门罗币客户端win7

上图中可以注意到域名访问曲线惊人的一致，这意味着不同域名之间，很可能被同源的流量驱动。我们可以利用进一步探查这些流量来门罗币客户端win7自哪里。如下图所示，不仅前述5个域名之间总是紧密相连，还有一个也总是与之一起出现。

与这些异常域名之间的关系

要继续探寻与上述域名之间的关系，需要我们离开DNS世界，寻找更多的数据来支撑。外面的世界很精彩，手段也多种多样，这次我们可以运用来自的URL数据关联到下面一组URL：

使用浏览器打开这组URL时候，可以看到浏览器会去访问，前述五个异常域名之一。

进一步的，可以观察到前述全部5个异常域名是对等的，均对外提供了服务。这个关联体现在中，在经过多轮次的解码去混淆后，可以找到如下代码片段

源自，走出CoinHive

等一下……这段代码的结构为什么跟CoinHive的挖矿代码看起来这么一致。

下图中js代码片段左侧来自streamcherry，右侧来自CoinHive。在CoinHive的上下文中，这段代码是要指定挖矿代码上联的服务器地址。

有必要为那些还不了解coinhive.com的读者插入一段CoinHive平台的介绍。

CoinHive提供了利用浏览器端java算力挖取门罗币的能力，并建议网站站长引用CoinHive的代码，这样网站站长就可以利用自身网站客户的浏览器的算力来挖取门罗币。它们的哲学是，有了门罗币的收入，网站站长就不用在自己的网站上塞入广告，这会有助于提高客户的体验。最后，CoinHive会“公平”的取走30%的门罗币收入。

由于会使用到客户终端的CPU算力，一般认为网站站长应该明确的提示用户，并在获得用户许可的前提下开始使用挖矿，否则可以认为滥用了客户端算力。在这个例子里，我们查看了streamcherry的多个页面，并没有看到提示使用客户端算力的地方。

回来继续比较代码。下面这段代码是挖矿对象的创建和启动过程，两边的代码结构也是类似的。同样streamcherry在左，CoinHive在右。

继续比较代码。下面这段是挖矿对象的内部实现，两边代码也是类似的，注意这里会涉及几个比较关键的属性列举如下。照例streamcherry在左，CoinHive在右。