首页
社区
课程
招聘
[原创]网吧业务安全对抗(有源码)
发表于: 2024-8-5 17:15 13917

[原创]网吧业务安全对抗(有源码)

2024-8-5 17:15
13917

网吧业务竞争激烈,网吧都会有以下系统软件。


无盘:

无盘是指没有硬盘。好处是统一维护管理和节约成本。本人研究无盘好几年,后面会专门发帖介绍。


计费:

是指收费系统。


营销软件:

包括销售饮品、‌零食和向客户发送电子邮件营销和短信营销等。产品如网吧营销大师。


监管:

监管网吧黄赌毒的软件。


主动防御系统:

绝大多数网吧不装杀毒软件,因为有很多网络游戏都会被杀毒软件误报为病毒而被删除,

比如梦幻、大话、神泣等。而且网吧大多数单机游戏都是破解版,这些单机游戏十之八九也会被误报为病毒。

再有,网吧都是无盘系统,重启后安装的软件都会还原。

所以有了网吧的主动防御软件,相当于网吧的360卫士。

主要功能包括:网络拦截、进\线程、模块、文件、注册表、窗口拦截等。靠网络下发规则来执行拦截,如下图。


网吧增值业务:

已经形成了一个产业,包括下面几项。


1.chuangqi业务:

此业务竞争最激烈,每年billion的收益。因为chuanqi游戏一直很火,而且私服很多。



后面专门介绍如何对抗。


2.禁止添加桌面图标:

  方法是,若我们驱动先启动: 使用minifilter拦截.lnk文件的创建

  后启动: 拦截+删除白名单(自己的图标)以外的桌标。

  所有的进程全部过滤。


3.登陆器封禁

  有了抢浏览器,为啥还要有登陆器封禁。因为会从别的地方下载了sifu登陆器。这样可以forbid了竞品,弹出我们的登陆器。

  

4.渠道号:

  替换软件安装包的渠道号,以拿到推广money。例如替换某游戏平台替换xxxxxx.db,就更改了渠道号。

5.浏览器锁主页:

  驱动在进程回调中修改命令行参数。不懂的,可以见看雪文章 https://bbs.kanxue.com/thread-272095.htm


下面介绍chuangqi业务:

因为用户玩传奇是从网站上下载,所以第三方软件会弹出广告令其下载。弹广告是由C端的程序控制,会抢占浏览器。

占浏览器无外乎是两种方法: 一个是网络过滤驱动(如WFP),一个是Hook浏览器。

除了抢浏览器手段一外,还会主动出击,攻破网吧的其它增值软件,不让其弹传奇Ads。

为了让我们的页面弹出来,竞品的业务不弹。我先采用的是Attack方法,先发制人。


安全是围绕攻防展开的。攻防是对立统一的。对立好理解,统一是: 防得好要先学攻,攻得好要理解防御。

攻击一点发力击破,难的是寻找突破点。防御是以一敌十,但需要考虑很全面。

所以安全很有研究价值的。



本文先聊下如何对付抢占浏览器,然后说下怎么防御对方攻击。

先介绍下TDI、WFP


1.TDI:

TDI,Transport Driver Interface,传输驱动程序接口。TDI是早期的模型,虽说微软不推荐,但使用起来不影响。

TDI的引出是Microsoft在网络API程序和协议驱动之间又增加了一层即TDI。


为什么要增加一层,因为微软希望通过分层后,工程师各司其职、分别开发。

TDI是微软提供的内核网络驱动模型中的编程接口规范,而不是部件,和NDIS一样。像AFD、TCPIP、NDIS驱动则是一个实现具体功能的部件,如下图:

上图来自看雪一半人生的文章。


下面介绍下Ring3到Ring0的网络分层结构:

ws2_32.dll提供了基本的socket相关函数(例如socket,bind,listen等)。

Windows在用户层提供了一种过滤网络数据包的HOOK方案,这个就是Layered service provider(也就是我们通常说的LSP),通过这种技术我们对网络包进行HOOK了,国内很多大厂用的都是这种技术。

Socket是一种统一的规范,无论是Windows还是Linux他们对外提供的接口都是一样的。在Windows下面Socket被转换成为设备的IO操作,并且提供了一个AFD.SYS(Ancillary Function Driver for WinSock)的驱动模块来辅助。

tcpip是一个网络协议驱动程序,对底层他提供了一个NIDS协议驱动,对上层他提供了应对TCP,UDP,RAWIP等不同协议的设备对象。

nicxxx是网卡驱动。


2.WFP:

WFP是windows推出来的新一代对网络数据进行操作的框架,用于取代TDI框架。WFP很灵活,就是框架有些重。用TDI实现网络功能也是完全可行的。


WFP的架构图如下:


WFP最重要的是下面几个组件:

过滤器(Filter):当满足一组条件的时候,执行指定的动作。多个滤器之间,有位置和权重之分。

Callout:是一组函数。数据流经过时,过滤器调用callout,执行callout中自定义的操作,然后标记放行还是阻断。

Layer:表示网络流量处理中调用过滤器引擎的特定点。(不同的Layer,有不同的标识。)

Sub-layer:layer的子组件。一个layer中可以创建不同的sub-layer,有权重之分。

当然还有Provider。它只用于管理, 不参与网络数据的过滤。


WFP有个弱点,特别是网吧环境,若关掉了BFE服务,WFP驱动就失效了:


再说下对抗网络过滤驱动:



[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2024-8-11 15:59 被yirucandy编辑 ,原因:
上传的附件:
收藏
免费 17
支持
分享
最新回复 (14)
雪    币: 17
活跃值: (35)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
来学习学习
2024-8-5 17:55
0
雪    币: 266
活跃值: (2362)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
对抗计费试试能不能让吧台那边不被发现
2024-8-6 12:53
1
雪    币: 200
活跃值: (2304)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
很详细啊 现在网吧快成乱投放广告重灾区了 支持lz 把这些乱投的广告统统抓出来
2024-8-6 13:24
0
雪    币: 0
活跃值: (340)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
666
2024-8-6 15:09
0
雪    币: 175
活跃值: (491)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
6
先mark,再学习~~
2024-8-6 19:21
0
雪    币: 8057
活跃值: (2625)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
7
难道是武汉的那家公司。。。
2024-8-6 19:41
0
雪    币: 9771
活跃值: (2596)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
网吧投广告,老板同意吗?
2024-8-6 21:50
0
雪    币: 0
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
9
我的网易邮箱只记得邮箱,其他都忘记了,怎么找回密码,感谢各位大佬帮忙!
2024-8-6 21:53
0
雪    币: 461
活跃值: (2808)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
对抗没有出路,合作才能一起发财.
2024-8-7 09:05
0
雪    币: 6588
活跃值: (2512)
能力值: ( LV12,RANK:320 )
在线值:
发帖
回帖
粉丝
11
saloyun 对抗没有出路,合作才能一起发财.
表面合作,私下拼技术
2024-8-7 09:37
0
雪    币: 75
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
12
顽劣 很详细啊 现在网吧快成乱投放广告重灾区了 支持lz 把这些乱投的广告统统抓出来
抓你母子
2024-8-7 13:50
0
雪    币: 20
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
w2w
13
学习
2024-8-12 16:18
0
雪    币: 3785
活跃值: (3947)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
14
刚毕业工作时也搞过这些。
2024-8-15 15:10
0
雪    币: 218
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
fengyunabc 刚毕业工作时也搞过这些。[em_85]
搞这个能赚啥钱,技术人员都快没饭吃了
2024-8-26 14:54
0
游客
登录 | 注册 方可回帖
返回
//