[Anti-TSH] 重新发布（0.7.0916.21）[080916更新]

robur

Anti TCP Session Hijack Ver. 0.7.0916.21
已经更新完毕。

主要更新的内容：
1、修改了强制匹配的逻辑顺序，解决在某些HTTP状态代码下无法过滤的问题。
2、最新支持Vista/Server 2008 32bit版本，补充了Server 2003 32bit版本。
3、编译器已经更新为WDK 6.0.6001.18000。

注：Vista 32bit版驱动，已经在配有多路Xeon处理器的Server 2008 sp1 32bit标准版上测试通过。
鉴于Vista与Server 2008是相同的内核，故不再另寻Vista环境测试。
所有驱动均为对应系统的32位版本，如需X64或IA64版本，请与我联系！

安装说明请参阅下文。

==========又见分隔线==========

Anti TCP Session Hijack Ver. 0.7.0902.20
已经更新完毕。

主要更新的内容：
1、修改了读取链表的逻辑顺序，解决上一版本在链表失效的情况下蓝屏的问题。

伴随着无数次的蓝屏，本程序已经更新了20个版本。。。特此留念！
安装说明请参阅下文。

==========我真的是分隔线啊==========

Anti TCP Session Hijack Ver. 0.7.0618.19
已经更新完毕。

主要更新的内容：
1、更新了特征码定义方法，使用外部文件定义特征码，用户可以自己根据需要修改；『HOT！！』
2、增加了一个强制匹配模式，即跳过对HTTP首部的检查，直接用特征码进行匹配；
3、采用链表结构存储特征码，更高效；
4、修改了丢弃TCP-RST包的逻辑顺序，相关日志更详尽；
5、看看.sys文件的属性，里面有好玩的东西哦～～

本版本安装说明（必看，否则出错）：
1、本程序带有一个Filter.txt文档，是存放特征码的文档。如需编辑，必须使用Windows的记事本程序。因为Windows的文本格式与其他系统不同，它使用一个换行符和一个回车符来标记换行。本程序处理字符的过程，按照此标准设计，必须遵循！
2、Filter.txt，需要放在%systemroot%\system32\drivers\目录中，如果你找不到，可以直接运行Setup.bat。
3、Filter.txt，第一行只有一个字符，这是定义程序是否启用强制匹配模式的开关。如果是数字『1』（半角阿拉伯数字1，不含括号），则开启强制匹配模式；如果是其他字符，则关闭。（默认是关闭的）如果你启用了强制匹配模式，那么请务必重新设置特征码。请尽量使用“独一无二”的特征码，否则非常容易出现误报，到时候您就连上网都费劲了！
4、Filter.txt中，特征码每行一个，用回车分隔。（所谓“回车”，参见本注意事项第1条。）每个特征码不要超过20字节，如果超过，则该行的特征码被系统自动放弃。
5、如果您在已经安装了本过滤驱动的情况下，重新定义了特征码，你可以通过卸载重装驱动，或者重新启动计算机来应用新的特征码。这是因为本程序把读取特征码文件的过程放在Miniport初始化阶段所致。（没办法，DDK就是这么要求的。）
6、安装本版驱动，务必卸载旧版本的驱动，二者不兼容！
7、应广东中山的那个朋友要求，做了优化。请你启用强制匹配模式，并删除特征码定义文件中多余的部分！！『切记切记！！』
8、其他还有安装本驱动之后，没法过滤会话劫持广告的，可以效仿第7条，使用强制匹配模式，注意特征码的添加和修改！

==========我是来『给电信业重组扇耳光』的分割线==========

Anti TCP Session Hijack Ver. 0.6.0114.17
已经更新完毕。

主要更新的内容：
1、获取Physical Header的部分重写，『理论上』可以支持不同的网络类型；
2、最新支持PPPoE和802.1X无线网络；
3、改进了处理伪造数据包的部分，丢弃了所有TCP-RST数据包；
4、针对沧州电信那位朋友提供的数据包样本进行了处理。

