作者:admin发布时间:2022-01-09分类:传奇私服浏览:17评论:15
最后病毒控制模块会创建两个线程去监听和与被劫持浏览器通讯。一个线程用于接收注入dll发送过来的信息,分析发现注入dll那边会进行URL判断,当访问网页在被劫持网站列表中时,会与构建本地TCP通讯,将访问的网址URL发送给。该线程会把数据传输到下面线程,做好劫持连接准备。
当第一个线程接收到劫持浏览器进程发送的URL后,第二个线程会把作为一个中转器,连接浏览器和网站服务端,中转传递浏览器和网站服务端的通讯。病毒利用注入dll去hook函数相关函数,对访问的URL进行筛查,当访问网页的URL在被劫持列表中时,会把访问网页服务端ip获取保存,然后通过hook的函数与前面获得的ip进行筛查。当为需要劫持的ip时,被劫持网页访问连接会被偷换为与的本地TCP通讯,此处采用了MITM(中间人攻击),(作为中间人)一方面利用伪造的,,server.key证书信息与浏览器客户端进行通讯数据传输,另一方面与劫持到的目标网站http://sfbao.XXXX.com进行通讯数据传输,winaudio.exe作为中间人将通讯进行了劫持重定向。下面为访问同一网站的对比图。
已有15位网友发表了看法: