流氓软件锁定首页解决方案

admin
admin
admin
138674
文章
114
评论
2022年3月7日20:02:25评论152 views字数 1254阅读4分10秒阅读模式

文章来源于“010Sec社区”


锁首(首页锁定)

遇到主页劫持相关问题,处理思路可以参考远程事件解决手册中的流程,以下提供了具体案例的连接,供参考。

锁首问题大致分为五类:
    a.注册表项被写入
  判断方法:
            1.单一浏览器受影响,其他浏览器正常
            2.火绒剑中未发现恶意驱动
            3.手动修改主页无效
  处理方式:
            1.如果仅仅是首页被锁定,不涉及类似UC浏览器的问题,可以通过在注册表编辑器中搜索网址相关信息,清空注册表中相关项即可,具体注册表项可以参考帅哥提供的“主页查询.bat”。(在hp3264工具包中)
             2.如果涉及到其他浏览器,需要考虑到其他浏览器的配置,具体可以参考浏览器配置文件
              3. RootKit,内核级锁首
  判断方法:
            1.大多数浏览器被劫持(根据劫持的浏览器列表决定)
            2.注册表内无被劫持网址相关信息
            3.火绒剑中发现system进程内,加载了某些锁首驱动
具体处理方式篇幅较长,可以查看思维导图或参考锁首处理思路
    c.浏览器插件
  常见问题出现于UC浏览器,chrome浏览器中
  首先尝试在浏览器的插件界面,关闭插件看是否可以解决
  无效的情况下,可以修改相应浏览器的User Data目录,可以参考浏览器配置文件
 d.lsp劫持
  参考winsock导致火绒无法升级---如平小哥
   e.证书劫持
  参考证书劫持
  2016/12/14 证书错误
   f.其他软件导致
  可能会有其他安全软件,进行了主页保护,需要具体情况具体分析
  联想管家劫持
  有时候处理完成后,首页被锁定成正常网站,可以排查一下
   g.DNS运营商路由器劫持
  用户不同设备(手机,平板,PC),在同一网络下,出现被劫持到相同网站的情况
  查看用户路由设备上的DNS地址,可以修改为8.8.8.8或114.114.114.114排除是否为DNS劫持
  不同设备,连接同一个网络(同一路由或同一线路)才会出现劫持,可能为路由器或运营商劫持
  案例:打开浏览器“hao123.com”
  工具:火绒,PCHunter64,暴风激活
  分析:1.谷歌锁首的同时IE也同时锁首。考虑B
  创造靶场:在win7上运行准备好的激活器然后重启
流氓软件锁定首页解决方案
重启以后发现已经被捆绑.
流氓软件锁定首页解决方案
打开火绒剑--->进程--->找到system--->分析驱动模块--->提取内存字符串分析
流氓软件锁定首页解决方案

流氓软件锁定首页解决方案
流氓软件锁定首页解决方案
流氓软件锁定首页解决方案
自启驱动模块!!!!!!!!!!!!!
流氓软件锁定首页解决方案
打开PCHunter64 内核--->系统回调--->分析路径和名称
流氓软件锁定首页解决方案
在内核--->系统回调--->系统文件--->为端口过滤器(把这两个驱动文件去除过滤器)
流氓软件锁定首页解决方案
  在内核--->系统回调删除这两个驱动进程,结合火绒剑“内核”在注册表中找到这两个文件,导出最后删除重启!
流氓软件锁定首页解决方案

本文始发于微信公众号(云剑侠心):流氓软件锁定首页解决方案

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月7日20:02:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   流氓软件锁定首页解决方案https://cn-sec.com/archives/532456.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息