文章来源于“010Sec社区”

---

锁首（首页锁定）

遇到主页劫持相关问题，处理思路可以参考远程事件解决手册中的流程，以下提供了具体案例的连接，供参考。

锁首问题大致分为五类:

    a.注册表项被写入

  判断方法：

            1.单一浏览器受影响，其他浏览器正常

            2.火绒剑中未发现恶意驱动

            3.手动修改主页无效

  处理方式：

            1.如果仅仅是首页被锁定，不涉及类似UC浏览器的问题，可以通过在注册表编辑器中搜索网址相关信息，清空注册表中相关项即可，具体注册表项可以参考帅哥提供的“主页查询.bat”。(在hp3264工具包中)

             2.如果涉及到其他浏览器，需要考虑到其他浏览器的配置，具体可以参考浏览器配置文件

              3. RootKit，内核级锁首

  判断方法:

            1.大多数浏览器被劫持(根据劫持的浏览器列表决定)

            2.注册表内无被劫持网址相关信息

            3.火绒剑中发现system进程内，加载了某些锁首驱动

具体处理方式篇幅较长，可以查看思维导图或参考锁首处理思路

    c.浏览器插件

  常见问题出现于UC浏览器，chrome浏览器中

  首先尝试在浏览器的插件界面，关闭插件看是否可以解决

  无效的情况下，可以修改相应浏览器的User Data目录，可以参考浏览器配置文件

 d.lsp劫持

  参考winsock导致火绒无法升级---如平小哥

   e.证书劫持

  参考证书劫持

  2016/12/14 证书错误

   f.其他软件导致

  可能会有其他安全软件，进行了主页保护，需要具体情况具体分析

  联想管家劫持

  有时候处理完成后，首页被锁定成正常网站，可以排查一下

   g.DNS运营商路由器劫持

  用户不同设备(手机，平板，PC)，在同一网络下，出现被劫持到相同网站的情况

  查看用户路由设备上的DNS地址，可以修改为8.8.8.8或114.114.114.114排除是否为DNS劫持

  不同设备，连接同一个网络(同一路由或同一线路)才会出现劫持，可能为路由器或运营商劫持

  案例：打开浏览器“hao123.com”

  工具：火绒，PCHunter64，暴风激活

  分析：1.谷歌锁首的同时IE也同时锁首。考虑B

  创造靶场：在win7上运行准备好的激活器然后重启

重启以后发现已经被捆绑.

打开火绒剑--->进程--->找到system--->分析驱动模块--->提取内存字符串分析

自启驱动模块！！！！！！！！！！！！！

打开PCHunter64 内核--->系统回调--->分析路径和名称

在内核--->系统回调--->系统文件--->为端口过滤器（把这两个驱动文件去除过滤器）

  在内核--->系统回调删除这两个驱动进程，结合火绒剑“内核”在注册表中找到这两个文件，导出最后删除重启！

本文始发于微信公众号（云剑侠心）：流氓软件锁定首页解决方案