今天电脑上安装了一个程序。过一会儿,发现,只要是打开某几个游戏官网,他就给跳转到了这个程序的官网。
后来分析了下。看到电脑上给安装了一个驱动。还是某某公司的。
挂上WINDBG,一步步跟下来,发现了原理。
第一步,程序打开后,给电脑安装上了一个驱动。接着读取他们网站一个配置文件不过是加密的。
第二步,驱动把电脑上所有数据包都给拦截了,然后发给应用层程序。
第三步,应用层程序通过私有证书中间人攻击解密了HTTPS网站内容,取得指定网址。
第四步,用一个容器来循环对比数据包中是否有指定网站和指定访问的文件名出现。一旦出现,就修改目标数据。就实现了。比如访问aa.com打开的却是作者设置的bb.com
我做代理软件的,分析这个还算快。好多东西跟代理流程相似。重点就是驱动及解析HTTS加密数据包。