在市場(chǎng)上，提供海外云服務(wù)器的企業(yè)非常多，客戶在選擇時(shí)需要從產(chǎn)品、價(jià)格、售后、機(jī)房等多維度去比較，但真正將產(chǎn)品、價(jià)格、服務(wù)三者做到平衡的屈指可數(shù)，但我認(rèn)為YINGSOO就是其中很難得的一個(gè)，建議您了解一下YINGSOO，您會(huì)發(fā)現(xiàn)找對(duì)地方了。YINGSOO咨詢熱線：400-630-3752

技術(shù)點(diǎn)（傳奇服務(wù)器租用）

通過TDI過濾、DNS劫持、HTTP(s)注入、HOSTS重定向等技術(shù)手法篡改用戶系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)包，將正常網(wǎng)頁訪問劫持引流至指定私服網(wǎng)站，并利用安全軟件云查殺數(shù)據(jù)包屏蔽、關(guān)機(jī)回調(diào)重寫等手段實(shí)現(xiàn)對(duì)抗查殺。

技術(shù)細(xì)節(jié)

A、注冊(cè)TDI回調(diào)函數(shù)，過濾收發(fā)包

病毒驅(qū)動(dòng)加載后，對(duì)TDI_SEND和TDI_SET_EVENT_HANDLER進(jìn)行了處理，前者主要是負(fù)責(zé)網(wǎng)絡(luò)數(shù)據(jù)的發(fā)包，后者則是負(fù)責(zé)對(duì)接收到網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行處理，對(duì)這兩個(gè)地方進(jìn)行過濾處理之后，帶來的效果就是訪問A域名，實(shí)際打開的卻是B網(wǎng)站。

在TDI_SEND中，通過檢測(cè)360與其云端的通訊時(shí)的關(guān)鍵字段“x-360-ver:”，中斷云查詢，從而造成云查殺的失效。在TDI_SET_EVENT_HANDLER中，收到符合規(guī)則的請(qǐng)求響應(yīng)數(shù)據(jù)后，病毒直接修改數(shù)據(jù)包，嵌入相應(yīng)的HTML框架代碼進(jìn)行劫持

B、設(shè)置IE代理，劫持HTTP訪問

設(shè)置IE代理的目的，猜測(cè)是為了在病毒驅(qū)動(dòng)被殺軟清理后，依舊能夠長(zhǎng)期劫持網(wǎng)站訪問所用。IE的代理配置信息由云端實(shí)時(shí)下發(fā)。

C、創(chuàng)建關(guān)機(jī)回調(diào)，劫持DNS和自更新

下載劫持的DNS配置信息，然后在關(guān)機(jī)回調(diào)中設(shè)置電腦的DNS，從而完成DNS的修改劫持www.huohudun.com。

D、 創(chuàng)建映像加載回調(diào)，攔截其它病毒運(yùn)行

在映像加載回調(diào)中，為了確保被感染的電腦能夠被自己成功劫持，當(dāng)檢測(cè)到當(dāng)前加載的是驅(qū)動(dòng)程序時(shí)，還會(huì)對(duì)比簽名是否為黑名單中的簽名（黑名單從106.14.47.210:11054/bctlist.dat下載而來），若符合攔截規(guī)則，則直接禁止加載。

E、 創(chuàng)建注冊(cè)表回調(diào)，保護(hù)自身啟動(dòng)

在注冊(cè)表回調(diào)中，若發(fā)現(xiàn)有對(duì)IE代理設(shè)置和驅(qū)動(dòng)服務(wù)類注冊(cè)表項(xiàng)的操作，則直接拒絕訪問，防止相關(guān)注冊(cè)表項(xiàng)被修改。

除此之外，病毒還會(huì)循環(huán)枚舉注冊(cè)表回調(diào)函數(shù)的地址，若檢測(cè)到被刪除，則會(huì)再次注冊(cè)回調(diào)函數(shù)，這么做為了防止用戶利用pchunter之類的ARK工具對(duì)回調(diào)函數(shù)進(jìn)行刪除操作，使病毒難以被手動(dòng)清除。但如果是病毒程序自身升級(jí)需要修改相關(guān)的注冊(cè)表項(xiàng)時(shí)，則會(huì)利用開關(guān)標(biāo)記來暫停對(duì)相關(guān)注冊(cè)表項(xiàng)的保護(hù)。

F、 下載配置信息，實(shí)時(shí)更新劫持信息

無需與3環(huán)進(jìn)程交互，完全由0環(huán)的驅(qū)動(dòng)實(shí)現(xiàn)，而相關(guān)的配置信息，也統(tǒng)一從遠(yuǎn)程服務(wù)器下載。

YINGSOO始創(chuàng)于2011年，專注服務(wù)器租用與托管10年，是國(guó)家工信部認(rèn)可的綜合電信服務(wù)運(yùn)營(yíng)商。YINGSOO提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器等產(chǎn)品服務(wù)，另有CDN加速、DDOS云防護(hù)、IPLC國(guó)際專線等業(yè)務(wù)。服務(wù)熱線：400-630-3752

熱門搜索：【eth ropsten水龍頭】【機(jī)房1個(gè)U是多少】【海外服務(wù)器】【游戲運(yùn)營(yíng)商數(shù)據(jù)怎么備份】【使用香港網(wǎng)絡(luò)違法嗎】【一臺(tái)實(shí)體服務(wù)器需要多少錢】【chia日志級(jí)別】【外網(wǎng)加速器臺(tái)灣】【美國(guó)站群租用】【高防 滾動(dòng)條】【如果通過云服務(wù)器代理上網(wǎng)】【100m國(guó)內(nèi)服務(wù)器多貴】【g口帶寬服務(wù)器】【用了加速器能查到本地ip嗎】【云主機(jī)接入方式】【Chia 1211 如何登錄】【萬國(guó)數(shù)據(jù)廊坊數(shù)據(jù)中心機(jī)房】【網(wǎng)站發(fā)布專線的選擇】【香港互聯(lián)網(wǎng)有墻嗎】【北京傳奇服務(wù)器租用價(jià)格表】【動(dòng)態(tài)BGP分運(yùn)營(yíng)商嗎】【低價(jià)云主機(jī)】【便宜臺(tái)灣vps】【三豐云服務(wù)器備案授權(quán)碼】【深度學(xué)習(xí)服務(wù)器組裝】【成都房?jī)r(jià)】【ssr 防止被墻】【40G服務(wù)器】

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。