其他说明：无线网络环境为802.11G，TP-Link无线网卡

=====我是『很黄很暴力』的分隔线=====

Anti TCP Session Hijack Ver. 0.5.1212.16
重新发布。

注意：
本版本为Beta版，尚有一处收包过程没有正确处理。（用于网卡资源紧张的情况）
总之我的网卡连续跑了十几天，目前还没有遇到用该过程收包的情况。
可能导致系统出现蓝屏。如果这样，请重新启动计算机或进入安全模式，卸载本过滤驱动。

主要功能：
过滤ISP制造的会话劫持及会话复位，拦截用上述技术强制插入的广告代码。
本驱动仅仅对辽宁地区网通做了针对性优化。
如果你们那里有ISP的类似行为，而本驱动不能过滤，请您使用『科来网络分析系统』，抓取样本数据包。
抓包的要求：配置过滤器为仅接收HTTP流量，关闭其他网络程序，访问www.csna.cn。待结果出现后，等待几秒钟，然后停止捕捉数据包。
这样可以保证数据包文件最小，并且分析的结果最精确。

主要的改进：
A、核心重写；
B、增加了旋转锁(spin lock)，保证多处理器环境下线程的同步；
C、修正了丢包的方法。

系统要求：
本驱动已经编译好，适用于Windows XP 32bit系统。
本驱动仅支持标准的以太网（14字节以太网首部），其他类型的网络会因为数据包首部长度不同而导致本驱动没有任何作用。
PPPoE的话，貌似虚拟的拨号连接是模拟以太网的帧结构，所以应该管用。
希望各位大哥大姐能提供一些不同网络的数据包结构（诸如802.11等等……），我现在也在头疼无线网卡的数据包过滤问题。

安装方法：
打开某个对应的网络连接的状态页面，选择『属性』。点击『安装』，选择组件类型为『服务』，点击『添加』，然后找到驱动压缩包里的『netsf.inf』文件，选择后确定，提示没有数字签名，请选择“继续安装”。
有些系统需要按上述方法再安装netsf_m.inf文件，这个是对应系统的miniport。
如果你安装完毕并且没有蓝屏，那么本驱动已经在你的系统上开始工作了。

如何监控程序的过滤结果：
请下载附件中的DebugView 4.74，然后按照图片中那样配置。注意红圈中的三个按钮，后两个通过单击，让其打X，不需要捕获这两个输出。
下面是输出区，可以清楚地看到本驱动（当然也包括其他一些核心驱动）的输出信息。本驱动输出信息的特点是，以数字开头，然后是冒号，后面是结果。

正在尝试解决的事情（一个比一个难搞）：
A、支持多种网络，如802.11；
B、处理发送数据包中的IPID；
C、加入用户接口。

[ 本帖最后由 robur 于 2008-9-16 19:59 编辑 ]

hudeg632

谢谢了,我们是教育城域网,可以用不?

xhcyy

呵呵，一直崇拜机修兄，有幸赶个早下载，谢谢了！

jocabin

好东西，如果最新的版本开发源代码就好

Arch

感谢楼主，已经安装上了，不过在DebugView下面的显示框中什么都没有...这是为啥？一会我先g一下。

Arch

喔，现在能看到了，貌似我打开我的电脑什么的都在DebugView中输出信息啊。

Arch

嗯，还有，忘了说了，我是辽宁电信的。

sh-fluke

谢谢了,

robur

Arch您好。
请参照我顶楼的图片，配置DebugView的捕获过滤。
本过滤驱动输出的信息格式，你也可以在图中看到。

具体格式为：数字表示的方法代码+事件名称

本驱动用于不同系统的版本，均由一套源码编译而成，没有差异。

我的工作环境是：
Windows 2003 Enterprise SP2
Intel Pro/1000 CT 网卡 12.3版本驱动
路由器拨号，计算机通过以太网直连路由器

[ 本帖最后由 robur 于 2008-1-9 14:37 编辑 ]

Arch

谢谢楼主的耐心回复，

我的环境和您的差不多， 我上了几根ADSL，然后每根挂一个路由，大家通过局域网上网，上网的路线由各自的网关决定，每个路由就是一个网关。

后来我感觉到有2根线的利用率很低，就想把它们充分利用起来。

本来想买一个能把几根ADSL的线并成一根的那种设备了，可一打听价，太贵了，买不起。

如果不用这种设备，还有什么其它办法能实现这个想法么？

robur

原帖由 Arch 于 10/1/2008 13:34 发表
谢谢楼主的耐心回复，

我的环境和您的差不多， 我上了几根ADSL，然后每根挂一个路由，大家通过局域网上网，上网的路线由各自的网关决定，每个路由就是一个网关。

后来我感觉到有2根线的利用率很低，就想把 ...

