[Anti-TSH] 重新发布（0.7.0916.21）[080916更新]

punishkiller · 发表于 2008-4-17 16:56:51

robur大哥，什么时候能出更新啊，这段时间老是被转向电信的121.32.136.231的地址，不久就出现封杀画面，装了你的驱动都没效果。

smallnai · 发表于 2008-5-17 04:37:34

楼住,我是广东省中山市电信的用户,最近被电信的会话劫持搞得很无奈.向电信投诉了几次还是一样,无奈之下找到这里来.
我截取下一段代码和数据包.

<html>
<head>
<meta http-equiv="pragma" content="no-cache"/>
<meta http-equiv="Cache-Control" content="no-store,no-cache,must-revalidate,post-check=0,pre-check=0,max-age=0"/>
<meta http-equiv="expires" content="-1"/>
<meta http-equiv="refresh" content="2"/>
</head>
<body>
<iframe src="about:blank" width="0" height="0" frameborder="0" style="display:none"></iframe>
<script language="javascript">
window.setInterval("window.status=location.href;", 500);
window.frames[0].location = "http://202.105.165.218/update/step1.aspx?p=" +
"我的AD帐号" +
Math.floor((new Date()).getTime()/1000) + "|" +
navigator.appMinorVersion + "|" +
screen.availHeight + "|" +
screen.availWidth + "|" +
screen.colorDepth + "|" +
screen.height + "|" +
screen.width;
</script>
</body>
</html>

我试过用这个Anti TCP Session Hijack Ver. 0.6.0114.17,结果一点效果都没有.
请问能帮忙修改一下,可以支持我这种会话劫持的吗?

転生の炎 · 发表于 2008-5-17 16:44:51

特意为了这个程序来注册的,,绝对支持啊~~

lnh999 · 发表于 2008-5-28 09:50:30

我是沈阳网通的用户，无论是adsl还是idc机房，用的WIN2000 ADSERVER系统，都会弹，，我可以提供曾用sniffer和ethereal抓过的包，能帮我分析劫持设备的IP地址吗？谢谢，因为的我有很多服务器放在IDC机房，跪谢！qq：6886953

robur · 发表于 2008-6-4 08:40:27

原帖由 lnh999 于 28/5/2008 09:50 发表
我是沈阳网通的用户，无论是adsl还是idc机房，用的WIN2000 ADSERVER系统，都会弹，，我可以提供曾用sniffer和ethereal抓过的包，能帮我分析劫持设备的IP地址吗？谢谢，因为的我有很多服务器放在IDC机房，跪谢！qq：6 ...

没有用，劫持设备是旁路的，它不需要IP地址。
要是能用IP地址找出来，估计早就被DDOS了吧，哈哈

透漏一些小道消息，最近可能要有更新，主要是针对特征码定义方面的改进，会考虑将特征码定义以配置文件形式独立出现～

wastebaby · 发表于 2008-6-4 16:31:52

顶楼上的,期待..

songtt77 · 发表于 2008-6-4 20:40:25

呵呵，这个程序现在更新这么多了

海南菜 · 发表于 2008-6-5 15:56:39

真的很羡慕楼主的功底。。

robur · 发表于 2008-6-19 01:49:22

发布0.7.0618.19版，重大更新，我把这帖子顶上去！！！
UP UP

日夜奋战，累死我也！！！

gfwyzxj · 发表于 2008-6-19 01:54:27

好软件，正在用，支持楼主。

robur · 发表于 2008-6-20 23:01:45

修正了0.7.0618.19版的一点小bug，重新上传。

punishkiller · 发表于 2008-6-21 10:01:00

.sys文件的属性:
致电信业重组：绯闻两年终结合坑蒙拐骗结硕果 哈哈

vicar · 发表于 2008-7-11 18:56:25

请问这个能破解道驰吗

netnec · 发表于 2008-7-20 19:10:12

能破信风和尖兵封路由吗

crazyabc · 发表于 2008-7-27 17:34:01

robur大侠，想请教您屏蔽电信欢迎界面的方法。

我用的电信跟上面朋友们用着的比起来还可以说暂时没有那么恶劣，但每次虚拟拨号后第一次打开网页，必定被转到电信的欢迎界面，http://bf.welcome.vnet.cn. 两年前我用过电信的宽带，用HOSTS屏蔽VNET，或者直接在路由器中屏蔽VNET。CN都可以，但现在这样的方法已经失效。

