друзья. уже второй раз слышу о том, что вод виндой устанавливаются редиректы по IP _без_ использования файла hosts. У кого есть какие мнения - каким образом это делается? мне, к сожалению, кроме "абстрактных" идей по патчингу браузеров или же какого-то из системных модулей - идей не пришло. За любую помощь по сабжу в виде ссылок на факи\кусков кода или же словесных подсказок\указаний\мнений и.т.п. - буду в разной степени признателен. за реальную помощь щедро плюсую. update. поехали: первое решение: Установка прокси
Могу сказать бред но в windows ведь существуют windows хуки, возможно идет просто перехват вызова какой та win api функции? собстно вот что попалось http://www.delphimaster.ru/cgi-bin/forum.pl?id=1169702635&n=4 http://forum.vingrad.ru/forum/topic-274596.html http://forum.sources.ru/index.php?showtopic=64539 http://209.85.135.132/search?q=cache:AP24llyoW7AJ:www.rsdn.ru/forum/winapi/1125340.1.aspx+winsock+%D0%BF%D0%B5%D1%80%D0%B5%D1%85%D0%B2%D0%B0%D1%82+winapi&cd=1&hl=ru&ct=clnk&gl=ru
как вариант - HKLM\SYSTEM\ControlSet???\Services\Tcpip\Parameters тут есть ключек DataBasePath в него записывается путь к папке с базами. подефолту там %SystemRoot%\System32\drivers\etc по идее ты моще создать другую папку. Туда кинуть всё сожерживое этой папки. попутно подправив hosts и изменить в реестре адрес этот на свою папку. Всё хорошо, но тока палится это вроде. каспер 6 точно палил работать это вроде будет тока после перезагрузки. Но фишка в том, что последнйи аутпост при полной проактивке не палит это )
P.S. как вариант можно какнить в винде изменить адрес первичного и вторичного DNS сервера. И вот запоминаеш этот адрес. вместо него пишеш нужный тебе адрес DNS сервака. И всё норм. теперь все DNS будут проходить через тебя и там ты можеш подменять адреса
2 0rs для большого числа компов это неподойдет. потому как ты должен будеш выступать сам в роле шлюза и весь траф будет идти через тебя. А это однако напряжно при большом кол-ве компов.
Не весь, а только тот, что перенаправишь. У нас в локальной сети довольно долго какой-то троян гулял. Удаленно изменял таблицу маршрутизации на компе у жертвы и при запросе html страниц дописывал в начало вредоносный скрипт.
устанавливаю в HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters HKLM\SYSTEM\ControlSet002\Services\Tcpip\Parameters HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters поле DataBasePath типа REG_EXPAND_SZ значения %SystemRoot%\System32\drivers\my копирую туда содержимое папки etc (правлю хостс), из папки etc все удаляю. Ребут - болт. Редирект не работает. Проверяю ключи - все на месте. Записываю в папку etc обратно файл hosts, ребут - редирект снова работает. Пробовал: 1. 2 различных винды(и соотв. 2 разных компа). Zver SP3 и лицензионную полностью чистую винду Home Edition SP2. 2. не просто удалять все из папки etc, но и удалять её саму. 3. в поле DataBasePath ставить тип REG_SZ и писать значение C:\WINDOWS\System32\drivers\my 4. полностью удалять ключ DataBasePath (hosts по-прежнему работает из стандартной папки) 5. переименовывать в папке my файл hosts в hosts.sam 6. Юзал ipconfig /flushdns и ipconfig /registerdns (все равно, даже при удаленном ключе работает оригинальный файл hosts а при отсутствии hosts там где положено - редиректа вообще нет) все это, естественно, чередовалось с ребутами. Во всех случаях hosts продолжал по прежнему читаться из стандартной папки etc и не из какой другой. Примечения: 1. папка etc во время работы винды блокируется файлом c:\windows\system32\svchosts.exe, т.е. не может быть удалена в лоб. Блокируется даже в случае, если ключ в реестре изменен на свой, или же вообще отсутствует. Но даже если её разлочить и удалить - это ничего не меняет. 2. чем отличеются 2 моих компа (из которых один - свежеотформатированный ноут, куда я залил чистую лиц. ХР2) от миллионов других - ну разве что тем, что работают через роутер DLink. 3. гуглил долгое время... указанный способ соответствует действительности и в общем-то уже весьма широко-известен. Хотя ни 1 репорта, подобного моему - не встретил, а все что были - лечились через /flushdns фигня какая-то
ErrorNeo, все тобой было сделано верно. аналогичные симптомы, порой сайты не открываются, и Вай-Фай виснет при коннекте <любой-сайт><порт:80> лечится - полным отключением компа от 220 вольт. пробоволось и /dnsflushing, черта с два, и дело тут не в своем компе, но в рутере, к которому подключен комп, так выяснилось экспериментами.