CSNA网络分析论坛»首页 流量分析 网络分析 Anti-TCP会话劫持程序『已经改称Anti-TSH 有更新』 ...
12345下一页
返回列表 发帖
查看: 114976|回复: 149

Anti-TCP会话劫持程序『已经改称Anti-TSH 有更新』

[复制链接]
robur
发表于 2007-3-9 23:50:55 | 显示全部楼层 |阅读模式
本程序已经改称『Anti-TSH』,本帖不再更新。请查阅:http://www.csna.cn/forum.php?mod=viewthread&tid=6728

=====我是『很黄很暴力』的分隔线=====

9月20日更新
由于电脑重做了,VS也没装,也懒得改版本描述文件了,就用记事本改了一下源码。
主要解决了一个HTTP 302响应的问题
原来是302 found,后来发现还有302 object moved
真是XX……

=====我是分隔线=====


6月10日更新
本次更新到0.4.610.12:
1、增加几个判断伪造RST的部分

=====我是分隔线=====


5月28日更新

本次更新到0.4.528.10:
1、增加了一个判断特征码,解决了无法登录QQ信箱的问题。

=====我是分隔线=====

5月20日更新

本次更新到0.4.520.9:
1、修订一个特征码;
2、取消针对伪造FIN+ACK的判断,因为地域性太强,不能通用,而且浪费资源

5月18日更新

本次更新内容如下:
1、新增加了一个特征码,对应四川那个朋友反映的问题;
2、修改了INF文件,以前只修订了sys文件的版本信息,而没有修订INF文件的版本信息。

注意:请下载DebugView,用于跟踪本程序输出的调试信息。请在DebugView中只保留Kernel的输出信息,把其他两个输出都屏蔽掉。

=====我是分隔线=====

5月17日更新

本次更新到0.4.517.7版本(主版本0,次要版本4,5月17日最后修订,总第7版)

更新内容如下:
1、改进了内部的检测算法;
2、支持了302 Found响应;
3、特征码更新;
4、过滤一部分伪造的FIN+ACK报文;
5、对伪造的RST报文之过滤算法进行了调整。

注:本程序从本版本开始,将不再提供更新后的源代码,但是以前版本之源代码,我仍然加以保留,以供大家交流学习之用。
另:本技术可转让,有意者可与我联系。

=====我是分隔线=====

2007年4月17日更新

今天看到Roy版说了,联合CSNA论坛的力量,开发出一款TCP会话劫持防护软件。
其实,这个东西我很早就开发好了。以前还出过一款基于SPI(服务提供者接口)的版本,不过由于性能和可靠性不好,最终被我放弃。
NDIS是一种工作在网卡驱动上层的接口程序,可以截获并处理所有流经网卡的数据包,因此,可以完成对网络流量数据包级别的处理。

本次更新是基于上次发布版本所作的,主要是支持了可变长度的IP首部和TCP首部,能准确地检测到数据段开始的位置,避免指针定位不准确产生的无法识别数据段内容的问题。

本程序经我和我哥们的长期使用,确定其工作稳定,判断会话劫持准确率高,对拦截ISP制造的会话劫持有奇效,拦截准确率接近100%。

这次为了方便广大会员,放出一个编译好的For Windows Xp 32bit的Debug版本,可以用DebugView跟踪输出的Debug消息。
在网络连接的属性里面,安装新服务,然后选择目录中的inf文件,就可以了。

注意:该版本仅供评估,如无把握,请勿在工作环境中使用,以免造成损失。

==========我是分隔线=========

今天太晚了,最近太忙了,什么也不说了。
注释翔实,但可能会有注释和代码脱节的地方,也就一两个,凑合看吧

不了解什么是NDIS的,先BaiDu,再Google。。。不多解释了

开发环境是微软的DDK 2003,用里面Passthru那个实例完成的。

只修改了protocol.c这一个文件,替换这个文件,再编译就可以了

处理数据报的地方我都已经写好了,能收上来包,整个包在一个PUCHAR变量里,自己随便怎么处理。。。

识货的就来下了。。。

本人纯属义举,就是为了和流氓ISP对抗到底。。

[ 本帖最后由 robur 于 2008-1-7 17:37 编辑 ]

