反HTTP会话劫持程序(Beta 2) [2月20日更新]

robur

本程序是目前出现的第一个能对流氓网通、电信的HTTP会话劫持作出响应的程序

本程序利用ISP会话劫持设备的工作原理的特点，作出相应的对策。
基本原理是：
1.检测会话劫持设备伪造的响应（根据特征码）；
2.修改该数据报的内容，使其不包含广告代码，而是自刷新一次；
3.将修改过的数据报提交给应用层程序；
4.应用层程序（IE等）接到了修改过的数据报，自刷新一次页面，网页正常显示（理论上）
5.本程序采用SPI进行数据过滤，需要安装；
6.本程序核心部分在DLL文件中，进行特征码的定义不是很方便，故目前内置了预定义的特征码。因此仅对和北京紫光绿信合作的ISP的会话劫持有效；

【注意】如果您不是网通用户，如果您发现本程序没有良好地过滤利用会话劫持技术插入的广告，那么请您跟帖说明，并将劫持设备伪造的响应（网页源代码）存为txt文件，上传到论坛。我将尽快分析出特征码，并更新本程序。
关于特征码提取的方法，请参考我前次发的《HTTP会话劫持检测程序》那个帖子。
(http://www.csna.cn/forum.php?mod ... &extra=page%3D1)

p.s：经过鄙人的不懈努力，鄙人从web开发转型到Windows网络编程～小小庆祝一下～哈

＝＝＝＝＝华丽滴分隔线＝＝＝＝＝
以上是上次发布的内容。

『2007-02-20更新』本次主要更新了如下内容：
1、修改了安装程序在SPI中注册的名称；
2、改进了检测会话劫持的方法，目前是基于HTTP头＋特征码的检测，更准确。（这次可以上Baidu搜索了关键词了，不会出现页面显示错误的情况了）；
3、修改了发生劫持时，本程序替换的HTTP数据；
4、增加了一个关键词，可以拦截我这里经常发生的两种会话劫持广告了。

今天补发了源代码，呵呵，给想要研究的同志们看一看……
出于某种原因，我隐去了源码中的特征码，呵呵……xd们自己加上吧。。。

[ 本帖最后由 robur 于 2007-2-20 22:23 编辑 ]

菜鸟人飞

感谢robur的无私贡献，顺祝robur以及论坛上的所有兄弟姐妹新年快乐

Roy

恭喜robur转型成功，
如果能够支持自定义特征码就更好了。

ValorZ

源代码啊 源代码.呵呵

robur

程序更新到Beta2版本，补发源代码。。。
欢迎下载，欢迎使用。。。
我自己正安逸滴用着呢。。。
我的系统是Windows Server 2003 R2 Ent. SP1

小迷糊

robur什么时候发布一个能自定义特征码的程序啊？源文件懒得安装编译环境，毕竟不是人人都有编译环境的，呵呵，俺比较懒。

01234567890

希望有效

chenmaochun

怎么运行呢
每次上网都要运行吗?还是只运行一次呢

chenmaochun

我是四川电信的,有2种代码
<HTML>
<script language="JavaScript">
function newwin()
{
var urlname;
var win_attr;
win_attr='toolbar=no,menubar=no,scrollbars=no,status=no,location=no,resizable=no,fullscreen=no,directories=no,width=1,height=1,top=10000,left=10000 ';
window.open('http://220.167.29.103:9123/ndatin.aspx?param=xxxxxxxxxx&ref=1','ips_win0',win_attr);
}
</script>
<head>
<title>
</title>
<META HTTP-EQUIV="ragma" C>
<META http-equiv="Content-Type" c>
<meta http-equiv="Refresh" c>
</head>
<body onload='newwin()'>
</body>
</html>
<HTML>
<frameset border='0' frameSpacing='0' rows='0,100%' frameBorder='0'>
<frame id ='frm123' name='frm123' src='http://220.167.29.103:9123/ndatin.aspx?param=xxxxxxxxxx&ref=1'>
<frame id ='frmOLD' name='frmOLD' src='http://www.baidu.com/?'>
</frameset>
</HTML>

jonsee198521

下来看看