请教大侠怎样才能把现在的欢迎界面屏蔽掉呢？非常感谢！

vicar · 发表于 2008-7-28 21:11:33

希望楼主大人大发慈悲，开放源码

robur · 发表于 2008-7-28 21:52:59

楼上的各位应该先看看技术原理，知道这东西能干什么，不能干什么。。。

开源？呵呵，你最近应该可以在某个地方找到。

sioy2000 · 发表于 2008-7-30 16:40:04

好东西，如果最新的版本开发源代码就好

転生の炎 · 发表于 2008-8-3 17:04:32

又更新了哈,,谢谢lz

micao · 发表于 2008-8-3 23:02:25

唉，对现在的劫持没有用了，遗憾啊～

micao · 发表于 2008-8-3 23:06:05

我是网通用户，这几天都被他们劫持到http://58.17.163.136:8080/ipush/ ... &URL=www.qq.com整个网址去了，没有效果。唉～

micao · 发表于 2008-8-3 23:16:35

我本来准备访问www.g.cn这个网站，可是，却出来九州影院的广告，查看它的网站地址，却是http://58.17.163.136:8080/ipush/webPush.push?&action=Get&id=19&URL=www.g.cn,有图为证！铁证如山！ISP的卑鄙行径终于被我抓住现行了！

我本来准备访问www.g.cn这个网站，可是，却出来九州影院的广告，查看它的网站地址，却是http://58.17.163.136:8080/ipush/webPush.push?&action=Get&id=19&URL=www.g.cn,有图为证！铁证如山！ISP的卑鄙行径终于被我抓住现行了！

robur · 发表于 2008-8-3 23:39:35

楼上的朋友，你们看明白我写的是什么了么？你自己定义特征码了么？你使用强制匹配模式了么？
上来得先自己实践一下啊，我那个自定义特征码也不是白加进去的。要是他们给发来的数据用Gzip压缩了，你怎么说都成，我是没加Gzip解码功能……
就是生吃大白菜，你也得先扔进水池子洗一下吧……寒那。。。

[ 本帖最后由 robur 于 2008-8-3 23:41 编辑 ]

