[注意][注意]你的上网行为被监视着……-WEB安全-看雪-安全社区|安全招聘|kanxue.com

[注意][注意]你的上网行为被监视着……

发表于: 2012-10-18 22:23 10043

[注意][注意]你的上网行为被监视着……

我是土匪

2012-10-18 22:23

10043

序：
这事还要从2012年9月1日说起，在论坛下载天易love的一个附件，突然下载了一个游戏外挂，第一感觉是看雪论坛被挂马儿了（也许你会说是不是你电脑中毒了，呵呵，我已经裸奔好多年，偶尔中点黄毒

），于是连续了看雪大哥，经过和“看雪”的一步步测试，发现不是论坛的问，是我的问题，我开始怀疑我的电脑中毒了。于是我关掉window系统，重启，进入fedora，来到看雪，下载附件，同样的问题出现了。
测试1，用IE9下载千千静听：http://ttplayer.qianqian.com/download/ttpsetup-95024068.exe

域名请求数据包截图：

与服务器通信截图：

HttpAnalyzerStdV6 分析：

通过伪服务器下载软件：

测试2：http://bbs.pediy.com/showthread.php?t=155392

点击下载这个附件：

查看一下114.64.255.38归属，通过以上测试发现每次重定向url的末尾都追加了字符串“?y=yjwt08”

供研究数据包： 数据包.rar（数据包使用CommView抓的，可以使用Wireshark来打开）

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

上传的附件：

IE.png （158.34kb，36次下载）
第23次被劫持.png （106.86kb，31次下载）
第一次被劫持.png （114.00kb，58次下载）
看雪0.png （32.52kb，566次下载）
看雪1.png （250.34kb，19次下载）
看雪2.png （93.27kb，42次下载）
连接真正的节点.png （92.66kb，58次下载）
通过伪服务器下载软件.png （123.72kb，32次下载）
域名请求.png （91.97kb，112次下载）
数据包.rar （164.61kb，26次下载）
IP.png （50.04kb，4次下载）

