技术是把双刃剑,正邪完全取自使用者的态度。只有深入了解各种底层知识,才能使自己功防兼备。例如今天要说的hosts劫持,hosts文件完整路径"C:\WINDOWS\system32\drivers\etc\hosts",是windows下一个比较特殊的文件。我们可能有时会遇到这样一个问题,例如访问xxx.com,打开的是127.0.0.1,这就很可能系统的hosts文件被修改了,hosts文件相当于本机的dns映射表,系统在访问域名首先查找hosts文件,查看是否有对应的ip地址,如果没有才到远程的dns服务器去请求。很多杀毒软件和主防都会修改该文件来屏蔽一些恶意网址。很多恶意程序也会通过修改这个文件来劫持相关域名。以下代码通过替换相关网址来对正常的网址进行保护。
BOOL ReplaceHostsUrl(LPCSTR szOldUrl,LPCSTR szNewUrl)
{
CString strHostsPath = GetHostsPath();
//去掉文件的只读系统隐藏属性
DWORD dwAttr = GetFileAttributes(strHostsPath);
if (dwAttr == -1) //文件不存在
return FALSE;
if (dwAttr & FILE_ATTRIBUTE_READONLY) //如为只读文件 去掉只读属性
{
dwAttr &= ~ FILE_ATTRIBUTE_READONLY;
//dwAttr &= ~ FILE_ATTRIBUTE_SYSTEM;
//dwAttr &= ~ FILE_ATTRIBUTE_HIDDEN;
SetFileAttributes(strHostsPath,dwAttr);
}
FILE* fp = fopen(strHostsPath,"rb+"); //hosts文件是一个binrary文件
if (fp != NULL)
{
fseek(fp,0,SEEK_END);
DWORD dwLen = ftell(fp); //计算hosts文件长度
fseek(fp,0,SEEK_SET);
char *pBuf = new char[dwLen+1];
memset(pBuf,0,dwLen+1);
fread(pBuf,dwLen,1,fp);
CString strTmp = pBuf;
strTmp.MakeLower();
if (strTmp.Find(szOldUrl) != -1)
{
strTmp.Replace(szOldUrl,szNewUrl);
fseek(fp,0,SEEK_SET);
fwrite(strTmp.GetBuffer(),strTmp.GetLength(),1,fp);
}
delete [] pBuf;
fclose(fp);
return TRUE;
}
return FALSE;
}
扫一扫
11-22
7452
7452
12-04
1828
1828
12-06
886
886
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