tplin · 发表于 2008-8-11 23:48:25

强烈支持。。。。。。。。。。。。。

9ihacking · 发表于 2008-8-12 19:35:58

啥也不说了，下来试下，看看能不能搞定江西电信这只老流氓！

goldsoft · 发表于 2008-8-21 02:31:26

《宽带市场狼烟再起，战火重燃！》
原创作品，转载请注明来自www.2381234.com网站

记得是1997年，邢台网通公司的前身，当时好像还叫电信吧，在新华书店南院二楼搞了个因特网俱乐部，那时候虽然收费高，但基本上是赔钱的。网通也不是为了赚这点钱，而是为了培育互联网的潜在客户，这才是大市场。
那时的网速只有几十K，已经很不错了，记得过了一段时间后，比较流行的“猫”是14.4K的，与现在的2M根本没法比。
经过一段时间的经营，使一部份人群对互联网产生了兴趣，于是有人想到了开网吧。虽然外地早已经有了网吧，但是在邢台这种小地方还是有风险的。电脑游戏厅后来不让搞了，网吧成了新兴的行业，刚开始可能网吧业主还赚不到什么钱，但是很快，这个市场迅猛发展，一夜之间邢台市的大大小小的街道，遍地都是网吧，竞争异常激烈，大家都在拼价格。后来由于执法部门的力度加强，网吧数量不断的减少。
家庭用户原来都是电话线拨号上网，由14.4K、28.8K到33.6K、56K，后来发展到ISDN（128K）到现在的ADSL、小区宽带、光纤到楼。
说到小区宽带，这里不得不提一下。由于网吧太多，不好经营，管的人多，找事的人多，电脑升级换代太快，让网吧经营者不好过。于是一部分人想到了小区宽带业务。搞小区宽带投资主要是网络设备、网络线路，收费是长期性的，投入的比网吧要小，相当于网吧的客人自己花钱买电脑。个人与公司纷纷跑马圈地，邢台的滨河小区算是比较早的一家了，我也介入这个新兴的运动，一下签了好几家小区，由于搞小区宽带还是要投入不少资金的，当时用户也少，风险还是很大的，政策风险是主要的，于是将签约的小区卖给需要的单位，有私营的也有网通等运营商，说实话没卖多少钱，卖不上价，也没有赔，呵呵。
直到现在还有不少的单位与个人在经营小区宽带，拉根光纤，接上路由器、交换机就可以上马。
网通公司看情况不妙，自己好不容易培养的市场一时间被群雄分争，急搬救兵，从省里请来河北省通信管理局的来邢台开会，在蓝天美食山开的，我受邀参加，开会的基本内容是驻地网市场没有开放，在国内只有几个城市搞试点，只有运营商才能搞。所谓驻地网，指的就是小区宽带、固定电话一类的，当时开会的有电脑公司的、小区宽带经营者，有想搞小区宽带但还没有搞的，有几大运营商网通、联通、移动、吉通等等。开会的目的，说白了就是你们大家都不能吃这块大蛋糕。
正是因为这些网络界的先行者们，打破了垄断的市场的缺口，直接导致宽带资费下调。不然我们不会那么快享受40元包月的待遇`。现在有些县因为没有竞争，包年要720元或更高，比市区480元包年贵多了。所以大家应该感谢这些邢台网络的先行者。