你说得是多路的负载均衡吧，类似那种双Wan路由实现的技术。
我记得用软件可以实现，建议您开一个新帖子另问，感谢支持。

davidsky

沈阳网通确实很垃圾，TCP会话劫持弹广告不说，如果弹个实用或有美感的广告我也就忍了，它们却弹出成人用品商城那种低级的垃圾广告，难道我们国家的法律都是开玩笑的吗？？真TMD无耻啊，真替我们国家的未来担忧！！！

附个弹窗的截图，如果斑竹感觉不妥可以删除。

robur

同意楼上的朋友，请试用本程序，可以解决您的问题。

估计张小凡同学看到的“突然蹦出来的窗口”，即为北京CNC所为～

davidsky

谢谢robur，我想知道沈阳网通这种TCP会话劫持是否会威胁到我的隐私安全，我的淘宝交易、E-mail等帐号是否会受到监听或监控，您对这些有过分析和研究吗，我在网络底层这方面不是很懂，请指点一下，谢谢。

鼎盛网络

xd..怎么看不见你发上来的驱动啊.....我 我 急啊....老被电信...骚扰...... 加我QQ 帮下忙拉....我是广州这边的  ...

鼎盛网络

对了我的 Q 是 455255722  记得说一下是路由技术...3Q

sjmplay

顶了！呵呵！

robur

原帖由 davidsky 于 12/1/2008 13:41 发表
谢谢robur，我想知道沈阳网通这种TCP会话劫持是否会威胁到我的隐私安全，我的淘宝交易、E-mail等帐号是否会受到监听或监控，您对这些有过分析和研究吗，我在网络底层这方面不是很懂，请指点一下，谢谢。

您好，TCP会话劫持一般不涉及用户的隐私问题，但也不能绝对地排除。
淘宝、网银等输入密码处，一般都是应用了ActiveX控件，输入的信息在网络上传播时是被加密的，不会被轻易破解。目前的盗取密码的程序，多是在用户输入处截取，而非网路传输中。

bqrmfjhh

附件是江西这边的ISP.过滤路由的手段.数据包.
HTTP/1.1 302 Object moved
http://218.65.105.133:9090/redirect/blocked.asp?user=宽带用户名
大哥能不能编译一个2003的版本.

robur

原帖由 bqrmfjhh 于 13/1/2008 15:00 发表
附件是江西这边的ISP.过滤路由的手段.数据包.
HTTP/1.1 302 Object moved
http://218.65.105.133:9090/redirect/blocked.asp?user=宽带用户名
大哥能不能编译一个2003的版本.

