[原创] Ring3挂钩实现网址过滤、重定向——《另类挂钩-RING3数据包监视》应用

转一份本地备份，原帖发在看雪的：http://bbs.pediy.com/showthread.php?t=100847

 

这份代码演示了如何根据黑名单过滤指定URL（可以实现简单的网页防火墙），并且演示了一种最容易实现的页面劫持方法（重定向）。当然，使用这个方法钓鱼是绝对禁止的，出了任何问题都与本人无关

 

实现原理：
1. 网址的黑名单过滤最简单，如果不需要模式匹配的话可以直接 Pos() 查找Buffer中是否包含指定字符串，有则直接返回失败(例如0xC0000001)，让系统不发送这个请求包。
2. 页面劫持就是指将一个网站(或页面)的访问重定向到我们指定的网址上，这个电信以前干得比较多，他们是通过DNS实现的。这里通过修改服务器的返回数据，替换成 HTTP/1.1 301 来欺骗浏览器，比直接修改GET报文更方便，而且可以跨站。

 

都在原来代码的基础上修改而来，完整工程见文章末尾，下面是新增的处理部分：

  // 过滤参数
  Block_Filter = 'google.com';            // 阻止所有对 google.com 的请求
  // 重定向参数
  URL_Filter = 'bbs.pediy.com';           // 要重定向的URL (小写)
  Redirect_String: AnsiString =           // 重定向字符串(使用 HTTP 301)
      'HTTP/1.1 301 Moved Permanently'#13#10'Location: ' +
      'http://www.baidu.com/search/error.html' +
      #0;

in function NewNtDeviceIoControlFile():
    case IoControlCode of
      AFD_SEND:
        if ( LookupSendPacket(Buffer, Len) ) then
        begin
          // 输出包内容
          OutputDebugString(PChar(Format('[HTTP Send] Handle = %0.8X, Length = %d', [FileHandle, Len])));
          OutputDebugString(PChar(Format('%s', [StrPas(Buffer)])));
          tmpStr := LowerCase(String(StrPas(Buffer)));

        {  网址过滤实现  }
          if (Pos(Block_Filter, tmpStr) > 0) then
          begin
            OutputDebugString(PChar(Format('>>> "%s" was blocked.', [Block_Filter])));
            Result := $C0000001;      // 返回失败让系统丢掉这个包
          end;

        {  重定向实现  }
          // 查找发送的数据中是否包含 URL_Filter 中的字符串
          if (Pos(URL_Filter, tmpStr) > 0) then
          begin
            // 匹配到 URL_Filter，将Handle加入 SessionList
            tmpStr := IntToHex(FileHandle, 8);
            if (SessionList.IndexOf(tmpStr) = -1) then  // 如果没有这个Handle
              SessionList.Add(tmpStr);
          end;
        end;
      AFD_RECV:
        if ( LookupRecvPacket(Buffer, Len) ) then
        begin
          // 输出包内容
          OutputDebugString(PChar(Format('[HTTP Recv] Handle = %0.8X, Length = %d', [FileHandle, Len])));
          OutputDebugString(PChar(Format('%s', [StrPas(Buffer)])));

        {  重定向实现  }
          // 在SessionList查找Handle，找到则进行重定向
          tmpStr := IntToHex(FileHandle, 8);
          Index := SessionList.IndexOf(tmpStr);
          if (Index >= 0) then
          begin
            SessionList.Delete(Index);
            // 修改缓冲区内容为重定向字符串
            if (Len >= DWORD(Length(Redirect_String))) then
              CopyMemory(Buffer, @Redirect_String[1], Length(Redirect_String));
            OutputDebugString(PChar(Format('>>> Redirect "%s" to a new page.', [URL_Filter])));
          end;
        end;
    end;

 

为了方便实现，利用了 TStringList.IndefOf() 查找Socket句柄，考虑效率的话建议自己实现查询算法。

注入dll到浏览器后就能看到效果，这段代码会阻止所有对 google.com 的访问，并且将看雪论坛的请求全部重定向到百度的错误页面上。

 

完整工程源码：r3_Hook_NtDeviceIoControl_Redirect301_src.rar