点击新闻页面跳转博彩网站排查分析

问题现象：客户机点风暴英雄的新闻页面弹出博彩网站，博彩网站的url是twsggh.com，打开任务管理器或者调试软件就不会出现劫持。

排查过程：1、关于劫持，劫持目前分很多种情况， 常见的有关键字跳转、目标url跳转等方式。关键字跳转是网页内包含的关键字与设定匹配从而发生跳转，url跳转指的打开目标url地址后发生跳转。两者在网吧实际问题中比较常见。

2、网吧环境点击后发现网页变成了太阳城集团博彩网页，肉眼没有看到有跳转过程。（排除关键字跳转，疑似目标url跳转）

3、点击风暴英雄上面其他新闻url也发生了跳转，两个页面url域名一致，则判断为目标url跳转

4、打算抓取目标url然后在服务器打开测试下，会不会也跳转。

5、使用抓包软件后发现劫持来自本地的重定向twsggh.com

6、劫持层响应来源是 127.0.0.1:8101

7、在客户机上用cmd命令核查该端口监听程序为svchost.exe

8、使用调试工具这个进程就消失了，有很强的对抗意图

解决方法：因为环境比较干净，没有其他第三方软件（计费、文化、营销都没有）。通过核查系统启动入口分析，最后确认是客户机的开机启动项程序导致的，取消后正常。