Passthru.rar

25.5 KB, 下载次数: 668, 下载积分: 积分 -3

软件和源码

0.4.517.7.rar

12.71 KB, 下载次数: 240, 下载积分: 积分 -3

0.4.517.7版程序,For 2K3

0.4.517.7_XP.rar

12.43 KB, 下载次数: 297, 下载积分: 积分 -3

0.4.517.7版程序,For XP

DebugView.zip

284.82 KB, 下载次数: 457, 下载积分: 积分 -3

DebugView

0.4.518.8.rar

25.27 KB, 下载次数: 186, 下载积分: 积分 -3

0.4.518.8版程序

0.4.520.9.rar

25.17 KB, 下载次数: 190, 下载积分: 积分 -3

0.4.520.9

0.4.528.10.rar

12.45 KB, 下载次数: 170, 下载积分: 积分 -3

0.4.610.12.rar

12.57 KB, 下载次数: 467, 下载积分: 积分 -3

0.4.610.12

passthru.rar

9.25 KB, 下载次数: 356, 下载积分: 积分 -3

07年9月20日更新sys文件

评分

1

查看全部评分

回复

使用道具 举报

ason7890
发表于 2007-3-10 01:50:27 | 显示全部楼层
我顶///////朋友...不如编译好再发一个..
回复

使用道具 举报

robur
 楼主| 发表于 2007-3-10 10:13:20 | 显示全部楼层
每个地方,ISP的流氓手段不同。
这个驱动么,我没有加入在外部定义特征的接口,所有特征都是在里面定义的。

环境不同,所以只好自己定义特征,然后再自己编译一下了。。。

请注意里面有一个申请内存的函数,2000和xp,用的是不同的函数。一定要注意,否则蓝屏。。。

2000下用的是NdisAllocateMemory(),在DDK文档中表示,将被xp或以上版本的系统忽略。
xp下用的是NdisAllocateMemoryWithTag()

[ 本帖最后由 robur 于 2007-3-10 10:16 编辑 ]
回复

使用道具 举报

robur
 楼主| 发表于 2007-3-10 10:55:17 | 显示全部楼层
说一下,为什么初始化2000字节的内存空间,用来存放数据报

以太网有一个MTU的性质,这个MTU应该是1500吧,超过了就要分片了,所以通常不会有超过1500字节的包入站。

其实,如果你认为分配2000是浪费内存,你完全可以用NdisQueryPacket()这个函数,来得到数据报的长度,然后动态地分配内存空间。
不过,别忘了释放就好。。。

