绿坝是“伪LSP”。抓包改包以前一般会用winsock LSP来实现，是winsock中间层，但是绿坝这个是把winsock最下层的MS的base provider给替换了。LSP、屏蔽LSP，以前都干过，LSP一般难于写得稳定，而且机制上有缺陷，求快用用可以，正经还是用WFP驱动吧。

以前分析过一个网址访问控制的产品，拿到用户访问的域名后，把二级域名、三级域名等做hash，然后和自带的网址hash库做对比，hash库是事先排序好的，可以二分查找，速度快一点。而且客户端没有网址库的明文，别人没法直接扒库，保护自己的知识产权。

【 在 shortytall 的大作中提到: 】
: 原理简单，技术实现并不简单吧
: 怎么拦截就是个大问题，hook协议栈、还是hook浏览器？有反向代理怎么拦？
: 怎么更新非法网址又是个大问题
--
FROM 123.115.128.*