流氓软件锁定首页解决方案 admin 103806文章 87评论 2022年3月7日20:02:25评论137 views字数 1254阅读4分10秒阅读模式 文章来源于“010Sec社区” 锁首(首页锁定) 遇到主页劫持相关问题,处理思路可以参考远程事件解决手册中的流程,以下提供了具体案例的连接,供参考。 锁首问题大致分为五类: a.注册表项被写入 判断方法: 1.单一浏览器受影响,其他浏览器正常 2.火绒剑中未发现恶意驱动 3.手动修改主页无效 处理方式: 1.如果仅仅是首页被锁定,不涉及类似UC浏览器的问题,可以通过在注册表编辑器中搜索网址相关信息,清空注册表中相关项即可,具体注册表项可以参考帅哥提供的“主页查询.bat”。(在hp3264工具包中) 2.如果涉及到其他浏览器,需要考虑到其他浏览器的配置,具体可以参考浏览器配置文件 3. RootKit,内核级锁首 判断方法: 1.大多数浏览器被劫持(根据劫持的浏览器列表决定) 2.注册表内无被劫持网址相关信息 3.火绒剑中发现system进程内,加载了某些锁首驱动 具体处理方式篇幅较长,可以查看思维导图或参考锁首处理思路 c.浏览器插件 常见问题出现于UC浏览器,chrome浏览器中 首先尝试在浏览器的插件界面,关闭插件看是否可以解决 无效的情况下,可以修改相应浏览器的User Data目录,可以参考浏览器配置文件 d.lsp劫持 参考winsock导致火绒无法升级---如平小哥 e.证书劫持 参考证书劫持 2016/12/14 证书错误 f.其他软件导致 可能会有其他安全软件,进行了主页保护,需要具体情况具体分析 联想管家劫持 有时候处理完成后,首页被锁定成正常网站,可以排查一下 g.DNS运营商路由器劫持 用户不同设备(手机,平板,PC),在同一网络下,出现被劫持到相同网站的情况 查看用户路由设备上的DNS地址,可以修改为8.8.8.8或114.114.114.114排除是否为DNS劫持 不同设备,连接同一个网络(同一路由或同一线路)才会出现劫持,可能为路由器或运营商劫持 案例:打开浏览器“hao123.com” 工具:火绒,PCHunter64,暴风激活 分析:1.谷歌锁首的同时IE也同时锁首。考虑B 创造靶场:在win7上运行准备好的激活器然后重启 重启以后发现已经被捆绑. 打开火绒剑--->进程--->找到system--->分析驱动模块--->提取内存字符串分析 自启驱动模块!!!!!!!!!!!!! 打开PCHunter64 内核--->系统回调--->分析路径和名称 在内核--->系统回调--->系统文件--->为端口过滤器(把这两个驱动文件去除过滤器) 在内核--->系统回调删除这两个驱动进程,结合火绒剑“内核”在注册表中找到这两个文件,导出最后删除重启! 本文始发于微信公众号(云剑侠心):流氓软件锁定首页解决方案 点赞 https://cn-sec.com/archives/532456.html 复制链接 复制链接 左青龙 微信扫一扫 右白虎 微信扫一扫
评论