本帖最后由 1c3Cre4m 于 2017-12-4 11:20 编辑
问题现象:
青岛地区的网吧反馈恒信计费环境下运行梦塔防后打不开网页,情况如下图:
联系易乐游那边,他们反馈这个游戏在他们测试环境是正常的。我在纯易乐游环境下也测试了下确实是正常的,但是老板说给计费那边交钱了,现在用的是没有广告的版本,不觉得是计费的问题,让我查查原因。
排查过程:
1.让网吧打开驱动过滤(易乐游安全中心)试下,发现开驱动过滤的时候这个问题是没有的,那么问题可能就是被拦截的那个驱动,需要查下是怎么生成的。
2.设置Procmon开机启动,看到进程被拦截后关闭捕获,运行梦塔防后打开浏览器发现正常,查看当前被拦截的驱动是什么名字(6A3vfuD3V.sys随机名字的驱动)
3.那么看下这个驱动是如何生成的,设置筛选为path--contains--drivers\6A3vfuD3V.sys,发现是d11host.exe生成的,这个进程不明显需要接着排查。
4.再设置筛选条件为path--contains--Y7EZDXYI\d11host.exe。发现是svchost生成的,乍一看以为是系统进程,但是他的路径不对。
5.这个PID为3444的svchost.exe路径显示为temp目录,怀疑是被什么软件生成。
6.接着排查svchost这个进程,筛选设置为path--contains--70d373fa300673f5\svchost.exe.查出来是snr.exe这个进程
问题原因:
这样结果就很明显了,是恒信一卡通下的snr.exe生成的这个假的svchost。有证据后,让网吧直接联系恒信那边就可以了。
|