伪装原理：当用户点击手气不错这个功能的时候，GOOGLE就会搜索关键字的出现第一个网络地址并将其自动转向

　　我刚开始想的是，能不能直接看出来GOOGLE搜索并转向地址的url，结果经过尝试是不行的，浏览器栏目不显示，整个过程一直是 http://www.google.com/intl/zh-CN/，而浏览器状态栏虽然显示了真实的url，可是是经过加密的，里面含有特殊字符，比如方框，再说你根本无法肉眼在那么短的时候记下那么长的url，所以我想到了监听工具呵呵，我用的是WinSock Expert ，监视GOOGLE所在的IE进程，然后输入关键字，比如clin003，点击手气不错，OK，查看记录，结果出来了找到了，真实的 url：/search?hl=zh-CN&source=hp&q=clin003&btnI=%C2%A0%E6%89%8B%E6%B0%94%E4%B8%8D%E9%94%99%C2%A0&lr=&aq=f&oq= ，即http://www.google.com//search?hl=zh-CN&source=hp&q=clin003&btnI=%C2%A0%E6%89%8B%E6%B0%94%E4%B8%8D%E9%94%99%C2%A0&lr=&aq=f&oq= ，大家可以测试一下，在浏览器里输入上述地址以后就直接到clin003.com了，看了一下，q=后面就是搜索的关键字，至于btni后面的，我估计是什么加密的什么东西，从输了个关键字，比如“电脑网络技术”呵呵，(我的blog啦)，得出的地址是：http://www.google.com/search?hl=zh-CN&q=%E7%94%B5%E8%84%91%E7%BD %91%E7%BB%9C%E6%8A%80%E6%9C%AF&btnI=%E6%89%8B%E6%B0%94%E4%B8%8D%E9 %94%99&lr说一下，输入汉字后google先经过unicode编码解码的，%E7%94%B5%E8%84%91%E7%BD%91 %E7%BB%9C%E6%8A%80%E6%9C%AF就是“电脑网络技术编码解码后的，比较一下，看见没，btni后面的东西一模一样的，都是%E6 %89%8B%E6%B0%94%E4%B8%8D%E9%94%99&lr呵呵，我很菜的，不知道这个是什么东西，希望知道的给我说一声哈，谢谢咯。我估计就是手气不错这个功能必须的吧，呵呵。

　　(这段跟文章主题没关系呵呵，只是点想法)，于是我想着，我就把q后面的东西给改成后面的%E6%89%8B%E6%B0%94%E4%B8 %8D%E9%94%99&lr，得到一个url：http://www.google.com/search?hl=zh-CN&q= %E6%89%8B%E6%B0%94%E4%B8%8D%E9%94%99&btnI=%E6%89%8B%E6%B0%94%E4%B8%8D%E9%94%99&lr ，在浏览器里打开，呵呵，等了半天什么都没有，网页无法显示，这不奇怪，早就料到了，可是奇怪的是，在你打开上述url后，你的IE在一段时间内就无法打开google了，连www.google.com都不行，不信你试试，我感觉是google的什么过滤禁止功能，不清楚，希望知道的给我说一下谢咯。

　　接着文章主题，下来你要做的是，构造一个关键字，使得在google里输入你的关键字后会是第一出现的网站，这个嘛，申请一个空间存放木马，然后把站点进行优化，大家可以看看相关的google优化，我感觉也不是怎么难，比如把你站点首页的meta和文章标题title标签设置一个别人没有关键字的，比如mytestgoogle，然后在google上提交，这样速度快些，过些时间，在google里输入mytestgoogle就会发现第一就是你的站点了呵呵，然后伪造你的木马地址成：http://www.google.com/search?hl=zh-CN&q=你的关键字& amp;btnI=%E6%89%8B%E6%B0%94%E4%B8%8D%E9%94%99&lr，在浏览器里输入上述地址后就直接转到你的木马地址了，因为大多数多google搜索还是很信任的，认为这样一个地址肯定只是一个google的搜索页面而已，呵呵。这样就有效的隐藏了你的木马地址。

原文地址