LSP

 伤脑筋   2014-01-03 00:58   1723 人阅读  0 条评论

LSPLSP即分层服务提供商,Winsock 作为应用程序的 Windows 的网络套接字工具,可以由称为“分层服务提供商”的机制进行扩展。Winsock LSP 可用于非常广泛的实用用途,包括 Internet 家长控制(parental control) 和 Web 内容筛选。在以前版本的 Windows XP 中,删除不正确的(也称为“buggy”)LSP 可能会导致注册表中的 Winsock 目录损坏,潜在地导致所有网络连接的丢失。

LSP(Layered Service Provider )
中文名为分层服务提供程序。 LSP就是TCP/IP等协议的接口.LSP用在正途上可以方便程序员们编写监
视系统网络通讯情况的Sniffer,可是现在常见的LSP都被用于浏览器劫持
Winsock LSP(Layered Service Provider)
“浏览器劫持”或者“分层服务提供程序”。某些间谍软件会修改Winsock 2的设置,进行LSP“浏览器
劫持”,所有与网络交换的信息都要通过这些间谍软件,从而使得它们可以监控使用者的信息。著名的如
New net插件或WebHancer组件,它们是安装一些软件时带来的你不想要的东西。
“浏览器劫持”后出现的症状
 1、“浏览器劫持”后出现的症状:
           被重定向到恶意网页
      当输入错误的网址时被重定向
      输入字符时IE速度严重减慢
      重启动后IE主页/搜索页被更改
      不请自来的受信任站点
      收藏夹里自动反复添加恶意网站
      在使用Google和Yahoo等著名搜索引擎搜索时出现某些弹出窗口
      IE 选项卡中出现不能更改或被隐藏的项目
      不能打开 IE 选项卡
手动修复受损的LSP
◇无法上网的背后是“LSP”被破坏
  LSP全称Windows Socket Layered Service Provider(分层服务提供商),简单地说,它是Windows底
层网络Socket通信需要经过的大门,而流氓软件把自己加进去后,就可以截取、访问、修改网络的数据包
,自然可以随意的添加广告,还能获取你的访问习惯。有这么个东西盯着你,会是什么感受呢?流氓软件
使用LSP还有一个好处就是可以不分浏览器的类型进行劫持,不管你是用IE、Maxthon,还是Opera、
Firefox都难逃一劫。
  由于LSP工作在底层,在不知情的情况下,把LSP的DLL文件删除了,就出现了前面所提到无法上网的
现象。
  ◇LSP也藏在注册表中
  LSP服务隐藏在注册表中的[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2
\Parameters\NameSpace_Catalog5\Catalog_Entries]项下(见图3)。
默认系统已经已经有LSP,分别负责TCP/IP组件(mswsock.dll)和NTDS组件(winrnr.dll)的正常工作,它们
的项分别为000000000001及000000000002,这两个项表示优先权,如果流氓软件想要劫持,那么只要将自
身改为000000000001,将系统原有的LSP项往后推为000000000002等,就可以优先处理恶意LSP了。
  不过有些LSP也是好的,比如江民杀毒软件会在这里添加一个kvwsp.dll,微软的Firewall Client会
添加一个FwcWsp.dll,要根据实际情况进行处理。
  ◇手动修复受损的LSP
  如果你突然发现不能上网了,找不到修复软件了,那别忘了拿出这期《电脑爱好者》杂志看看哦。
  第一步:删除流氓软件的LSP组件项(记下文件保存位置,以便删除),根据
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2
\Parameters\NameSpace_Catalog5\Catalog_Entries\00000000000*]项下的“DisplayString”键,找到
Tcpip、NTDS及“网络位置知晓 (NLA) 名称空间”,将它们三个的项,分别恢复为000000000001、
000000000002、000000000003。
  第二步:完成上面的修改后,还要定位至
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2
\Parameters\NameSpace_Catalog5],根据上面的长串数,修改Num_Catalog_Entries键,比如只有
000000000001、000000000002、000000000003,那就修改为3,如果还有000000000004,那就修改为4。
  第三步:重新启动计算机,删除流氓软件的LSP文件。
       为 Windows XP 重置 Winsock
  要为 Windows XP 重置 Winsock,请按照下列步骤操作:
  1.单击“开始”,运行中输入cmd。
  2.然后输入命令 netsh winsock reset。
       3.重启计算机。
附上金山的lsp修复工具


本文地址:https://www.clrun.com/2014/01/88.html
版权声明:本文为原创文章,版权归 伤脑筋 所有,欢迎分享本文,转载请保留出处!

 发表评论


表情

还没有留言,还不快点抢沙发?