一例广告处理的思路

说说发现过程
1、基础包正常
2、使用装好驱动不带计费的包问题依旧
结论：问题可能出在安装驱动过程中，但之前一直没有发作

为了不重做系统，我也是够偷懒的，所以也借这个机会，跟大家一起看一下这个广告

种类真的很丰富。广告图标、右键菜单广告，我的电脑磁盘下方广告、IE首页劫持、右下角广告

准备工作：
为了排除本身易乐游环境的影响，叠加配置，开超级，最为保险的方法之一

下面开始进行排查，因为项目实在太多，什么简单从什么先着手吧


1、右下角弹窗应该是最简单的，彗星小助手就行。
找不到文件目录的原因是因为该文件可能已经被删掉了

2、检查系统进程，有无可疑进程

这里因为有些进程会隐藏，所以推荐使用如PCHunter这种工具，理论上可以看到所有隐藏的进程。论坛中也有提供下载
这里发现有一个记事本的进程，但是本身我并没有打开，所以很是可以，但是这个记事本本身的位置，以及程序详细信息等内容 都是没有问题的
（重启几次后发现，会随机出现计算器，或者记事本的进程）使用promon查看了一下，calc.exe的操作，应该确实是有问题的




3、使用PCHunter查看calc

从这个应用钩子来看，应该确实是有问题了


4、理论上确认计算器进程是谁调用的，就可以继续往上查，这里需要使用到promon这个工具，不过很遗憾。。。。广告起的比promon早，所以没有抓到
不过在启动项这个地方 发现了一点端倪



但是我尝试删除之后，发现这个启动项一直会生成，并且根据上面calc.exe的操作，可以再次确定calc一直在保护启动项不被修改，尝试结束calc之后，发现了，又出来了一个新的进程，makecab.exe，并且一直在重复做跟calc.exe一样的事情，就是保护启动项(由此看出对于这个程序启动项真的很重要)

继续跟，再次查看是谁启动了makecab.exe（在promon中可以随时ctrl+f来向上搜索，找到第一次出现的该进程的地方肯定就是没错了）

查看了kipyzw.exe的位置，以及图标，一看就不是正常程序，果断删除并继续向上跟


其实到这里之后，就没有再生成启动项了，广告也就消失了。。。重启后试了一下，进程也没有再起来，桌面上的广告也删除了
然后关于IE首页劫持，其实现在都是驱动的方式进行加载，
再未开超级的情况下 ，打开驱动过滤，也就找到了具体的路径，名称，


在PCHunter中删除启动项和驱动文件，也就搞定了
老板觉得这样就OK了，多重启了几次也都正常，也就没有继续跟下去了。