Anti-TCP会话劫持程序『已经改称Anti-TSH 有更新』

robur · 发表于 2007-3-9 23:50:55

本程序已经改称『Anti-TSH』，本帖不再更新。请查阅：http://www.csna.cn/forum.php?mod=viewthread&tid=6728

=====我是『很黄很暴力』的分隔线=====

9月20日更新
由于电脑重做了，VS也没装，也懒得改版本描述文件了，就用记事本改了一下源码。
主要解决了一个HTTP 302响应的问题
原来是302 found，后来发现还有302 object moved
真是XX……

=====我是分隔线=====

6月10日更新
本次更新到0.4.610.12：
1、增加几个判断伪造RST的部分

=====我是分隔线=====

5月28日更新

本次更新到0.4.528.10：
1、增加了一个判断特征码，解决了无法登录QQ信箱的问题。

=====我是分隔线=====

5月20日更新

本次更新到0.4.520.9：
1、修订一个特征码；
2、取消针对伪造FIN+ACK的判断，因为地域性太强，不能通用，而且浪费资源

5月18日更新

本次更新内容如下：
1、新增加了一个特征码，对应四川那个朋友反映的问题；
2、修改了INF文件，以前只修订了sys文件的版本信息，而没有修订INF文件的版本信息。

注意：请下载DebugView，用于跟踪本程序输出的调试信息。请在DebugView中只保留Kernel的输出信息，把其他两个输出都屏蔽掉。

=====我是分隔线=====

5月17日更新

本次更新到0.4.517.7版本（主版本0，次要版本4，5月17日最后修订，总第7版）

更新内容如下：
1、改进了内部的检测算法；
2、支持了302 Found响应；
3、特征码更新；
4、过滤一部分伪造的FIN+ACK报文；
5、对伪造的RST报文之过滤算法进行了调整。

注：本程序从本版本开始，将不再提供更新后的源代码，但是以前版本之源代码，我仍然加以保留，以供大家交流学习之用。
另：本技术可转让，有意者可与我联系。

=====我是分隔线=====

2007年4月17日更新

今天看到Roy版说了，联合CSNA论坛的力量，开发出一款TCP会话劫持防护软件。
其实，这个东西我很早就开发好了。以前还出过一款基于SPI（服务提供者接口）的版本，不过由于性能和可靠性不好，最终被我放弃。
NDIS是一种工作在网卡驱动上层的接口程序，可以截获并处理所有流经网卡的数据包，因此，可以完成对网络流量数据包级别的处理。

本次更新是基于上次发布版本所作的，主要是支持了可变长度的IP首部和TCP首部，能准确地检测到数据段开始的位置，避免指针定位不准确产生的无法识别数据段内容的问题。

本程序经我和我哥们的长期使用，确定其工作稳定，判断会话劫持准确率高，对拦截ISP制造的会话劫持有奇效，拦截准确率接近100%。

这次为了方便广大会员，放出一个编译好的For Windows Xp 32bit的Debug版本，可以用DebugView跟踪输出的Debug消息。
在网络连接的属性里面，安装新服务，然后选择目录中的inf文件，就可以了。

注意：该版本仅供评估，如无把握，请勿在工作环境中使用，以免造成损失。

==========我是分隔线=========

今天太晚了，最近太忙了，什么也不说了。
注释翔实，但可能会有注释和代码脱节的地方，也就一两个，凑合看吧

不了解什么是NDIS的，先BaiDu，再Google。。。不多解释了

开发环境是微软的DDK 2003，用里面Passthru那个实例完成的。

只修改了protocol.c这一个文件，替换这个文件，再编译就可以了

处理数据报的地方我都已经写好了，能收上来包，整个包在一个PUCHAR变量里，自己随便怎么处理。。。

识货的就来下了。。。

本人纯属义举，就是为了和流氓ISP对抗到底。。

[ 本帖最后由 robur 于 2008-1-7 17:37 编辑 ]

ason7890 · 发表于 2007-3-10 01:50:27

我顶///////朋友...不如编译好再发一个..

robur · 发表于 2007-3-10 10:13:20

每个地方，ISP的流氓手段不同。
这个驱动么，我没有加入在外部定义特征的接口，所有特征都是在里面定义的。

环境不同，所以只好自己定义特征，然后再自己编译一下了。。。

请注意里面有一个申请内存的函数，2000和xp，用的是不同的函数。一定要注意，否则蓝屏。。。

2000下用的是NdisAllocateMemory()，在DDK文档中表示，将被xp或以上版本的系统忽略。
xp下用的是NdisAllocateMemoryWithTag()

[ 本帖最后由 robur 于 2007-3-10 10:16 编辑 ]

robur · 发表于 2007-3-10 10:55:17

说一下，为什么初始化2000字节的内存空间，用来存放数据报

以太网有一个MTU的性质，这个MTU应该是1500吧，超过了就要分片了，所以通常不会有超过1500字节的包入站。

其实，如果你认为分配2000是浪费内存，你完全可以用NdisQueryPacket()这个函数，来得到数据报的长度，然后动态地分配内存空间。
不过，别忘了释放就好。。。

