LSP“瀏覽器劫持概念

標籤：

關於Winsock LSP“瀏覽器劫持”，中招者一直高居不下,由於其特殊性，直接刪除而不恢複LSP的正常狀態很可能會導致無法上網所以對其修複需謹慎. 
  先說說什麼是Winsock LSP“瀏覽器劫持”.Winsock LSP全稱Windows Socket Layered Service Provider(分層服務提供者)，它是Windows底層網路Socker通訊需要經過的大門。一些流氓軟體可以把自已加進去，就可以截取、訪問、修改網路的資料包，可以隨意添加廣告，還能擷取你的瀏覽習慣.這裡加進的是木馬，後果可想而知。而且因為LSP工作在底層，所以無論你用什麼瀏覽器，都逃不了經過它。而LSP中的dll檔案被刪除後，就會出現無法上網的情況。 
  LSP服務在註冊表中的位置 HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼WinSock＼Parameters＼NameSpace_Catalog5＼Catalog_Entries，預設系統已有LSP，分別負責TCP/IP組件（mswsock.dll）和NTDS組件（winrnr.dll）的正常工作，它們的項分別為000000000001和000000000002，這兩個項表示優先權，如果惡意程式想要劫持，只要將自身的項改為000000000001，將系統項依次推後即可，這樣就可以優先處理惡意程式了

LSP“瀏覽器劫持概念