|
|
Anti TCP Session Hijack Ver. 0.7.0916.21
已经更新完毕。
主要更新的内容:
1、修改了强制匹配的逻辑顺序,解决在某些HTTP状态代码下无法过滤的问题。
2、最新支持Vista/Server 2008 32bit版本,补充了Server 2003 32bit版本。
3、编译器已经更新为WDK 6.0.6001.18000。
注:Vista 32bit版驱动,已经在配有多路Xeon处理器的Server 2008 sp1 32bit标准版上测试通过。
鉴于Vista与Server 2008是相同的内核,故不再另寻Vista环境测试。
所有驱动均为对应系统的32位版本,如需X64或IA64版本,请与我联系!
安装说明请参阅下文。
==========又见分隔线==========
Anti TCP Session Hijack Ver. 0.7.0902.20
已经更新完毕。
主要更新的内容:
1、修改了读取链表的逻辑顺序,解决上一版本在链表失效的情况下蓝屏的问题。
伴随着无数次的蓝屏,本程序已经更新了20个版本。。。特此留念!
安装说明请参阅下文。
==========我真的是分隔线啊==========
Anti TCP Session Hijack Ver. 0.7.0618.19
已经更新完毕。
主要更新的内容:
1、更新了特征码定义方法,使用外部文件定义特征码,用户可以自己根据需要修改;『HOT!!』
2、增加了一个强制匹配模式,即跳过对HTTP首部的检查,直接用特征码进行匹配;
3、采用链表结构存储特征码,更高效;
4、修改了丢弃TCP-RST包的逻辑顺序,相关日志更详尽;
5、看看.sys文件的属性,里面有好玩的东西哦~~
本版本安装说明(必看,否则出错):
1、本程序带有一个Filter.txt文档,是存放特征码的文档。如需编辑,必须使用Windows的记事本程序。因为Windows的文本格式与其他系统不同,它使用一个换行符和一个回车符来标记换行。本程序处理字符的过程,按照此标准设计,必须遵循!
2、Filter.txt,需要放在%systemroot%\system32\drivers\目录中,如果你找不到,可以直接运行Setup.bat。
3、Filter.txt,第一行只有一个字符,这是定义程序是否启用强制匹配模式的开关。如果是数字『1』(半角阿拉伯数字1,不含括号),则开启强制匹配模式;如果是其他字符,则关闭。(默认是关闭的)如果你启用了强制匹配模式,那么请务必重新设置特征码。请尽量使用“独一无二”的特征码,否则非常容易出现误报,到时候您就连上网都费劲了!
4、Filter.txt中,特征码每行一个,用回车分隔。(所谓“回车”,参见本注意事项第1条。)每个特征码不要超过20字节,如果超过,则该行的特征码被系统自动放弃。
5、如果您在已经安装了本过滤驱动的情况下,重新定义了特征码,你可以通过卸载重装驱动,或者重新启动计算机来应用新的特征码。这是因为本程序把读取特征码文件的过程放在Miniport初始化阶段所致。(没办法,DDK就是这么要求的。)
6、安装本版驱动,务必卸载旧版本的驱动,二者不兼容!
7、应广东中山的那个朋友要求,做了优化。请你启用强制匹配模式,并删除特征码定义文件中多余的部分!!『切记切记!!』
8、其他还有安装本驱动之后,没法过滤会话劫持广告的,可以效仿第7条,使用强制匹配模式,注意特征码的添加和修改!
==========我是来『给电信业重组扇耳光』的分割线==========
Anti TCP Session Hijack Ver. 0.6.0114.17
已经更新完毕。
主要更新的内容:
1、获取Physical Header的部分重写,『理论上』可以支持不同的网络类型;
2、最新支持PPPoE和802.1X无线网络;
3、改进了处理伪造数据包的部分,丢弃了所有TCP-RST数据包;
4、针对沧州电信那位朋友提供的数据包样本进行了处理。
其他说明:无线网络环境为802.11G,TP-Link无线网卡
=====我是『很黄很暴力』的分隔线=====
Anti TCP Session Hijack Ver. 0.5.1212.16
重新发布。
注意:
本版本为Beta版,尚有一处收包过程没有正确处理。(用于网卡资源紧张的情况)
总之我的网卡连续跑了十几天,目前还没有遇到用该过程收包的情况。
可能导致系统出现蓝屏。如果这样,请重新启动计算机或进入安全模式,卸载本过滤驱动。
主要功能:
过滤ISP制造的会话劫持及会话复位,拦截用上述技术强制插入的广告代码。
本驱动仅仅对辽宁地区网通做了针对性优化。
如果你们那里有ISP的类似行为,而本驱动不能过滤,请您使用『科来网络分析系统』,抓取样本数据包。
抓包的要求:配置过滤器为仅接收HTTP流量,关闭其他网络程序,访问www.csna.cn。待结果出现后,等待几秒钟,然后停止捕捉数据包。
这样可以保证数据包文件最小,并且分析的结果最精确。
主要的改进:
A、核心重写;
B、增加了旋转锁(spin lock),保证多处理器环境下线程的同步;
C、修正了丢包的方法。
系统要求:
本驱动已经编译好,适用于Windows XP 32bit系统。
本驱动仅支持标准的以太网(14字节以太网首部),其他类型的网络会因为数据包首部长度不同而导致本驱动没有任何作用。
PPPoE的话,貌似虚拟的拨号连接是模拟以太网的帧结构,所以应该管用。
希望各位大哥大姐能提供一些不同网络的数据包结构(诸如802.11等等……),我现在也在头疼无线网卡的数据包过滤问题。
安装方法:
打开某个对应的网络连接的状态页面,选择『属性』。点击『安装』,选择组件类型为『服务』,点击『添加』,然后找到驱动压缩包里的『netsf.inf』文件,选择后确定,提示没有数字签名,请选择“继续安装”。
有些系统需要按上述方法再安装netsf_m.inf文件,这个是对应系统的miniport。
如果你安装完毕并且没有蓝屏,那么本驱动已经在你的系统上开始工作了。
如何监控程序的过滤结果:
请下载附件中的DebugView 4.74,然后按照图片中那样配置。注意红圈中的三个按钮,后两个通过单击,让其打X,不需要捕获这两个输出。
下面是输出区,可以清楚地看到本驱动(当然也包括其他一些核心驱动)的输出信息。本驱动输出信息的特点是,以数字开头,然后是冒号,后面是结果。
正在尝试解决的事情(一个比一个难搞):
A、支持多种网络,如802.11;
B、处理发送数据包中的IPID;
C、加入用户接口。
[ 本帖最后由 robur 于 2008-9-16 19:59 编辑 ] |
-
ReadMe
-
-
Passthru.rar
12.55 KB, 下载次数: 447, 下载积分: 积分 -3
0.5.1212.16
-
-
DebugView.rar
222.6 KB, 下载次数: 750, 下载积分: 积分 -3
DebugView 4.74
-
-
ATSH_0.6.0114.17.rar
12.49 KB, 下载次数: 395, 下载积分: 积分 -3
0.6.0114.17
-
-
0.7.618.19.rar
11.79 KB, 下载次数: 198, 下载积分: 积分 -3
0.7.618.19
-
-
0.7.902.20.rar
11.86 KB, 下载次数: 114, 下载积分: 积分 -3
0.7.0902.20
-
-
0.7.916.21.rar
33.01 KB, 下载次数: 475, 下载积分: 积分 -3
|
发表于 2007-12-16 19:29:19
发表于 2007-12-16 19:53:52
