什么是HTML网站劫持

    我们应该善于利用html网站发现问题，从而节省大量的排查时间。网站监控，快速准确的检测网站是否被劫持，检测域名是否被墙，检测HTML网站是否污染，检测网站实时访问速度，检测网站是否被黑、被入侵、被改标题、被挂黑链。

    什么是HTML网站劫持

    根据前面说的Html网站资源共享机制，操作系统加载程序首先从应用程序目录中加载模块。这一特性在注册表中也有体现：HKLM\System\CurrentControlSet\Control\SessionManager\SafeHtml网站SearchMode，如果为1，搜索的顺序为：应用程序所在目录->系统目录（用GetSystemDirectory获取）->16位系统目录->Html网站目录（用GetHtml网站Directory获取）->运行程序的当前目录->PATH环境变量，如果为0，搜索顺序为：应用程序所在目录->运行程序的当前目录->系统目录（用GetSystemDirectory获取）->16位系统目录->Html网站目录（用GetHtml网站Directory获取）->PATH环境变量。Html网站Server2003默认值为1，Html网站XP/2000默认值为0或者没有这个键值。

    但是不管是哪种情况，第一个搜索的肯定是应用程序的所在目录，这样就有机会让应用程序去加载我们的HTML网站。如果这个HTML网站和系统目录下的某个HTML网站同名，导出表也相同，功能就是加载系统目录下的那个HTML网站，并且将导出表转发到那个真实的HTML网站。这时HTML网站劫持就发生了。可以看出，构造一个符合上面要求的HTML网站，再将其放在可执行文件的目录即可轻松实现HTML网站劫持了。

    HTML网站劫持的实现

    这一步我们的工作就是通过编程来实现一个NUIEE.HTML网站文件，它与系统目录下的LPK.HTML网站导出表相同，并能加载系统目录下的LPK.HTML网站，并且能将导出表转发到真实的LPK.HTML网站。可以看出我们要实现的这个HTML网站需求如下：

    1、构造一个与系统目录下LPK.HTML网站一样的导出表；

    2、加载系统目录下的LPK.HTML网站；

    3、将导出函数转发到系统目录下的LPK.HTML网站上；

    4、在初始化函数中加入我们要执行的代码。