滴水逆向联盟

标题: VC++实现禁止上网 [打印本页]
作者: 大灰狼    时间: 2014-10-16 08:53
标题: VC++实现禁止上网

1、使用windows Hook,监视IE或其他浏览器的地址栏,发现有www或http字样的,则更改这些url,使之不能访问相应的url。这种方法实现可能相对容易,但是不准确,不能限制所有的上网软件。糊弄未成年小孩可能比较有效。

  2、基于SPI的数据包过滤。通过编写自己的Winsock服务提供者(SPI),过滤掉不符合规则的包,如过滤访问Internet的数据包。下面会详述此方法。

  3、使用Winsock 2的WSAIoctl特性进行包过滤。WinSock 2允许程序使用WSAIoctl() 给一个SOCK_RAW类型的socket设置SIO_RCVALL属性,这样Socket可以接收到所有经过本机的数据。此方法详细参阅文档“无需驱动程序的Sniffer-IPMon”

  以上三种都是在用户态(user-mode)的实现方法。优点是方便实现,无须编程者理解驱动方面的知识,缺点是还是可能遗漏一些数据包,譬如那些一些病毒软件可能不通过socket接口来访问网络,这样用户态的程序就无法捕获到这些包。但由于我们的目的是限制普通用户上网,而不是做防火墙,所以第2种方法基本可以接受。至于第3种方法,据文档1描述经常无法看到本机发出去的数据包,我也没有仔细测试,有兴趣的朋友可以自己试试。

  第2种方法主要参考了VC知识库《在线杂志》第20期中TOo2y的文章:“基于SPI的数据报过滤原理与实现”。Windows也有一个例子 Layered.zip。另外,《windows网络编程技术》(Anthony Jones著京京工作室译,机工出版),这本书第14章“Winsock2服务提供者接口”较详细讨论了SPI知识。

  下面讨论实现方案。以一个局域网中的电脑为例,实现目标是:不能访问Internet,但可以访问局域网。我们知道,PC机上网有两种方式:A 通过网关(路由器)上网,B 通过代理服务器上网。

  对于A,则其访问Internet时的地址都是公网地址,我们直接通过自己的传输服务提供者直接过滤掉。如下:

int WSPAPI WSPSendTo(

               SOCKET           s,

               LPWSABUF         lpbuffer,

               DWORD            dwbuffercount,

               LPDWORD          lpnumberofbytessent,

               DWORD            dwflags,

               const struct     sockaddr FAR *lpto,

               int              itolen,

               LPWSAOVERLAPPED  lpoverlapped,

               LPWSAOVERLAPPED_COMPLETION_ROUTINE  lpcompletionroutine,

               LPWSATHREADID    lpthreadid,

               LPINT            lperrno)

{

      

       struct sockaddr_in sin;  

       sin=*(const struct sockaddr_in *)lpto;

       //过滤掉访问地址不是本地局域网的包,下面只是简单认为192.168.*.*是局域网的IP,具体需

       //根据不同的局域网网络地址进行设置。

       if (192 != sin.sin_addr.S_un.S_un_b.s_b1)

       {

              OutputDebugString(_T("WSPSendTo Tencent Filtered"));

              return 0;

       }

       else

       {

              return nextproctable.lpWSPSendTo(s,

                                    lpbuffer,

                                    dwbuffercount,

                                    lpnumberofbytessent,

                                    dwflags,

                                    lpto,

                                    itolen,

                                    lpoverlapped,

                                    lpcompletionroutine,

                                    lpthreadid,

                                    lperrno);

       }

}              对于B,由于PC机是通过局域网中的代理上网的,所以其所有的上网数据包通过先发给本地代理,然后代理将它请求的网页返回给它,所以其访问Internet是间接的,其访问Internet时发出的包都是局域网的IP。这样上面的过滤规则就不适用。怎么办?我们可以先取得IE的代理服务器IP地址和端口号,然后将包的地址和端口号与IE的代理IP地址和端口号比较,如果都相等,则过滤此包。这样就可以限制PC机通过代理上网,同时不影响它访问代理服务器的局域网资源。

  至于如何获取IE的代理服务器地址和端口号,可使用下面代码:

       INTERNET_PROXY_INFO *pIEinfo = NULL;

       DWORD dwSize = 0;

       BOOL bRet = InternetQueryOption(NULL, INTERNET_OPTION_PROXY, pIEinfo, &dwSize);

       pIEinfo = (INTERNET_PROXY_INFO*)new char[dwSize];

       bRet = InternetQueryOption(NULL, INTERNET_OPTION_PROXY, pIEinfo, &dwSize);




欢迎光临 滴水逆向联盟 (http://www.dtdebug.com/) Powered by Discuz! X3.2