[Anti-TSH] 重新发布（0.7.0916.21）[080916更新]

royallin · 发表于 2008-9-6 22:36:35

请问ADSL的要在拨号连接那里添加服务，还是在本地连接那里添加服务？
谢谢。

royallin · 发表于 2008-9-6 22:50:33

我在拨号连接那里安装了驱动。
但是还是不成功。以下是嵌入到目的网页广告的代码

<HTML><HEAD><meta http-equiv="Content-Type" content="text/html; charset=gb2312"><meta http-equiv="

ragma" content="no-cache"></HEAD>
<frameset rows=0,* border=0><frame src="about:blank"><frame src="http://221.4.210.61/cgi-bin/userpost?n=%6A%6D%44%53%4C%30%30%30%30%32%30%39%34%30%40%31%36%39%30%30%2E%67%64&c=&p=4&s=1&u=%77%77%77%2E%64%61%71%69%2E%63%6F%6D&e=//">
<h3>                         </h3><br>
<h3>                         </h3><br>
<h3>                         </h3><br>
<h3>                         </h3><br>
<h3>                         </h3><br>
<h3>                         </h3><br>
<h3>                         </h3><br>
<h3>                         </h3><br>
<h3>                         </h3><br>
<h3>                         </h3><br>
<h3>                         </h3><br>
<h3>                         </h3><br>
<h3>                         </h3><br>
<h3>                         </h3><br>
<h3>                         </h3><br>
<h3>                         </h3><br>
<h3>                         </h3><br>
<h3>                         </h3><br>
<h3>                         </h3><br>
<h3>                         </h3><br>
<h3>                         </h3><br>
<h3>                         </h3><br>
<h3>                         </h3><br>
</HTML>

---------------------------------------------------------------------

还有一些弹出广告
debugview 显示的全部都是 nopacket but completell
Filter.txt的内容是默认的，没有修改过。
只安装了netsf.inf
要不要安装netsf_m.inf？
还有passthru.sys要放到那里？
请求帮助
网通的ADSL

XP SP3

[ 本帖最后由 royallin 于 2008-9-6 23:39 编辑 ]

robur · 发表于 2008-9-7 14:08:36

原帖由 royallin 于 6/9/2008 22:50 发表
我在拨号连接那里安装了驱动。
但是还是不成功。以下是嵌入到目的网页广告的代码

1、本服务安装在ADSL的拨号连接上是正确的。
2、Nopacket but complete，并不是问题，说明驱动安装正确，收包函数工作也正常。只不过是收包函数的N个方法中的一个。
3、只安装netsf.inf即可，上面的情况已经表明驱动在你的系统中生效了。
4、passthru.sys不用管它，你安装了驱动后，系统就自动把它复制到%systemroot%\system32\drivers下面。
5、关于你的情况，看看我的说明，尝试使用一下“强制匹配”。如果ISP返回的广告经过G-zip编码，那我也没有太好的办法。尚未添加解码的模块。

royallin · 发表于 2008-9-7 15:12:22

好的，谢谢。我试下强制匹配。
达到无良ISP~~~~~~还我绿色网络

royallin · 发表于 2008-9-7 15:51:07

好像起效了，但是那个该死的嵌入广告需然不显示出来。但是页面一片白，什么都没有，总得刷新才能开到目的网站。ISP太可恶了。

sorryboy · 发表于 2008-9-7 18:48:17

不知道广州行不行。特意为了这个程序来注册的。
测试后有问题，机修老大一定要帮忙解答哦。

royallin · 发表于 2008-9-11 11:13:54

robur 请问怎么把嵌入式的广告也去掉呢。
现在是那个嵌入式的广告没有出来，显示不出来，但是一片白，浏览器状态栏显示，正在打开那个广告的地址，经常要刷新才能连接到我要的网站，而且非常频繁，真烦。百度里打开的网址都一定先打开那个嵌入式的广告先，真烦。

robur · 发表于 2008-9-11 12:33:26

原帖由 royallin 于 11/9/2008 11:13 发表
robur 请问怎么把嵌入式的广告也去掉呢。
现在是那个嵌入式的广告没有出来，显示不出来，但是一片白，浏览器状态栏显示，正在打开那个广告的地址，经常要刷新才能连接到我要的网站，而且非常频繁，真烦。百度里打开 ...