收藏・21

免费・0

支持

最新回复 (56) 1 2 3 ▶
我是土匪雪币： 576 活跃值： (1495) 能力值： ( LV12，RANK：210 ) 在线值：发帖 75 回帖 787 粉丝 7 关注私信	我是土匪 4 2 楼占个楼，一会发视频。链接用，正在上传ing。视频演示：土豆高清：http://www.tudou.com/programs/view/8KFSYEcy2hU/ 2012-10-18 22:26 0
独头蒜雪币： 11 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 84 粉丝 0 关注私信	独头蒜 3 楼看不懂呀。站位等大牛来解释解释 2012-10-18 22:33 0
muyen 雪币： 309 活跃值： (83) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 92 粉丝 1 关注私信	muyen 4 楼网关被污染了罢... 2012-10-18 23:38 0
Flowing 雪币： 513 活跃值： (436) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 59 粉丝 0 关注私信	Flowing 5 楼 302,lz中奖了 2012-10-19 00:20 0
loqich 雪币： 962 活跃值： (1681) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 642 粉丝 0 关注私信	loqich 6 楼好像是运营商的内部NAT 缓存一些常用文件 2012-10-19 01:36 0
皮特尔雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 65 粉丝 0 关注私信	皮特尔 7 楼等楼主说清楚了，我们才能明白吧。 2012-10-19 01:43 0
yjd 雪币： 2882 活跃值： (1240) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 778 粉丝 1 关注私信	yjd 8 楼优酷太模糊了。还是传土豆吧。有原画质 2012-10-19 04:39 0
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 9 楼 mark mark 2012-10-19 06:51 0
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 595 粉丝 26 关注私信	boywhp 12 10 楼广东电信早就这么干了，有啥好稀奇的，你找谁去投诉？ 2012-10-19 08:01 0
ugvjewxf 雪币： 615 活跃值： (530) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 352 粉丝 11 关注私信	ugvjewxf 11 楼为什么我们没有发生这种事情？ 2012-10-19 08:14 0
xScorpion 雪币： 194 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 38 粉丝 0 关注私信	xScorpion 12 楼什么情况？？？ 2012-10-19 08:49 0
Fido 雪币： 107 活跃值： (326) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 13 楼劫持过去赚取广告费的嘛... 某厂商浏览器也有类似行为的嘛... 2012-10-19 10:19 0
yy大雄雪币： 183 活跃值： (1058) 能力值： ( LV3，RANK：30 ) 在线值：发帖 22 回帖 332 粉丝 1 关注私信	yy大雄 14 楼问下分析数据包的软件叫什么？ 2012-10-19 10:19 0
我是土匪雪币： 576 活跃值： (1495) 能力值： ( LV12，RANK：210 ) 在线值：发帖 75 回帖 787 粉丝 7 关注私信	我是土匪 4 15 楼万恶的 “景德镇” 2012-10-19 10:22 0
我是土匪雪币： 576 活跃值： (1495) 能力值： ( LV12，RANK：210 ) 在线值：发帖 75 回帖 787 粉丝 7 关注私信	我是土匪 4 16 楼我用的是CommView，你也可以用Wireshark来打开我上传的数据包。 2012-10-19 10:23 0
我是土匪雪币： 576 活跃值： (1495) 能力值： ( LV12，RANK：210 ) 在线值：发帖 75 回帖 787 粉丝 7 关注私信	我是土匪 4 17 楼你的思想还很单纯，这绝对不是赚广告费那么简单的，这说明你所有的http请求都是被它监控的，你访问了哪些网站，发表了什么言论，甚至你下载的文件都有可能是被加入了后门的。 2012-10-19 10:26 0
kangcin 雪币： 602 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 482 粉丝 0 关注私信	kangcin 18 楼知道的越多越痛苦,所以还是让我做小白吧 2012-10-19 10:27 0
rypjoin 雪币： 47 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 56 粉丝 0 关注私信	rypjoin 19 楼 LZ那个chrome 分析下载地址的插件是什么名字? 2012-10-19 10:37 0
crackhell 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 118 粉丝 0 关注私信	crackhell 20 楼目测是F12 2012-10-19 11:28 0
rypjoin 雪币： 47 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 56 粉丝 0 关注私信	rypjoin 21 楼好吧原来是这样 2012-10-19 11:36 0
我是土匪雪币： 576 活跃值： (1495) 能力值： ( LV12，RANK：210 ) 在线值：发帖 75 回帖 787 粉丝 7 关注私信	我是土匪 4 22 楼就，就是F12。 2012-10-19 12:15 0
chowyu 雪币： 207 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	chowyu 23 楼太模糊了 2012-10-19 12:29 0
cwind 雪币： 434 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	cwind 24 楼电信推送广告也是这样做的会替换文件的还没遇到过这种攻击方式以前就有大多数攻击明文可以用VPN或加密代理避免被监控 2012-10-19 12:30 0
odgs 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 35 粉丝 1 关注私信	odgs 25 楼 lz是属于需要维稳群体。 2012-10-19 13:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

