WestChamber alpha - Windows移植说明 - 请求测试
Elysion
简介:
WestChamber的Windows移植版本。
采用NDIS驱动,基于Microsoft的Passthru源代码和WestChamber Linux ver源代码完成。
(在项目Download页可下载)。
当前进度:
完成了DNS抗混淆部分(gfw)和ZHANG模块。
TODO:
完成CUI模块。加入GUI。
适用Windows版本:
目前仅适用于32位操作系统。
Wwindows XP-Windows 7理论上通用。
注意:
本移植版本处于刚起步的部分,稳定性还没有经过大规模验证。
驱动程序运行失败可能导致无法正常进入系统。
请在安装前备份自己重要的数据,并做好系统还原点的设置。
如果无法进入系统,请进入Windows安全模式,按下文方式卸载。
简单来说:
如果您不确定自己在做什么,便请耐心等待我们推出更完善的版本。
安装说明:
运行BindView。
点Install,选择Service,选择从磁盘安装,选择driver目录的netsf.inf。
如果弹出『未经数字签名』窗口,点『确定』/『依然安装』。
之后在网卡的设置内(或在BindView的Service列表内)应该可以看到westchamber driver的字样,即说明安装成功。
使用说明:
运行DbgView,Capture - Capture Kernel(或快捷键Ctrl + K)可看到提示信息。
DNS抗混淆:
如果发现符合DNS伪数据包指纹的包,将会提示Detected GFW Poinsoned DNS data,并将包丢弃。
IP筛选:
在安装驱动前,在C盘根目录建立iplog.bin,结构如下:
struct
{
unsigned int32 dwNum;
unsigned int32 big_endian dwIpAddress[dwNum];
}
【请注意目前没有支持动态加载/更改iplog,所以如果需要更改iplog请重新卸载-安装驱动或重启系统。】
安装驱动后,一旦收到IpLog内记录的IP地址发来的特殊TCP包,就会打印提示并启动ZHANG模块。
安装包内包含的iplog.bin是根据WestChamber Linux版本内含的IP列表所生成,包含Youtube和其他Google服务
的IP地址。
卸载说明:
BindView -> Uninstall -> WestChamber Driver即可。
请求测试:
由于Win版作者在墙外,测试有诸多不便,所以希望墙内有Win环境的人士能够协助测试。
主要是测试:
1. DNS抗混淆功能是否正常
2. TCP主动injection(ZHANG)是否工作正常
3. 是否有其它漏洞、BUG等(e.g. BlueScreen)
任何的意见、建议、BugReport等等都欢迎发到作者邮箱(elys...@gmail.com)。
其他相关信息:
westchamber.sys的源代码已上传到SVN。
如果需要重新编译,请注意使用checked模式,以便输出调试信息。
westchamber.dll(即passthru.dll,仅重命名)和BindView.exe的源代码可在Windows DDK中找到。
此外,希望有更多熟悉Windows驱动开发,尤其是NDIS中间层驱动开发的人士,能够积极参与到开发中来。
sinanjj
Elysion
On 3月15日, 上午12时26分, sinanjj <sina...@gmail.com> wrote:
> 测试文件在哪啊????
ayconanw
后来发现需要先复制iplog.bin到c:\,于是卸载westchamber driver,复制iplog.bin到c:\,然后再次安装。
但是之后我开ie测试了youtube,依然无法访问,是不是哪个步骤不对?
gffffffuu...@gmail.com
2010/3/15 ayconanw <ayco...@gmail.com>:
> windows 7 32位,刚开始无法安装,卸载卡巴斯基并重启之后,安装成功。
> 后来发现需要先复制iplog.bin到c:\,于是卸载westchamber driver,复制iplog.bin到c:\,然后再次安装。
> 但是之后我开ie测试了youtube,依然无法访问,是不是哪个步骤不对?
>
> --
> You received this message because you are subscribed to "scholarzhang-dev".
> To post to this group, send email to scholarz...@googlegroups.com
> To unsubscribe from this group, send email to
> scholarzhang-d...@googlegroups.com
>
吴天一(Land@CosHiM)
Elysion
与Kaspersky冲突?多谢告知。当时您的电脑上是否启动了Kaspersky NDIS Filter?
=======================================================================
另外,有任何人在Linux平台上成功但在Win平台上失败么?
刚才在自己电脑的Ubuntu上用了一下linux version, 也是无效。
WireShark抓包显示处理流程和I/O的包在两个系统下是一致的,所以应该是同一个问题。
(服务器“应该返回的”RST包永不出现,本地->服务器端监听貌似也并未被取消?)