您好，本程序暂时对您的情况无效。
您的情况需要主动伪装，而非被动拦截，ISP似乎没有转发您的GET请求，本程序目前也无能为力。

zhang3

封路由、TCP重置、封BT下载服务器

朋友，帮分析下吧

2: RST Packet Blocked!... Identification=0
2: RST Packet Blocked!... Identification=0
2: RST Packet Blocked!
2: RST Packet Blocked!
2: RST Packet Blocked!
2: RST Packet Blocked!
2: RST Packet Blocked!
2: RST Packet Blocked!
2: RST Packet Blocked!
2: RST Packet Blocked!... Identification=0
2: RST Packet Blocked!... Identification=0
2: RST Packet Blocked!... Identification=0
2: RST Packet Blocked!... Identification=0
2: RST Packet Blocked!... Identification=0
2: RST Packet Blocked!... Identification=0
2: RST Packet Blocked!... Identification=0
2: RST Packet Blocked!... Identification=0
2: RST Packet Blocked!... Identification=0
2: RST Packet Blocked!... Identification=0
2: RST Packet Blocked!... Identification=0
2: RST Packet Blocked!... Identification=0
2: RST Packet Blocked!... Identification=0
2: RST Packet Blocked!... Identification=0
2: RST Packet Blocked!... Identification=0
2: RST Packet Blocked!... Identification=0
2: RST Packet Blocked!... Identification=0
2: RST Packet Blocked!... Identification=0
2: RST Packet Blocked!... Identification=0
2: RST Packet Blocked!... Identification=0
2: RST Packet Blocked!... Identification=0
2: RST Packet Blocked!... Identification=0
2: RST Packet Blocked!... Identification=0
2: RST Packet Blocked!... Identification=0
2: RST Packet Blocked!... Identification=0
2: RST Packet Blocked!... Identification=0

[ 本帖最后由 zhang3 于 2008-1-14 01:18 编辑 ]

bqrmfjhh

谢谢大哥帮忙分析。

robur

沧州的朋友您好，已经针对您的情况做了处理。
谢谢支持！

zhang3

原帖由 robur 于 2008-1-14 21:25 发表
沧州的朋友您好，已经针对您的情况做了处理。
谢谢支持！

我们该谢谢你，谢谢你做出的好程序
试试新程序，然后抓包看看
------------------------------------
发现了点问题，所有TCP数据都被电信重置，代码如下

<iframe src=http://***/npserver/webform1.aspx? height=0 width=0></iframe> <script type="text/javascript"> var myTranFunc = function () { window.location.target="_self"; window.location.href="http://www.csna.cn"; }; window.setTimeout("myTranFunc()",800); window.setTimeout("myTranFunc()",2000); </script>

[ 本帖最后由 zhang3 于 2008-1-20 14:52 编辑 ]

robur

原帖由 zhang3 于 14/1/2008 22:23 发表

我们该谢谢你，谢谢你做出的好程序
试试新程序，然后抓包看看

您好，请正确卸载旧版程序，然后按照标准方法安装新版程序。
然后，最好重启动机器一次，再用科来抓包看看。同时请发本程序输出的Debug信息。
感谢支持！

[ 本帖最后由 robur 于 2008-1-14 23:13 编辑 ]

zhang3

网页不能打开，科来没有再提示TCP校验错误

2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008
watchdog!WdUpdateRecoveryState: Recovery enabled.
2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008

谢谢朋友

robur

原帖由 zhang3 于 14/1/2008 23:29 发表
网页不能打开，科来没有再提示TCP校验错误
2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008
2: CangZhou_2008
watchdog!WdUpdateRecoveryState: Recovery enabled.
2: CangZhou_2008
2: CangZhou_2008
...

您好，看了您的数据包，你们那里的电信封得太死了，日志上提示的内容，是程序把所有电信伪造的数据包都丢弃了。
电信根本就没有转发你的SYN数据包，更谈不上建立连接了。
您的情况需要伪造发送的数据包，而被动拦截的意义不大。
请期待下一版本，感谢支持！

zhang3

原帖由 robur 于 2008-1-15 17:17 发表

您好，看了您的数据包，你们那里的电信封得太死了，日志上提示的内容，是程序把所有电信伪造的数据包都丢弃了。
电信根本就没有转发你的SYN数据包，更谈不上建立连接了。
您的情况需要伪造发送的数据包，而被动拦 ...

谢谢回复
把安全级别调成最高，拒绝所有脚本，所有访问获取的都是空白主页

访问csna.cn
<iframe src=http://***/npserver/webform1.aspx? height=0 width=0></iframe> <script type="text/javascript"> var myTranFunc = function () { window.location.target="_self"; window.location.href="http://www.csna.cn"; }; window.setTimeout("myTranFunc()",800); window.setTimeout("myTranFunc()",2000); </script>

[ 本帖最后由 zhang3 于 2008-1-20 14:47 编辑 ]

micao

好东西啊。顶！楼主真强。

zhang3

robur朋友，昨天试了下网友修改的路由固件，好像问题消失了
稍后抓包发上来，看看他们是怎么解决的