自己决策，速度和空间，平衡一下么。。。

twoeyes · 发表于 2007-3-10 22:45:10

支持,顶起来

wap12345 · 发表于 2007-3-11 01:03:04

牛人!!!

robur · 发表于 2007-3-15 23:44:10

公布一下最近的使用结果

今天，3月15
从15点，到23点30分，共计拦截到网通人为制造的攻击70次

其中8次为HTTP会话劫持插入广告
其余均为伪造二次握手，造TCP连接复位

所有攻击均成功拦截，浏览网页＋BT下载，没有异常情况。

ppp2 · 发表于 2007-3-16 08:42:07

牛人呀,是东软件的不?

robur · 发表于 2007-4-17 16:59:19

我更新了，更新了……

请感兴趣的xd过来看看啊，哈哈

xglh0606 · 发表于 2007-4-17 21:59:37

谢谢楼主``东西还没看``先顶起再慢慢看`

hopehands · 发表于 2007-4-17 22:07:04

试试。。。尝鲜。。。应该支持下

990209 · 发表于 2007-4-27 10:38:52

不会用。。。
郁闷

steveyoung · 发表于 2007-4-27 11:36:34

up，最崇拜程序员了

hopehands · 发表于 2007-4-27 12:33:36

下载了看看。。。。^_^

ipower · 发表于 2007-5-5 08:07:24

崇拜
可惜太高了的东西啊

lingreal · 发表于 2007-5-8 09:33:14

就知道是好东西，照单全收

hanibo · 发表于 2007-5-8 14:38:40

楼主老大能不能出一个安装包啊，你那个东西我安装下说没有硬件信息。应该咋整啊。

01234567890 · 发表于 2007-5-9 12:28:52

崇拜
可惜太高了的东西啊

donghai163 · 发表于 2007-5-11 09:32:08

我2000系统装了后不能上网了

robur · 发表于 2007-5-11 14:22:14

原帖由 donghai163 于 2007-5-11 09:32 发表
我2000系统装了后不能上网了

Windows Xp 32bit Only!

都看什么呢啊，大哥们……

robur · 发表于 2007-5-11 14:23:16

原帖由 hanibo 于 2007-5-8 14:38 发表
楼主老大能不能出一个安装包啊，你那个东西我安装下说没有硬件信息。应该咋整啊。

请参考顶楼安装方法，安装的是服务，不是新硬件。

990209 · 发表于 2007-5-13 06:16:54

安稳了一个月，最近又不行了，期待更新
河南网通，弹出来的是绿色上网那个公司的广告

rejack168 · 发表于 2007-5-13 11:05:23

真的好佩服robur楼主
你的义举让我们这些菜鸟学到了很多东西！
真心的说声谢谢啦！

robur · 发表于 2007-5-13 11:56:52

to #22的：
不是我不更新，我说过了，目前各地的ISP流氓手段不同，我也不清楚你那里的具体情况

请你使用科来或者Sniffer Pro抓包，然后把数据包文件上传到论坛，我回帮你分析，并且给出更新版本。

990209 · 发表于 2007-5-14 05:30:48

原帖由 robur 于 2007-5-13 11:56 发表
to #22的：
不是我不更新，我说过了，目前各地的ISP流氓手段不同，我也不清楚你那里的具体情况

请你使用科来或者Sniffer Pro抓包，然后把数据包文件上传到论坛，我回帮你分析，并且给出更新版本。

无规律出现，总不能把科来一直开着吧。。

01234567890 · 发表于 2007-5-15 15:57:55

请教robur ，允许转贴么？

robur · 发表于 2007-5-15 19:23:29

原帖由 01234567890 于 2007-5-15 15:57 发表
请教robur ，允许转贴么？

不转为好，你倒是可以帖链接……

xyljq · 发表于 2007-5-15 19:44:49

楼主帮我分析一下，我用你的这个程序还是无法阻止被电信检测到。同时5台电脑在使用。

robur · 发表于 2007-5-15 20:29:51

原帖由 xyljq 于 2007-5-15 19:44 发表
楼主帮我分析一下，我用你的这个程序还是无法阻止被电信检测到。同时5台电脑在使用。

第一、本程序的设计目的不是让你不被电信检测到共享上网，而是当电信对你使用除了断网之外的手段时，可以做出响应
第二、你的数据包文件用什么软件抓的，我用Sniffer Pro和MS网络监视器都打不开。

xyljq · 发表于 2007-5-15 20:37:12

原帖由 robur 于 2007-5-15 20:29 发表

第一、本程序的设计目的不是让你不被电信检测到共享上网，而是当电信对你使用除了断网之外的手段时，可以做出响应
第二、你的数据包文件用什么软件抓的，我用Sniffer Pro和MS网络监视器都打不开。

不好意思，数据包可以用科来打开的，是用共享神盾的数据采集抓的。

[ 本帖最后由 xyljq 于 2007-5-15 20:43 编辑 ]

Anti-TCP会话劫持程序『已经改称Anti-TSH 有更新』

本帖子中包含更多资源

评分

s

本帖子中包含更多资源