总之如果有人在win上失败但在linux上成功,烦请告知一声,多谢。可以的话请详细描述下系统和网络环境。
ayconanw
另外,建议readme中“在安装驱动前,在C盘根目录建立iplog.bin”这句放到“运行BindView”之前。
Elysion
v0.02
修正数据包处理过程中一个可能导致蓝屏的BUG。
为测试目的,暂时取消IpLog筛选,ZHANG模块将对所有的TCP连接启用。
源代码请到这里(http://code.google.com/p/scholarzhang/source/checkout)查看。
另外:
关于Issue Report:
如果出现蓝屏,可能的话请提供崩溃转储文件。
(在Windows\minidump文件夹下,系统重新启动后的“系统已从严重错误中恢复”窗口的“详细信息”中也有)。
如果在安装后没有任何响应,请尝试重启系统。
已知兼容性问题:
与Kaspersky的NDIS Filter可能不兼容。
请注意,这只是一个常规更新,尚未解决ZHANG模块无效的问题(即、ZHANG模块正常工作,但未断掉监听)。
如果您之前使用win版本正常,只是无法连接墙外,那么这个版本可能无法解决您的问题,还请暂侯我们进一步的更新。
nan si
测试了, 显示"连接超时" 就是说GFW的reset包倒是丢弃了. 但server端受到reset影响.......
崔莺莺
在 2010年3月16日 上午9:44,nan si <sin...@gmail.com> 写道:
> 连接超时
>
> 测试了, 显示"连接超时" 就是说GFW的reset包倒是丢弃了. 但server端受到reset影响.......
>
>
>
supper3000
正在 Ping youtube-ui-china.l.google.com [72.14.203.138] 具有 32 字节的数据:
来自 72.14.203.138 的回复: 字节=32 时间=142ms TTL=46
来自 72.14.203.138 的回复: 字节=32 时间=140ms TTL=46
来自 72.14.203.138 的回复: 字节=32 时间=139ms TTL=46
来自 72.14.203.138 的回复: 字节=32 时间=137ms TTL=46
tracert的结果也正常
2 ms 4 ms 2 ms 202.96.12.5
45 ms 45 ms 45 ms 219.158.4.86
46 ms 45 ms 45 ms 219.158.3.66
62 ms 62 ms 62 ms 219.158.3.130
* * * 请求超时。
* * * 请求超时。
140 ms 177 ms 140 ms 209.85.241.58
141 ms 140 ms * 209.85.250.120
141 ms 141 ms 140 ms 209.85.250.103
145 ms 142 ms 142 ms 209.85.241.166
140 ms 139 ms 140 ms tx-in-f138.1e100.net [72.14.203.138]
但是,用任何浏览器都不能访问www.youtube.com。我想请教一下问题可能出在那?
On 3月16日, 下午12时51分, 崔莺莺 <yingyingcui.scholarzh...@gmail.com> wrote:
> 推理错误,另有原因。
>
> 在 2010年3月16日 上午9:44,nan si <sina...@gmail.com> 写道:
>
>
>
> > 连接超时
>
> > 测试了, 显示"连接超时" 就是说GFW的reset包倒是丢弃了. 但server端受到reset影响.......
>
> > --
> > You received this message because you are subscribed to "scholarzhang-dev".
> > To post to this group, send email to scholarz...@googlegroups.com
> > To unsubscribe from this group, send email to
> > scholarzhang-d...@googlegroups.com- 隐藏被引用文字 -
>
> - 显示引用的文字 -
Elysion
网卡设置内的『属性页』对WestChamber Driver没有意义,已经取消。
留了个与用户层通信的接口,现在可通过bin/wcwcontroller.exe控制驱动状态。
IpLog.bin现在已经自动拷贝到C盘根目录。
请注意:
a. 这只是一个常规性更新,仅改善用户体验,对功能『似乎没有特别的改善』。
b. 在Linux版本下次推出大的更新之前,如果没有导致系统崩溃或类似程度的BUG,本Windows移植版不会再做特别更新。
几个问题:
1. 链路上存在NAT的网络有较大几率不成功(NAT大多未完全实现TCP的RFC),可能的话请尝试直连。
2. iplog.bin是二进制文件,不是文本文件。今后的版本可能会加入文本支持,但目前尚不支持。
3. 作者没有64位系统,无法测试驱动的兼容性,故64位驱动在【本软件】功能稳定前可能都不会进行开发,在此向64位系统的用户先道个歉。
Elysion
简单来说目前Win版本已经实现了Linux版的全部功能(事实上从0.01开始就已经是了),
而兼容性和稳定性在大家的帮助之下也获得了一定改进。
在没有更新的理论支柱之前,继续的更新【并不能够】使软件变得【更有威力】。
换句话来说,如果您的网路环境在0.01/0.02下无法翻墙,那么0.03,甚至0.04/0.05/0.099,都无能为力
——Elysion和您都只能静候新的应对方式(v0.1+)的出现。
总之,让我们不要放弃希望。
IwfWcf
之前的0.02版和0.01版因为不太稳定很快就卸载了没有注意是否有这个情况
Elysion
On 3月17日, 下午10时21分, IwfWcf <iwf...@gmail.com> wrote:
> 今天偶然发现装了0.03版的驱动后所有百度的服务页面都不能正常渲染,显示的都是源代码,卸载之后就正常了
>
> 之前的0.02版和0.01版因为不太稳定很快就卸载了没有注意是否有这个情况
Chuanyong Teng
--
You received this message because you are subscribed to "scholarzhang-dev".
To post to this group, send email to scholarz...@googlegroups.com
To unsubscribe from this group, send email to
scholarzhang-d...@googlegroups.com
--
Cheers,
Chuanyong
jantares
Elysion
详见http://groups.google.com/group/scholarzhang-dev/browse_thread/thread/
719944bd4bef2444#