你抓个包看看先，具体问题具体分析。

royallin · 发表于 2008-9-11 14:48:55

还是这个代码。
<HTML><HEAD><meta http-equiv="Content-Type" content="text/html; charset=gb2312"><meta http-equiv="ragma" content="no-cache"></HEAD>
<frameset rows=0,* border=0><frame src="about:blank"><frame src="http://221.4.210.61/cgi-bin/userpost?n=%6A%6D%44%53%4C%30%30%30%30%32%30%39%34%30%40%31%36%39%30%30%2E%67%64&c=&p=4&s=1&u=%77%77%77%2E%64%61%71%69%2E%63%6F%6D&e=//">

特征码用的 221.4.210.61
抓包工具没有，推荐一个。以前用的iris删了。

[ 本帖最后由 royallin 于 2008-9-11 14:50 编辑 ]

robur · 发表于 2008-9-11 20:17:47

原帖由 royallin 于 11/9/2008 14:48 发表
还是这个代码。
特征码用的 221.4.210.61
抓包工具没有，推荐一个。以前用的iris删了。

用本站的科来网络分析系统技术交流版。

royallin · 发表于 2008-9-11 22:44:48

原帖由 robur 于 2008-9-11 20:17 发表

用本站的科来网络分析系统技术交流版。

221.4.210.61 这个就是嵌入式广告
此次抓包是在百度搜索页面点击的连接
目标地址http://tj.28.com/ws/aaatm/index. ... p;kw=aaa&fz=993

环境：XP SP3 单机接猫 ADSL拨号

robur · 发表于 2008-9-13 13:40:21

原帖由 royallin 于 11/9/2008 22:44 发表

221.4.210.61 这个就是嵌入式广告
此次抓包是在百度搜索页面点击的连接
目标地址http://tj.28.com/ws/aaatm/index. ... p;kw=aaa&fz=993

环境：XP SP3 单机接猫 ADSL拨号

你找错对象了，你看看你抓的这个包，第57个。
你以后再仔细留意一下你baidu的ttl到底是多少，我怎么感觉你一开始就被人骗了？
换一个文明国家的DNS服务器，别用国内DNS。

royallin · 发表于 2008-9-13 15:30:14

原帖由 robur 于 2008-9-13 13:40 发表

你找错对象了，你看看你抓的这个包，第57个。
你以后再仔细留意一下你baidu的ttl到底是多少，我怎么感觉你一开始就被人骗了？
换一个文明国家的DNS服务器，别用国内DNS。

换了opendns 的202.68.222.222 也是一样。

始终还是这个嵌入式的广告去不掉，其他的弹出式的，漂浮的都已经没有了。

[ 本帖最后由 royallin 于 2008-9-13 15:33 编辑 ]

robur · 发表于 2008-9-13 17:03:52

原帖由 royallin 于 13/9/2008 15:30 发表

换了opendns 的202.68.222.222 也是一样。

始终还是这个嵌入式的广告去不掉，其他的弹出式的，漂浮的都已经没有了。

你确信你理解我的意思了？
我是说样本中第57个数据包是被劫持的根源。分析它的特征，强制匹配。
没用过你这个dns，不做评论，我直接用美国的。

a132696039 · 发表于 2008-9-13 17:12:02

谢谢。我试下强制匹配。

[ 本帖最后由 oldjiang 于 2008-9-13 19:45 编辑 ]

royallin · 发表于 2008-9-13 17:49:51

原帖由 robur 于 2008-9-13 17:03 发表

你确信你理解我的意思了？
我是说样本中第57个数据包是被劫持的根源。分析它的特征，强制匹配。
没用过你这个dns，不做评论，我直接用美国的。

这个是美国的OPENDNS服务器

从百度点击的全部连接都会先去那个广告的。
从收藏夹或者浏览网站的时候偶尔也会去那个广告。
我也不知道该设那个为特征码了。

-----------------------------------
刚才又抓了一次包。
图为嵌入广告时的画面。
ADSL 刚拨号上去，首先会被转去网通的宽网天下网站，但是我在host里屏蔽掉了，所以首先点开的是错误页面。
然后试图访问www.tom.com时那个嵌入式广告出现。

[ 本帖最后由 royallin 于 2008-9-13 18:06 编辑 ]

robur · 发表于 2008-9-13 21:39:14

原帖由 royallin 于 13/9/2008 17:49 发表

这个是美国的OPENDNS服务器

从百度点击的全部连接都会先去那个广告的。
从收藏夹或者浏览网站的时候偶尔也会去那个广告。
我也不知道该设那个为特征码了。

-----------------------------------
刚才又抓 ...

看到了。状态代码403，然后里面插广告。
可能是我设计的强制匹配逻辑顺序有问题，待我检查一下，明天给你答复。多谢支持！

你被劫持到中国网宽天下那个，应该对应的是数据包31，你可以自己看一下。

royallin · 发表于 2008-9-14 11:41:44

原帖由 robur 于 2008-9-13 21:39 发表

看到了。状态代码403，然后里面插广告。
可能是我设计的强制匹配逻辑顺序有问题，待我检查一下，明天给你答复。多谢支持！

你被劫持到中国网宽天下那个，应该对应的是数据包31，你可以自己看一下。

中秋快乐。
不急，后天再弄也不迟。

锋行 · 发表于 2008-9-14 20:41:36

问个弱弱的问题,
1.特征码在科来抓包里是怎么体现出来的呀,抓到的http包里面怎么知道哪个可以作为特征码呢,这个不是很理解啊,
2.我用是阿尔卡特511猫,路由上网的,驱动是不是装在本地连接里啊,看有的人是装在宽带连接里面,所以有点不明白,呵呵,
希望路过的朋友,知道的知一声,小弟在此谢过.

