首页 IT技术 热点问题 查看内容

裸包环境浏览器被劫持,元凶究竟是谁?

热点问题 2657 0 2016-5-11 17:27

问题: 突然接到下面做维护的技术反映一个问题:几个网吧的浏览器全被劫持成sogou浏览器了,而且主页被OX了... ... 分析: 遇到问题不可怕,可怕的是盲目------先要知道是谁在捣鬼,然后再去找它麻烦。 ...

问题:
        突然接到下面做维护的技术反映一个问题:几个网吧的浏览器全被劫持成sogou浏览器了,而且主页被OX了... ...
000.png
分析:
        遇到问题不可怕,可怕的是盲目------先要知道是谁在捣鬼,然后再去找它麻烦。
        什么计费啥的哥不怕,来个不带计费的系统包,带机器测试下就知道是不是计费搞的了。不要问我为什么有不带计费的包---因为易乐游的配置就是强大好用,安装计费前先创建一个配置单独装计费。计费你再怎么搞鬼,把你去掉就知道是不是你的。上面的测试告诉我,计费真没做什么;不是计费我就找找是不是文化插件了。
        我的文化插件都是安装在系统包里面的,挂包直接将文化的安装文件夹改名,就不启动了。结果再一次的让我失望了,文化也没问题。
        那么是易乐游弄我啦?哥要去找它。客户机弄个超级工作站测试,果然没了。真跟你有关系啊,我要找他们的区域负责人,说好的发广告前告诉我的了。
        区域负责人跟我说,保证没发广告,而且这个sogou明显就不是易乐游。他答应安排一个技术工程师帮我查是谁的。
        技术工程师给我远程,我就简单看了下,事后也了解下细节:
        1 用PChunter工具查了,桌面explorer.exe下面被注入了2个随机的dll文件;但是具体是什么程序生成的不是很好查。
        2 进程列表中多了2-3个随机进程,但是可以查到是通过winlogon.exe进程启动后生成。
        3 超级工作站下面正常,也就是没有加载启动。那么他是通过什么方式来判断易乐游的超级工作站和普通工作站呢?
简单明了的部分就是开机启动通过了,实际我是没有使用易乐游的开机通道和启动项的,所以这种情况就不存在了。
        4 通过技术的远程,他发现有死性不改的工具程序在里面,死性不改是有通过注册表来判断易乐游的超级工作站和普通工作站的监视的。也就是说这个工具集合在超级工作站的时候启动了死性不改优化系统的程序,非超级工作站下是不是就启动了另一种程序呢?
        5 既然怀疑了,就把它的工具包全部去掉咯。一招简单快捷:挂包删除\改名文件夹。再开机测试,果然有效果。
002.png

PS:虽然易乐游的工程师把问题找到了,那么我就很奇怪:这个文件究竟是谁弄的?系统里面的优化程序都是死性不改的,难道是他也开始做广告插件了。
        于是就找了下面的技术,他说是在网上下载的包,顺带把系统包地址发出来了:http://down.lansedongli.com/
003.png
        既然不是死性不改的论坛上的,那可能是他的工具被别人做系统的时候借用了。也找了易乐游的技术工程师问了这个包的一些情况,他推荐我使用www.583go.com(网吧三国)上的系统,这些系统他们也使用测试过,没有广告插件和后门。
1

路过

雷人

握手

鲜花

鸡蛋

刚表态过的朋友 (1 人)

  • 路过

    匿名

原作者: weany.h