我是土匪

发帖

787

回帖

210

RANK

关注

私信

他的文章

[原创]第二题 2390
[原创]第一题 2540

关于我们

联系我们

企业服务

看雪公众号

最新回复 (56) 1 2 3 ▶
我是土匪雪币： 576 活跃值： (1495) 能力值： ( LV12，RANK：210 ) 在线值：发帖 75 回帖 787 粉丝 7 关注私信	我是土匪 4 2 楼占个楼，一会发视频。链接用，正在上传ing。视频演示：土豆高清：http://www.tudou.com/programs/view/8KFSYEcy2hU/ 2012-10-18 22:26 0
独头蒜雪币： 11 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 84 粉丝 0 关注私信	独头蒜 3 楼看不懂呀。站位等大牛来解释解释 2012-10-18 22:33 0
muyen 雪币： 309 活跃值： (83) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 92 粉丝 1 关注私信	muyen 4 楼网关被污染了罢... 2012-10-18 23:38 0
Flowing 雪币： 513 活跃值： (436) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 59 粉丝 0 关注私信	Flowing 5 楼 302,lz中奖了 2012-10-19 00:20 0
loqich 雪币： 962 活跃值： (1681) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 642 粉丝 0 关注私信	loqich 6 楼好像是运营商的内部NAT 缓存一些常用文件 2012-10-19 01:36 0
皮特尔雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 65 粉丝 0 关注私信	皮特尔 7 楼等楼主说清楚了，我们才能明白吧。 2012-10-19 01:43 0
yjd 雪币： 2882 活跃值： (1240) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 778 粉丝 1 关注私信	yjd 8 楼优酷太模糊了。还是传土豆吧。有原画质 2012-10-19 04:39 0
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 9 楼 mark mark 2012-10-19 06:51 0
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 595 粉丝 26 关注私信	boywhp 12 10 楼广东电信早就这么干了，有啥好稀奇的，你找谁去投诉？ 2012-10-19 08:01 0
ugvjewxf 雪币： 615 活跃值： (530) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 352 粉丝 11 关注私信	ugvjewxf 11 楼为什么我们没有发生这种事情？ 2012-10-19 08:14 0
xScorpion 雪币： 194 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 38 粉丝 0 关注私信	xScorpion 12 楼什么情况？？？ 2012-10-19 08:49 0
Fido 雪币： 107 活跃值： (326) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 13 楼劫持过去赚取广告费的嘛... 某厂商浏览器也有类似行为的嘛... 2012-10-19 10:19 0
yy大雄雪币： 183 活跃值： (1058) 能力值： ( LV3，RANK：30 ) 在线值：发帖 22 回帖 332 粉丝 1 关注私信	yy大雄 14 楼问下分析数据包的软件叫什么？ 2012-10-19 10:19 0
我是土匪雪币： 576 活跃值： (1495) 能力值： ( LV12，RANK：210 ) 在线值：发帖 75 回帖 787 粉丝 7 关注私信	我是土匪 4 15 楼万恶的 “景德镇” 2012-10-19 10:22 0
我是土匪雪币： 576 活跃值： (1495) 能力值： ( LV12，RANK：210 ) 在线值：发帖 75 回帖 787 粉丝 7 关注私信	我是土匪 4 16 楼我用的是CommView，你也可以用Wireshark来打开我上传的数据包。 2012-10-19 10:23 0
我是土匪雪币： 576 活跃值： (1495) 能力值： ( LV12，RANK：210 ) 在线值：发帖 75 回帖 787 粉丝 7 关注私信	我是土匪 4 17 楼你的思想还很单纯，这绝对不是赚广告费那么简单的，这说明你所有的http请求都是被它监控的，你访问了哪些网站，发表了什么言论，甚至你下载的文件都有可能是被加入了后门的。 2012-10-19 10:26 0
kangcin 雪币： 602 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 482 粉丝 0 关注私信	kangcin 18 楼知道的越多越痛苦,所以还是让我做小白吧 2012-10-19 10:27 0
rypjoin 雪币： 47 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 56 粉丝 0 关注私信	rypjoin 19 楼 LZ那个chrome 分析下载地址的插件是什么名字? 2012-10-19 10:37 0
crackhell 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 118 粉丝 0 关注私信	crackhell 20 楼目测是F12 2012-10-19 11:28 0
rypjoin 雪币： 47 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 56 粉丝 0 关注私信	rypjoin 21 楼好吧原来是这样 2012-10-19 11:36 0
我是土匪雪币： 576 活跃值： (1495) 能力值： ( LV12，RANK：210 ) 在线值：发帖 75 回帖 787 粉丝 7 关注私信	我是土匪 4 22 楼就，就是F12。 2012-10-19 12:15 0
chowyu 雪币： 207 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	chowyu 23 楼太模糊了 2012-10-19 12:29 0
cwind 雪币： 434 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	cwind 24 楼电信推送广告也是这样做的会替换文件的还没遇到过这种攻击方式以前就有大多数攻击明文可以用VPN或加密代理避免被监控 2012-10-19 12:30 0
odgs 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 35 粉丝 1 关注私信	odgs 25 楼 lz是属于需要维稳群体。 2012-10-19 13:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复