自己决策,速度和空间,平衡一下么。。。
回复

使用道具 举报

twoeyes
发表于 2007-3-10 22:45:10 | 显示全部楼层
支持,顶起来
回复

使用道具 举报

wap12345
发表于 2007-3-11 01:03:04 | 显示全部楼层
牛人!!!
回复

使用道具 举报

robur
 楼主| 发表于 2007-3-15 23:44:10 | 显示全部楼层
公布一下最近的使用结果

今天,3月15
从15点,到23点30分,共计拦截到网通人为制造的攻击70次

其中8次为HTTP会话劫持插入广告
其余均为伪造二次握手,造TCP连接复位

所有攻击均成功拦截,浏览网页+BT下载,没有异常情况。
回复

使用道具 举报

ppp2
发表于 2007-3-16 08:42:07 | 显示全部楼层
牛人呀,是东软件的不?
回复

使用道具 举报

robur
 楼主| 发表于 2007-4-17 16:59:19 | 显示全部楼层
我更新了,更新了……

请感兴趣的xd过来看看啊,哈哈
回复

使用道具 举报

xglh0606
发表于 2007-4-17 21:59:37 | 显示全部楼层
谢谢楼主``东西还没看``先顶起再慢慢看`
回复

使用道具 举报

hopehands
发表于 2007-4-17 22:07:04 | 显示全部楼层

s

试试。。。尝鲜。。。应该支持下
回复

使用道具 举报

990209
发表于 2007-4-27 10:38:52 | 显示全部楼层
不会用。。。
郁闷
回复

使用道具 举报

steveyoung
发表于 2007-4-27 11:36:34 | 显示全部楼层
up,最崇拜程序员了
回复

使用道具 举报

hopehands
发表于 2007-4-27 12:33:36 | 显示全部楼层
下载了看看。。。。^_^
回复

使用道具 举报

ipower
发表于 2007-5-5 08:07:24 | 显示全部楼层
崇拜
可惜太高了的东西啊
回复

使用道具 举报

lingreal
发表于 2007-5-8 09:33:14 | 显示全部楼层
就知道是好东西,照单全收
回复

使用道具 举报

hanibo
发表于 2007-5-8 14:38:40 | 显示全部楼层
楼主老大能不能出一个安装包啊,你那个东西我安装下说没有硬件信息。应该咋整 啊。
回复

使用道具 举报

01234567890
发表于 2007-5-9 12:28:52 | 显示全部楼层
崇拜
可惜太高了的东西啊
回复

使用道具 举报

donghai163
发表于 2007-5-11 09:32:08 | 显示全部楼层
我2000系统装了后不能上网了
回复

使用道具 举报

robur
 楼主| 发表于 2007-5-11 14:22:14 | 显示全部楼层
原帖由 donghai163 于 2007-5-11 09:32 发表
我2000系统装了后不能上网了

Windows Xp 32bit Only!

都看什么呢啊,大哥们……
回复

使用道具 举报

robur
 楼主| 发表于 2007-5-11 14:23:16 | 显示全部楼层
原帖由 hanibo 于 2007-5-8 14:38 发表
楼主老大能不能出一个安装包啊,你那个东西我安装下说没有硬件信息。应该咋整 啊。

请参考顶楼安装方法,安装的是服务,不是新硬件。
回复

使用道具 举报

990209
发表于 2007-5-13 06:16:54 | 显示全部楼层
安稳了一个月,最近又不行了,期待更新
河南网通,弹出来的是绿色上网那个公司的广告
回复

使用道具 举报

rejack168
发表于 2007-5-13 11:05:23 | 显示全部楼层
真的好佩服robur楼主
你的义举让我们这些菜鸟学到了很多东西!
真心的说声谢谢啦!
回复

使用道具 举报

robur
 楼主| 发表于 2007-5-13 11:56:52 | 显示全部楼层
to #22的:
不是我不更新,我说过了,目前各地的ISP流氓手段不同,我也不清楚你那里的具体情况

请你使用科来或者Sniffer Pro抓包,然后把数据包文件上传到论坛,我回帮你分析,并且给出更新版本。
回复

使用道具 举报

990209
发表于 2007-5-14 05:30:48 | 显示全部楼层
原帖由 robur 于 2007-5-13 11:56 发表
to #22的:
不是我不更新,我说过了,目前各地的ISP流氓手段不同,我也不清楚你那里的具体情况

请你使用科来或者Sniffer Pro抓包,然后把数据包文件上传到论坛,我回帮你分析,并且给出更新版本。

无规律出现,总不能把科来一直开着吧。。
回复

使用道具 举报

01234567890
发表于 2007-5-15 15:57:55 | 显示全部楼层
请教robur ,允许转贴么?
回复

使用道具 举报

robur
 楼主| 发表于 2007-5-15 19:23:29 | 显示全部楼层
原帖由 01234567890 于 2007-5-15 15:57 发表
请教robur ,允许转贴么?

不转为好,你倒是可以帖链接……
回复

使用道具 举报

xyljq
发表于 2007-5-15 19:44:49 | 显示全部楼层
楼主帮我分析一下,我用你的这个程序还是无法阻止被电信检测到。同时5台电脑在使用。

pkt.rar

8.05 KB, 下载次数: 32, 下载积分: 积分 -3

回复

使用道具 举报

robur
 楼主| 发表于 2007-5-15 20:29:51 | 显示全部楼层
原帖由 xyljq 于 2007-5-15 19:44 发表
楼主帮我分析一下,我用你的这个程序还是无法阻止被电信检测到。同时5台电脑在使用。

第一、本程序的设计目的不是让你不被电信检测到共享上网,而是当电信对你使用除了断网之外的手段时,可以做出响应
第二、你的数据包文件用什么软件抓的,我用Sniffer Pro和MS网络监视器都打不开。
回复

使用道具 举报

xyljq
发表于 2007-5-15 20:37:12 | 显示全部楼层
原帖由 robur 于 2007-5-15 20:29 发表

第一、本程序的设计目的不是让你不被电信检测到共享上网,而是当电信对你使用除了断网之外的手段时,可以做出响应
第二、你的数据包文件用什么软件抓的,我用Sniffer Pro和MS网络监视器都打不开。


不好意思,数据包可以用科来打开的,是用共享神盾的数据采集抓的。

[ 本帖最后由 xyljq 于 2007-5-15 20:43 编辑 ]
回复

使用道具 举报

下一页 »
12345下一页
返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表