Loading
0

流氓电脑管家-劫持用户浏览器主页

如何找出百度网址后缀被篡改的真正凶手!

作者:钊涣

前言:

我们有时候上网会发现浏览器主页后缀总有些奇怪的字符id。检查了主页地址,明明锁定地址了..但是还是会出现。其实这些都是第三方软件使用的 主页导航赚佣金推广。这种情况使用杀毒软件查杀都是无济于事的。绝大多数用户都信赖杀毒软件,却不知道xxx杀毒软件暗藏恶意利用了用户.. 今天我就带大家一步步找出 篡改主页导航后缀的真正元凶!

被劫持的主页:

检查验证:

看见主页地址后门多了个后缀,我第一时间检查了浏览器的设置,发现主页地址设置锁定的的确是  http://www.baidu.com/ 又检查了杀毒软件,杀毒软件压根没锁定默认的主页地址。

这就尴尬了...那到底是什么程序篡改劫持了我的主页呢??

调查追踪:

这就相当于主页地址被锁定的原理是一样的,我第一时间想到了注册表。我关闭了电脑当前打开的所有程序,然后打开被篡改劫持的浏览器。把主页后缀的这段类似于某种账号的数字:98012088 复制了下来,然后按win+R键,输入regedit,打开注册表。快捷键F3打开注册表搜索:98012088 

然后查到了结果。。

直接秒删除。。之后再重启被篡改主页的浏览器,发现百度地址恢复了。没有特征后缀了,(也就是我自己主页的地址)但是这还不算完,只是删除了一项注册项,这时候并不知道是被什么程序篡改劫持的。。

发现幕后元凶:

这个时候我点了根烟,陷入了沉思。由于是莫名其妙发现被篡改,我想到了process monitor这款工具(就是一款多功能的进程分析、监视软件。百度有汉化版 有兴趣的读者可以看看) 我打开了process monitor习惯性的打开过滤 - 快捷键CTL+L     然后输入:RegSetValue 选择:操作 进行过滤搜索。 这里我说一下 RegSetValue是什么?  RegSetValue可以设置指定注册表项的默认值或未命名值的数据的函数。

然后惊人的发现,篡改主页后缀的程序。居然是xx管家

安全建议

于是xx管家被我理所当然的卸载了。。这杀毒也不是我刻意装的,重装系统镜像里自带的... 后来打开浏览器首页地址后缀再也没有被篡改过; 本文也是探究了一次篡改主页的过程。对于杀毒软件这款,建议有点自知之明、要有自己的裁断性。不能啥事都依赖杀毒,它的多数优化功能都是统计用户习惯所决议的;

*本文作者:钊涣,转载请注明来自8090安全门户

【声明】:8090安全小组门户(http://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。