys行为分析
Websafe.sys是一个\Device\Tcp设备过滤驱动，驱动加载之后，会生成一个设备对象，然后附加到\Device\Tcp设备栈顶。
　　附加了\Device\Tcp过滤设备之后，对于应用层传来的HTTP请求包，过滤设备可以先于系统设备拿到HTTP请求包，在设备收到上层控制程序发来的加载配置文件的IO控制指令后，驱动模块会去读取注册表中保存的过滤信息。注册表键值路径为：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\webhj\Search。
　　要过滤上层发过来的数据包，主要是在IRP_MJ_INTERNAL_DEVICE_CONTROL（主功能号）下的TDI_SEND（次功能号）处理函数中进行的。上层应用发起一个HTTP请求，最终是通过TCP协议进行打包下发的，所以，附加Device\Tcp设备就可以得到HTTP请求包的内容。
& & 接下来是过滤驱动如何根据注册表中的配置项对HTTP请求包进行过滤。首先我们来看一下注册表中的配置项内容：
其中，[GET /? HTTP/1.]，就是HTTP请求包的前几个字节，接着是一个通配符，再接着是Host域名[Host：]，紧接着又是一个通配符。从G开始，+128位置的字串，注意开头的字串，[HTTP&]，紧接着又是一个通配符。从G开始，+128位置的字串，注意开头的字串，HTTP&/1.1 302 Found]，302 Found用于URL重定向用的。
& &&&以下是匹配请求包内容是否符合过滤规则的关键代码：
　　该代码对应函数，输入参数：pAddrBuf，AddrBufLength，pFilterContain；当请求包中的格式与注册表配置项中的格式相符合，返回TRUE。若当前请求包与过滤规则格式相符，则获取该规则对应的数据包内容。
& & 在HTTP包重定向的过程中，黑客在网址中加入了自己的推广ID，其实就相当于当前的HTTP访问是从黑客的推广页面跳转到这些首页的，这就是一种流量劫持方式。互联网公司会给每一个渠道商分配特定的推广ID，一段时间后，会根据推广ID跳转流量大小，给渠道上一定的推广费用。
用户在正常情况下，直接访问这些首页，是不会有渠道商的推广ID的，这些访问流量对于互联网公司来说是不用付费的；但是通过这种方式劫持以后，用户流量就变为从渠道商推广页面跳转到互联网公司首页的，那么互联网公司就必须为原本是自己的流量付费。这就是一种抢劫行为。
一、首页劫持测试
正常情况下访问百度首页：
被劫持以后，访问百度首页：
& 可以从图中看到，被劫持以后，访问搜索网站首页时，会出现一个推广ID；通常情况下，出现推广ID是表明当前访问是从推广页面跳转过来的，但是实际上，用户并没有访问到渠道商的推广页面，而是直接访问百度首页，但是发出去的HTTP请求被重定向到渠道商的推广页面上，再跳转。神不知，鬼不觉。
二、搜索关键字屏蔽
正常情况下
被木马劫持后
从图中可以看到，正常情况下，我们在输入搜索关键字后，会有相关搜索内容下拉框出现；当用户被劫持后，获取相关搜索内容的HTTP请求包都被重定向为：*Connection: close。所以就获取不到相关的搜索关键字内容。
& &&&三、搜索内容劫持
被木马劫持后
从图上可以看到，用户被劫持后，搜索链接网址改变了，而且在搜索结果后多了一个淘宝客的ID，这个ID就是黑客加入的推广ID。
& &目前百度杀毒官方表示可成功拦截此木马，在此木马侵入到计算机中，不光是劫持流量这么简单，很可能在网友登陆各大搜索网站时，窃取账号密码等信息，大家平时一定要对游戏网站应提高警惕，色情东西虽诱惑，但是还是要谨慎。
确实应该注意
左邊那個不就是漢化啟動主程序麼
W.S.DREAMER
好专业的赶脚
websafe.sys，杀无赦啊
星空神话724823
支持一下。收藏了慢慢看。
这文章··· ···真的是LZ自己写的？如果是转帖麻烦换个标签
太专业了～～～～
Copyright & KaFan & All Rights Reserved.
Powered by Discuz! X3.1( 苏ICP备号 ) GMT+8,}