robur · 发表于 2008-9-16 18:29:35

原帖由 royallin 于 14/9/2008 11:41 发表

中秋快乐。
不急，后天再弄也不迟。

已经确认不能过滤的现象是程序对强制匹配的逻辑关系处理有误。
以前强制匹配还要检查一下HTTP状态代码，显然403是没有定义过的。我把这个过程移出来单独放置了。

另外，搞到了最新的Server 2008 WDK，已经编译了适合Vista的版本，准备一起发出来。
多谢支持！

robur · 发表于 2008-9-16 18:33:00

原帖由锋行于 14/9/2008 20:41 发表
问个弱弱的问题,
1.特征码在科来抓包里是怎么体现出来的呀,抓到的http包里面怎么知道哪个可以作为特征码呢,这个不是很理解啊,
2.我用是阿尔卡特511猫,路由上网的,驱动是不是装在本地连接里啊,看有的人是装在宽带连 ...

1、科来可不会有什么特征码的提示，纯人工分析。你要是能知道哪个数据包是伪造的，即可轻易分析出特征码。翻翻以前的帖子吧。
2、路由上网是安装在本地连接上。

royallin · 发表于 2008-9-17 14:54:30

好，UP UP UP~

sun200401 · 发表于 2008-9-20 06:45:19

真心感谢楼主为大家所作的一切！我用的版本是Ver. 0.7.0618.19，再也没有恶心的电信广告了。

robur · 发表于 2008-9-20 12:35:15

原帖由 sun200401 于 20/9/2008 06:45 发表
真心感谢楼主为大家所作的一切！我用的版本是Ver. 0.7.0618.19，再也没有恶心的电信广告了。

此版本有问题，在Filter.txt文件配置不正确的情况下，可能导致蓝屏。
请尽快升级到最新版本。多谢支持！

ai25.net · 发表于 2008-9-24 17:14:10

// DebugView:

NtCreateSection:C:\Program Files\360safe\360se\360Start.exe
CreateProcess: C:\Program Files\360safe\360se\360Start.exe
NtCreateSection:C:\PROGRA~1\360safe\360se\360SE.exe
CreateProcess: C:\PROGRA~1\360safe\360se\360SE.exe
2: Blocked All RST Packet!
2: Blocked All RST Packet!
2: Blocked All RST Packet!
2: Blocked All RST Packet!
2: Blocked All RST Packet!
2: Blocked All RST Packet!
2: Blocked All RST Packet!
NtCreateSection:C:\WINDOWS\system32\notepad.exe
CreateProcess: C:\WINDOWS\system32\notepad.exe
NtCreateSection:C:\WINDOWS\system32\drivers\kmixer.sys
watchdog!WdUpdateRecoveryState: Recovery enabled.
NtCreateSection:C:\WINDOWS\system32\drivers\kmixer.sys
NtCreateSection:C:\WINDOWS\system32\drivers\kmixer.sys

royallin · 发表于 2008-10-3 22:40:18

原帖由 ai25.net 于 2008-9-24 17:14 发表 2: Blocked All RST Packet!
2: Blocked All RST Packet!
2: Blocked All RST Packet!
2: Blocked All RST Packet!
2: Blocked All RST Packet!
2: Blocked All RST Packet!
2: Blocked All RST Packet!

这段不是么？

snbco · 发表于 2008-10-28 12:59:57

万分佩服！～～～～～～～

howell · 发表于 2008-12-24 11:02:25

其实,这个软件无非就是在操作系统中过滤指向的这个地址:202.105.165.218

我也在中山,不过我的做法是直接在路由中禁了,这可更直接了当
不过最近又多了个新的,找天看看防火墙显示是什么IP,也将他禁了

redog · 发表于 2009-1-4 08:06:07

Debugview与本机冲突,会跟一些软件不停重启,关闭软件后再运行发现没有任何数据,有没有其它的查看工具?
有时ISP商发送302重定向后,并没有紧跟着发送原网站的应答,导致网页直接无法连接.

如果不用Anti-TSH的情况是大部分访问80端口的程序(才不理你是不是浏览器),会被ISP抢先发送一个302重定向到本机,后面正确的应答无法被识别(先来先用?),但是ISP的广告出问题了,不给你返回,又慢,最后显示无广告,XD
有些游戏是通过HTTP来检测服务器列表之类的根本没法玩.查看就是先连上了ISP的广告网站,半天不返回正确的,直接判定你与服务器连接失败.
太气人了,发广告就算了,现在广告系统出问题了还不去修,说我的机子有问题,@@他们全家的机子才有问题.

[ 本帖最后由 redog 于 2009-1-4 08:09 编辑 ]

baikaixin · 发表于 2009-2-17 08:05:33

好东西，如果能增加用户界面和自定义端口，估计对ISP封电骡也会有帮助，期望楼主有时间能帮助那些被封的骡友们。

[Anti-TSH] 重新发布（0.7.0916.21）[080916更新]

本帖子中包含更多资源

本帖子中包含更多资源

我是广东珠海的。不知道我的是否拦截正常。帮忙解答一下。谢谢