简介:
WestChamber的Windows移植版本。
采用NDIS驱动,基于Microsoft的Passthru源代码和WestChamber Linux ver源代码完成。
(在项目Download页可下载)。
当前进度:
完成了DNS抗混淆部分(gfw)和ZHANG模块。
TODO:
完成CUI模块。加入GUI。
适用Windows版本:
目前仅适用于32位操作系统。
Wwindows XP-Windows 7理论上通用。
注意:
本移植版本处于刚起步的部分,稳定性还没有经过大规模验证。
驱动程序运行失败可能导致无法正常进入系统。
请在安装前备份自己重要的数据,并做好系统还原点的设置。
如果无法进入系统,请进入Windows安全模式,按下文方式卸载。
简单来说:
如果您不确定自己在做什么,便请耐心等待我们推出更完善的版本。
安装说明:
运行BindView。
点Install,选择Service,选择从磁盘安装,选择driver目录的netsf.inf。
如果弹出『未经数字签名』窗口,点『确定』/『依然安装』。
之后在网卡的设置内(或在BindView的Service列表内)应该可以看到westchamber driver的字样,即说明安装成功。
使用说明:
运行DbgView,Capture - Capture Kernel(或快捷键Ctrl + K)可看到提示信息。
DNS抗混淆:
如果发现符合DNS伪数据包指纹的包,将会提示Detected GFW Poinsoned DNS data,并将包丢弃。
IP筛选:
在安装驱动前,在C盘根目录建立iplog.bin,结构如下:
struct
{
unsigned int32 dwNum;
unsigned int32 big_endian dwIpAddress[dwNum];
}
【请注意目前没有支持动态加载/更改iplog,所以如果需要更改iplog请重新卸载-安装驱动或重启系统。】
安装驱动后,一旦收到IpLog内记录的IP地址发来的特殊TCP包,就会打印提示并启动ZHANG模块。
安装包内包含的iplog.bin是根据WestChamber Linux版本内含的IP列表所生成,包含Youtube和其他Google服务
的IP地址。
卸载说明:
BindView -> Uninstall -> WestChamber Driver即可。
请求测试:
由于Win版作者在墙外,测试有诸多不便,所以希望墙内有Win环境的人士能够协助测试。
主要是测试:
1. DNS抗混淆功能是否正常
2. TCP主动injection(ZHANG)是否工作正常
3. 是否有其它漏洞、BUG等(e.g. BlueScreen)
任何的意见、建议、BugReport等等都欢迎发到作者邮箱(elys...@gmail.com)。
其他相关信息:
westchamber.sys的源代码已上传到SVN。
如果需要重新编译,请注意使用checked模式,以便输出调试信息。
westchamber.dll(即passthru.dll,仅重命名)和BindView.exe的源代码可在Windows DDK中找到。
此外,希望有更多熟悉Windows驱动开发,尤其是NDIS中间层驱动开发的人士,能够积极参与到开发中来。
On 3月15日, 上午12时26分, sinanjj <sina...@gmail.com> wrote:
> 测试文件在哪啊????
2010/3/15 ayconanw <ayco...@gmail.com>:
> windows 7 32位,刚开始无法安装,卸载卡巴斯基并重启之后,安装成功。
> 后来发现需要先复制iplog.bin到c:\,于是卸载westchamber driver,复制iplog.bin到c:\,然后再次安装。
> 但是之后我开ie测试了youtube,依然无法访问,是不是哪个步骤不对?
>
> --
> You received this message because you are subscribed to "scholarzhang-dev".
> To post to this group, send email to scholarz...@googlegroups.com
> To unsubscribe from this group, send email to
> scholarzhang-d...@googlegroups.com
>
刚才在自己电脑的Ubuntu上用了一下linux version, 也是无效。
WireShark抓包显示处理流程和I/O的包在两个系统下是一致的,所以应该是同一个问题。
(服务器“应该返回的”RST包永不出现,本地->服务器端监听貌似也并未被取消?)
总之如果有人在win上失败但在linux上成功,烦请告知一声,多谢。可以的话请详细描述下系统和网络环境。
v0.02
修正数据包处理过程中一个可能导致蓝屏的BUG。
为测试目的,暂时取消IpLog筛选,ZHANG模块将对所有的TCP连接启用。
源代码请到这里(http://code.google.com/p/scholarzhang/source/checkout)查看。
另外:
关于Issue Report:
如果出现蓝屏,可能的话请提供崩溃转储文件。
(在Windows\minidump文件夹下,系统重新启动后的“系统已从严重错误中恢复”窗口的“详细信息”中也有)。
如果在安装后没有任何响应,请尝试重启系统。
已知兼容性问题:
与Kaspersky的NDIS Filter可能不兼容。
请注意,这只是一个常规更新,尚未解决ZHANG模块无效的问题(即、ZHANG模块正常工作,但未断掉监听)。
如果您之前使用win版本正常,只是无法连接墙外,那么这个版本可能无法解决您的问题,还请暂侯我们进一步的更新。
在 2010年3月16日 上午9:44,nan si <sin...@gmail.com> 写道:
> 连接超时
>
> 测试了, 显示"连接超时" 就是说GFW的reset包倒是丢弃了. 但server端受到reset影响.......
>
>
>
On 3月16日, 下午12时51分, 崔莺莺 <yingyingcui.scholarzh...@gmail.com> wrote:
> 推理错误,另有原因。
>
> 在 2010年3月16日 上午9:44,nan si <sina...@gmail.com> 写道:
>
>
>
> > 连接超时
>
> > 测试了, 显示"连接超时" 就是说GFW的reset包倒是丢弃了. 但server端受到reset影响.......
>
> > --
> > You received this message because you are subscribed to "scholarzhang-dev".
> > To post to this group, send email to scholarz...@googlegroups.com
> > To unsubscribe from this group, send email to
> > scholarzhang-d...@googlegroups.com- 隐藏被引用文字 -
>
> - 显示引用的文字 -
请注意:
a. 这只是一个常规性更新,仅改善用户体验,对功能『似乎没有特别的改善』。
b. 在Linux版本下次推出大的更新之前,如果没有导致系统崩溃或类似程度的BUG,本Windows移植版不会再做特别更新。
几个问题:
1. 链路上存在NAT的网络有较大几率不成功(NAT大多未完全实现TCP的RFC),可能的话请尝试直连。
2. iplog.bin是二进制文件,不是文本文件。今后的版本可能会加入文本支持,但目前尚不支持。
3. 作者没有64位系统,无法测试驱动的兼容性,故64位驱动在【本软件】功能稳定前可能都不会进行开发,在此向64位系统的用户先道个歉。
之前的0.02版和0.01版因为不太稳定很快就卸载了没有注意是否有这个情况
On 3月17日, 下午10时21分, IwfWcf <iwf...@gmail.com> wrote:
> 今天偶然发现装了0.03版的驱动后所有百度的服务页面都不能正常渲染,显示的都是源代码,卸载之后就正常了
>
> 之前的0.02版和0.01版因为不太稳定很快就卸载了没有注意是否有这个情况
--
You received this message because you are subscribed to "scholarzhang-dev".
To post to this group, send email to scholarz...@googlegroups.com
To unsubscribe from this group, send email to
scholarzhang-d...@googlegroups.com