联通原来对网吧搞的是无线上网方式，后来基本上都停了，在市区也只有少数的单位与小区有联通的宽带，网通一家独大。
随着电信、铁通等运营商的到来，邢台宽带市场掀起波澜，大家都在抢市场，拼价格，这段时期，网民还是比较实惠的，选择性也较宽。网络带宽也在不断的提高，256、512、1M、2M，资费较优惠，有可能还多赠两个月。对于邢台这样一个小城市，收入普遍比较低，每年480元虽然不算多，显得还是有点贵。很多人都知道用路由器与邻居分享，这样就比较合适，家里有多台电脑也比较方便，有点像小型的小区宽带。
可能是网通与电信两大巨头发现这样抢市场会两败俱伤，于是搞出个协定，双方不侵犯，不再竞争，长江以南网通不再发展新用户，北方电信也是同样。最新好像又放开了，大家又在发展新用户。
这段时期，双方对于路由器都加强了限制，但是北方电信还没有限制，铁通也没有限制。路由器上不了网，直接影响路由器厂家的销量，用户的呼声很高，厂家坐不住了，磊科、TPLINK等厂家纷纷来邢台实地测试，很快发布了路由器的升级固件（内置程序），可以不被运营商检测到。ISP运营商因为有厂家的直接技术支持，系统也在不断的升级。
用户总是在这种技术对抗中被搞的焦头烂额，因为路由器升级总是要比运营商慢，总有一段时间无法多台电脑同时上网。路由厂家由于与运营商有着千丝万缕的关系，也不愿看到自己的路由器卖不出去，所以只是悄悄的给用户提供升级文件，很少会在官方网站直接提供。
民间的解决办法不断出现，双路由法、代理服务器法、换免费DNS法、共享卫士等软件法、软路由法、VPN借线法等等，但是现在基本上都失效了，要么不容易实现。
现在是每次开机上网，都会进行DNS欺骗，由一台专门的服务器进行验证，打开网页是空白，或者网页格式混乱，或者网址上被加了其它东西，或者网页被嵌入代码。
我搞了几年这方面的试验，有时成功，但是ISP一升级又不能用，总是失败，厂家固件不及时，影响使用。
我接触的很多朋友要么是家里有多台电脑，要么是门市、公司，大家对这种限制的做法都非常反感，苦于没有什么好办法，对运营商感到无奈。
运营商看到技术限制有效后，提高了宽带资费，由原来的480元提高到600元，而且几个运营商好像商量好的，一同提价，让网民很不爽。
听说电信与铁通也要限制路由器了，反限制的路由升级程序听说在邢台市的不同地区使用情况也不一样，有的好用，有的不行。这几天网通限制的厉害，路由下带一台电脑也不行，几分钟就完了。
求人不如求已，如果不是最近网通限制的厉害，我也懒的研究了，大量的失败早已经让我心灰。经过几年时间对网通限制的情况跟踪、分析，对成功、失败的方法进行总结，终于在这几天搞出来一个全新的方法，试了几天没事，对网络性能没有任何影响，网络功能也完全正常。方法不知道有没有共性.需要再测几天，目前正在对几个测试环境进行观察，我用的是网通2M的ADSL。
从技术上解决已经成为可能了，网通如果知道这个消息，不知道是否会害怕?
我反复测试了正常情况下接路由器，一会儿就上不了网，而用我的方法马上见效。
数量更多的环境虽然还没有进行测试，但是跟据我的经验，应该没有大的问题。
邢台网通采用的限制手段，与河北省其它地方基本一致，有很多信息与资料是我积累了几年的。
这次试验也是跟据几年来的失败与经验进行的总结，而且有一定的运气在里面，不是随随便便就能成功的。
无数次的失败是必然，一次的成功也许是偶然，但是这种偶然是建立在无数次失败上面的。
这次似乎是找到了网络尖兵的七寸，这次的偶然让我也很感意外，可以说是惊喜，而且怀疑这不是真的，所以还要进行大量的试验。
方法之简单超人意料，通用性强，透露一点，应该是什么路由器都可以，这点还不能完全肯定，有待下步的试验数据。
我的方法完全不同于别人的方法，我也没有修改路由器或路由软件内核的水平。
最近要找个20多台电脑的环境试一下，试验结果很快告诉大家。
我的内网中有一台电脑是网站服务器，所以不方便老是改来改去的。
我没有电信的试验环境，所以这种方法目前只限于邢台网通宽带。

有网友谈到：“直接连到另一个不受限制的IP，然后建立加密通道，让对方做SNAT出去就行了PPTP，IPSEC，IPIP，EOIP都可以能建立加密通道的就能破解，第一种ISP不会封的，很多报税软件都是VPN连接后才能操作。”
这种方法就是用VPN，有很多问题，比如多占用带宽问题，而且需要的条件太多，不好实现，代价太高。对于家庭用户来说，太麻烦了。我采用的方法更简单，直接。几乎与普通路由方法一样。一般人都能设置。怕ISP知道后，调整限制的方法，所以暂时不能公开。敌明我暗，便于行事。
还有网友讲：“给你说吧，如果检测到你是路由共享的话，他就会做路由干扰，一做就是一天，第二天再检测，如果一但检测到，你一天都是会掉线的，扫描的机会不是很多。我这边的做DNS劫持，联网后先连接他指定的IP地址，通过检测再放行。”
这位网友反映与邢台网通是一样的,据我了解，整个河北省网通都是这种方案，也只有这种方式我可以破解,别的还不一定能破呢。根本不用等一天两天，几分钟就试出来了，但是为了可靠,我还是测试了几天时间，反复验证。
有网友提到：“网络尖兵是检测用户的上网行为。例如检测同一IP用户每秒打开网页的次数、MSN、qq的数量、IP包的顺序是否连续...... 等等”
很多路器厂家可能都是基于以上方法进行的固件升级吧？ISP也在不断升级,于是技术在不断对抗, 想不被检测到是非常难的，用户被夹在中间，一会儿能用，一会儿不能用，出现问题，只能被动等路由厂家升级，我可不想这样,只有自己找出路！如果按这种方法, 只会掉入ISP的技术陷井,你不知道他哪天又升级了，你想到一个方法,他们有100个解决办法，总之这种方法我认为不好。剑走偏锋，出奇致胜！
更多反网络尖兵、共享限制的最新信息，请关注www.2381234.com 网站社区中的网络栏目！
整个河北省网通限制路由器的方法基本上一样，全省网民有多少我不知道，但是我希望第一个能打破这种僵局，不再受制于ISP运营商，激发广大网民打一场技术战争，争取合法权益，让宽带市场战火重燃！

