流氓电脑管家-劫持用户浏览器主页

电脑管家就是个坑

中国8090小组- ‘ 钊涣:

如何找出百度网址后缀被篡改的真正凶手!


作者:钊涣

前言:



我们有时候上网会发现浏览器主页后缀总有些奇怪的字符id。检查了主页地址,明明锁定地址了..但是还是会出现。其实这些都是第三方软件使用的 主页导航赚佣金推广。这种情况使用杀毒软件查杀都是无济于事的。绝大多数用户都信赖杀毒软件,却不知道xxx杀毒软件暗藏恶意利用了用户.. 今天我就带大家一步步找出 篡改主页导航后缀的真正元凶!



被劫持的主页:


检查验证:


看见主页地址后门多了个后缀,我第一时间检查了浏览器的设置,发现主页地址设置锁定的的确是  https://www.baidu.com/ 又检查了杀毒软件,杀毒软件压根没锁定默认的主页地址。



这就尴尬了...那到底是什么程序篡改劫持了我的主页呢??


调查追踪:

这就相当于主页地址被锁定的原理是一样的,我第一时间想到了注册表。我关闭了电脑当前打开的所有程序,然后打开被篡改劫持的浏览器。把主页后缀的这段类似于某种账号的数字:98012088 复制了下来,然后按win+R键,输入regedit,打开注册表。快捷键F3打开注册表搜索:98012088 




然后查到了结果。。


直接秒删除。。之后再重启被篡改主页的浏览器,发现百度地址恢复了。没有特征后缀了,(也就是我自己主页的地址)但是这还不算完,只是删除了一项注册项,这时候并不知道是被什么程序篡改劫持的。。

发现幕后元凶:


这个时候我点了根烟,陷入了沉思。由于是莫名其妙发现被篡改,我想到了process monitor这款工具(就是一款多功能的进程分析、监视软件。百度有汉化版 有兴趣的读者可以看看) 我打开了process monitor习惯性的打开过滤 - 快捷键CTL+L     然后输入:RegSetValue 选择:操作 进行过滤搜索。 这里我说一下 RegSetValue是什么?  RegSetValue可以设置指定注册表项的默认值或未命名值的数据的函数。



然后惊人的发现,篡改主页后缀的程序。居然是xx管家


安全建议


于是xx管家被我理所当然的卸载了。。这杀毒也不是我刻意装的,重装系统镜像里自带的... 后来打开浏览器首页地址后缀再也没有被篡改过; 本文也是探究了一次篡改主页的过程。对于杀毒软件这款,建议有点自知之明、要有自己的裁断性。不能啥事都依赖杀毒,它的多数优化功能都是统计用户习惯所决议的;


*本文作者:钊涣,转载请注明来自8090安全门户



评论
热度(4)
  1. 千秋雪中国8090小组- ‘ 钊涣 转载了此文字
    电脑管家就是个坑
 

© 千秋雪 | Powered by LOFTER