迷宫。发散的脑细胞

版权声明：转载时请以超链接形式标明文章原始出处和作者信息及本声明
http://bbwww.blogbus.com/logs/1867144.html

二六五网络技术（北京）有限公司

让我们做为265的用户，时刻关注265，感受265，期等有更大的发展，我们视目以待。
http://columnist.chinabyte.com/265pr/333/2185333.shtml

265.病毒最疯狂的时候是JS脚本强奸IE主页！

差点就快淡出我的视线了.
没想到意外的晚上被恶心了一把.

友情提示：您到达本站，是因为您所输入的网址不存在或当前不可用！在此，推荐您使用265上网导航，最多中国人使用的电脑主页，这里可以找到你想要的所有网站！

265上网导航联系方式：
北京电话：010-96096265 58622121(广告业务、项目合作)
传真：010-58768199
办公地址：北京市朝阳区东三环中路55号富力双子座B座503室
邮政编码：100022
厦门电话：0592-2217833 2217633(技术咨询及帮助)
传真：0592-2290766
办公地址：厦门市天湖路103号建东大厦504
邮政编码：361004
如果您有任何合作建议，请随时与我们联系！网址频道合作、下载265上网导航资料，
特别提示：网址推荐、网址登录，请直接进入相应的分类网址页提交，谢谢！
合作声明：本站与“万能五笔”为战略伙伴关系，如您使用此软件，将自动设置

265上网导航为浏览器主页！当您安装此软件时，会有明确的提示，如果您不喜欢

此设置，可以放弃安装，谢谢您对我们的支持与理解！

分析：这个流氓的技术：

被绑架的ＩＥ默认搜索过程：

首先我们看先从dns开始看。当然进程是从nbns开始的。

IE首先提交的是 auto.search.msn.com

您查询的IP:218.241.97.29
* 查询结果1：中国 Asia China
*查询结果2：CNNIC
不知道这个cnnic是真是假。
打开218.241.97.29进入的http://search.msn.com/
似乎都是很正常的。
3 to 5都是http连接过程，就不说了。
6现在我们提交了 /response.asp?MT=hao123&srch=3&prov=&utf8 HTTP/1.1的请求。
7服务器返回了确认收到信息。
8服务器返回了一个HTTP/1.1 200 OK
HTTP/1.1 200 OK // 表示服务器支持HTTP/1.1 协议，成功
服务器发送数据过来了。就在这时候就突然有了猫腻。
我们接收到的是这个文件。

而我们本来请求的页面是这个

在我寻找他的注入点时却发现：

* HijackThis v1.99.1 *

扫描OK!

冰刃检查OK!

最后我在 CNET科技资讯网上cnnic的一篇官样文章里面我们看到耐人寻味的语句：

目前，国内电信运营商改变IE的默认指向，用实际行动为反对微软私设“标准”提供了一个范本，这无疑是一个好的趋势。

哦 The Great Firewall of China 商业化万岁！

其实265大概是买断了某一个地区电信的对IE默认搜索拦截。

电信还有一项伟大的发明。嵌入广告弹出。而且是地区，市的级别就可以干的。