网吧三国
标题:
恒信一卡通环境下运行梦塔防导致网页打不开(青岛地区)
[打印本页]
作者:
1c3Cre4m
时间:
2017-12-4 11:06
标题:
恒信一卡通环境下运行梦塔防导致网页打不开(青岛地区)
本帖最后由 1c3Cre4m 于 2017-12-4 11:20 编辑
问题现象:
青岛地区的网吧反馈恒信计费环境下运行梦塔防后打不开网页,情况如下图:
(, 下载次数: 80)
上传
点击文件名下载附件
联系易乐游那边,他们反馈这个游戏在他们测试环境是正常的。我在纯易乐游环境下也测试了下确实是正常的,但是老板说给计费那边交钱了,现在用的是没有广告的版本,不觉得是计费的问题,让我查查原因。
排查过程:
1.让网吧打开驱动过滤(易乐游安全中心)试下,发现开驱动过滤的时候这个问题是没有的,那么问题可能就是被拦截的那个驱动,需要查下是怎么生成的。
2.设置Procmon开机启动,
看到进程被拦截后关闭捕获,运行梦塔防后打开浏览器发现正常
,查看当前被拦截的驱动是什么名字(6A3vfuD3V.sys随机名字的驱动)
(, 下载次数: 73)
上传
点击文件名下载附件
3.那么看下这个驱动是如何生成的,设置筛选为
path--contains--drivers\6A3vfuD3V.sys
,发现是d11host.exe生成的,这个进程不明显需要接着排查。
(, 下载次数: 72)
上传
点击文件名下载附件
4.再设置筛选条件为
path--contains--Y7EZDXYI\d11host.exe
。发现是svchost生成的,乍一看以为是系统进程,但是他的路径不对。
(, 下载次数: 81)
上传
点击文件名下载附件
5.这个PID为3444的
svchost.exe路径显示为temp目录
,怀疑是被什么软件生成。
(, 下载次数: 80)
上传
点击文件名下载附件
6.接着排查svchost这个进程,筛选设置为
path--contains--70d373fa300673f5\svchost.exe
.查出来是snr.exe这个进程
(, 下载次数: 87)
上传
点击文件名下载附件
问题原因:
这样结果就很明显了,是恒信一卡通下的snr.exe生成的这个假的svchost。有证据后,让网吧直接联系恒信那边就可以了。
欢迎光临 网吧三国 (http://583go.com/)
Powered by Discuz! X3.4