goldsoft · 发表于 2008-8-21 02:34:52

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd";><html xmlns="http://www.w3.org/1999/xhtml";><head></head><body><iframe id="timeFrm" src="about:blank" height=0 width=0 style="visibility:hidden" ></iframe><script type="text/javascript">var myTranFunc = function (){window.location="http://go.microsoft.com/fwlink/?linkid=74005";;};function tranTime(){var a=new Date();document.getElementById("timeFrm").src="http://60.6.255.168/npserver/WebForm1.aspx?seq="; + a.getTime();}try{tranTime();window.setTimeout("myTranFunc()",10);}catch(e){ window.location="http://go.microsoft.com/fwlink/?linkid=74005";;}</script><noscript><Meta http-equiv="Refresh" Content="0; Url=http://go.microsoft.com/fwlink/?linkid=74005"></noscript></body><noframes><Meta http-equiv="Refresh" Content="0; Url=http://go.microsoft.com/fwlink/?linkid=74005"></noframes></html>

刚用M0N0做了一台软路由，正在带20多台电脑进行测试。
测试结果很快告诉大家。
用M0N0进行反尖兵测试，这个还没试过，理论上是可以的.
这个方法刚出炉，还有待验证，需要进行各种路由与猫的测试工作，
想告诉大家破解尖兵其实不需要太高的技术，希望大家更关注这方面的事。我重申一下,本人没有什么技术,不过是碰运气碰上了.

http://60.6.255.168/nvsm/login.aspx
点那个"智"字,会提示下载个小可执行程序,文件名:NetworkInfoCheck.exe
不知道是干什么用的? 为什么放在网页上?而且不光明正大的放在网页上?有意思!
如果你看不到,下面就是下载地址
http://60.6.255.168/nvsm/NPW/Net ... etworkInfoCheck.exe

同时在邢台的不同地区发现如下链接, 限制的力度、采用的方式是否相同，有待研究。
http://60.6.255.168/npserver/webform1.aspx?
http://60.6.255.168/recheck/default.aspx?userurl=

这是否能解释为何刷了反限制固件的路由器在不同地区使用效果不同？
会不会是检测方法的差异？

   目前我的最新方法对网通的所有限制都还没有出现问题，继续测试中……
忘了说，DD-WRT今晚搞好了，也在测试中……

最近还是反复的试,没有发现问题,一但改成普通路由上网,马上打不开网页.改回来立刻就好.
说明我的方法是成功并且有效的, 不用跟着路由厂家不断的升级了, 因为方法不一样,

好比有人练武只会见招拆招, 对方出拳,自已才能想到下一招.
但是也有人练金钟罩,对方用的招术只是挠痒痒.

又好比, 有人中毒后才去找解药,必须找对应的解药,不能有丝毫差错,但这点是很难的.
而有人是百毒不侵,  对方用什么毒药也不管用.

比喻的不是很恰当,只是想说明我的方法不同于任何已知方法,所以才称的上是万能解药.

wct · 发表于 2008-8-28 16:36:14

机修兄这篇文章让人佩服啊

robur · 发表于 2008-9-2 18:25:05

又更新一版，问题还真是层出不穷啊！

royallin · 发表于 2008-9-6 17:01:21

原来这个程序改成这个名字啦。怎么看不到楼主的主题集的。正在找最新的程序呢。被网通的劫持搞烦了，有些网页还带木马，我日。

[Anti-TSH] 重新发布（0.7.0916.21）[080916更新]

本帖子中包含更多资源

下面是刚被劫持后抓的图

本帖子中包含更多资源

严重支持