首页 › IT技术› 热点问题 › 查看内容

客户机好司机执行程序被修改

热点问题 1649 0 2020-6-29 19:05

现象描述：客户机启动好司机，点击启动没反应，对比发现客户机好司机执行程序的创建时间和MD5值与服务端不一致排查过程 1、检查服务器查看steam目录下好司机执行程序正常 2、检查客户机发现下载的所有好司机 ...

现象描述：
客户机启动好司机，点击启动没反应，对比发现客户机好司机执行程序的创建时间和MD5值与服务端不一致

排查过程
1、检查服务器查看steam目录下好司机执行程序正常 [attach]16891[/attach]
2、检查客户机发现下载的所有好司机的资源执行程序都被替换了
[attach]16892[/attach]
3、使用基础包测试正常，执行程序没有被修改

4、找台客户机使用processmonitor监视PUBG执行程序被修改过程

5、QQ浏览器进程创建修改了PUBG的好司机执行程序，父进程DesktopLayer.exe PID：4748
[attach]16893[/attach]
[attach]16894[/attach]
6、检查DesktopLayer.exe进程，程序是开机生成的
[attach]16895[/attach]
7、DesktopLayer.exe的父进程为NetBarClientSrv.exe，PID：4620，检查NetBarClientSrv.exe为某收费程序
[attach]16896[/attach]
[attach]16897[/attach]
8、NetBarClientSrv.exe的父进程为NetBarClient.exe，PID：5012，在任务管理器可以看到该进程为某收费的主程序
[attach]16898[/attach]
[attach]16899[/attach]