在鼠标点击的一刹那，流量在用户体系中流过层层节点，在路由的指引下奔向远方的服务器。这段旅程中，浴血奋战的战役往往是最剧烈的，在所有流量或许路过的节点，往往都潜伏着绑架者，他们绑架流量的 *** 也层出不穷，从主页装备篡改、hosts绑架、进程Hook、发动绑架、LSP注入、阅读器插件绑架、HTTP署理过滤、内核数据包绑架、bootkit等等不断花样翻新。或许从你按下开机按钮的一会儿，流量绑架的故事就现已开端了。
一 、本地流量绑架1、不苟言笑的流氓软件“网址导航”可谓国内互联网最共同的一道风景线，从hao123开端发扬光大，各大导航站开端成为互联网流量最首要的一个进口点，随同着的是环绕导航主页链接的小尾巴(推广ID)，打开的一场场触目惊心的攻防狙击战。一方面国内安全软件对传统IE阅读器的主页防护越来越紧密， 另一方面用户体会更好的第三方阅读器开端占有干流位置，国内的流氓木马为了追求导航量也开端“另辟蹊径”。下面讲到的事例是咱们从前捕获到的一批导航主页绑架样本，前史活泼期最早能够追溯到2014年，首要经过多类流氓软件绑缚传达，其绑架功用模块经过联网更新获取，经过多层的内存解密后再动态加载。其间的主页绑架插件模块经过修正阅读器装备文件完成主页篡改，对国内外的chrome、火狐、safari、傲游、qq、360、搜狗等20余款干流阅读器做到了悉数掩盖。完成这些功用明显需要对这批阅读器的装备文件格局和加密算法做逆向剖析，在样本剖析过程中咱们乃至发现其使用某缝隙绕过了其间2款阅读器的主页维护功用，流氓作者可谓十分“走心”，惋惜是剑走偏锋。

[1] 某软件下拉加载主页绑架插件 上图便是咱们在其间一款软件中抓取到的主页绑架模块文件和更新数据包，或许你对数据包里这个域名不是很熟悉，可是说到“音速发动”这款软件信任安全圈内许多人都会有所了解，当年各大安全论坛的工具包基本上都是用它来办理装备的，随同了许多像本文作者这样的三流小黑客的学习生长，所以剖析这个样本过程中仍是有许多感受的，当然这些木马绑架行为或许和原作者没有太大联系，传闻这款软件在中止更新几年后卖给了上海某科技公司，其旗下多款软件产品都曾被发现过流氓绑架行为，感兴趣的读者能够自行百度，这儿不再进行更多的发表。
正如前面的事例，一部分从前的老牌软件开端渐渐蜕变，离用户渐行渐远；另一方面，跟着最近几年国内安全环境的改变，之前盛行的盗号、下载者、远控等传统木马日渐式微，别的一大批披着正规软件外衣的流氓也开端鼓起，他们的运作 *** 有以下几个特色：
假充正规软件，但实践功用单一粗陋，有些乃至是空壳软件，常见的比如某某日历、天气预报、色播、输入法等形形 *** 的假装方式，妄图凭借这些正常功用的外衣躲避安全软件的阻拦，完成常驻用户体系的意图。
背面行为与木马病毒无异，其意图仍是为了获取推广流量，如主页确定，网页绑架、广告弹窗、流量暗刷、静默装置等等。并且其间很大一部分流氓软件的歹意模块和装备都经过云端进行下拉操控，能够做到分时段、分区域、分场景进行投进触发。

[2] 某流氓软件的云端操控
变种速度比较快，屡杀不止，被安全软件阻拦整理后很快就会替换数字签名，乃至换个软件外壳包装后东山再起。这些数字签名注册的企业信息许多都是流氓软件作者从其他途径专门收买的。

[3]某流氓软件1个月内屡次替换数字签名证书躲避安全软件查杀
下面能够经过几个典型事例了解下这些流氓软件进行流量绑架的技能 *** ：1） 经过阅读器插件进行流量绑架的QTV系列变种，该样本针对IE阅读器经过BHO插件在用户网页中注入 *** 脚本，针对chrome内核的阅读器使用缝隙绕过了部分阅读器插件的正常装置过程，经过篡改装备文件增加阅读器插件完成动态绑架。

[4]被静默装置到阅读器中的插件模块，经过 *** 注入绑架网页
经过注入 *** 脚原本绑架用户网页阅读的技能长处也很明显，一方面注入的云端 *** 脚本比较灵敏，能够随时在云端操控修正绑架行为，另一方面关于普通用户来说十分荫蔽，难以发觉。被注入用户网页的 *** 脚本的对网页阅读中大部分的推广流量都进行了绑架，如下图：

[5] 在网页中注入 *** 绑架推广流量
2） 下面这个“高清影视流氓病毒”事例是上一年曾深化盯梢的一个流氓病毒传达团伙，该类样本首要假装成播放器类的流氓软件进行传达，技能特色如下图所示，大部分绑架模块都是驱动文件，经过动态内存加载到体系内核，完成阅读器绑架、静默推广等病毒行为。

[6] “高清影视”木马绑架流程简图
从木马后台服务器取证的文件来看，该样本短期内传达量十分大，单日顶峰到达20w+，一周累计感染用户超越100万，装置计算数据库每天的备份文件都超越1G。

[1] [2] [3] [4] [5]  黑客接单网