首页
社区
课程
招聘
[旧帖] 求助IE主机劫持分析 0.00雪花
发表于: 2010-11-30 19:05 4307

[旧帖] 求助IE主机劫持分析 0.00雪花

2010-11-30 19:05
4307
大家好,目前针对一台Windows平台的IE软件劫持进行测试,打开IE,主页无论怎么设置都是一个预先设定的网站,目前没有找到exe的运行文件,只在C盘的windows文件夹下发现了这样的配置文件,配置文件名1的内容如下:
[global]
#新开几个窗口才弹一次
WndPerAd=3
#上一次弹得广告id,初始化时填0
LastAd=1
#广告的总次数,即每个广告次数相加  例:2+3+5
AllAdTimes=-8
#下载配置文件时间间隔
DwdInTime=12

[ad]
#广告的数目
ad_num=0
#广告id
#ad1=http://cpm.ejiuad.com/sms/tc.php?id=10
#ad2=http://cpm.ejiuad.com/sms/tc.php?id=11

[num]
#每个广告的次数
ad1=1
ad2=0

[pass_url]
#屏蔽的网址
url_num=33
url1=163.com
url2=google.com
url3=yahoo.com
url4=sina.com.cn
url5=hao123.com
url6=265.com
url7=msn.com
url8=sohu.com
url9=mop.com
url10=tianya.cn
url11=360.cn
url12=taobao.com
url13=paipai.com
url14=qq.com
url15=tencent.com
url16=renren.com
url17=kaixin001.com
url18=kaixin.com
url19=youku.com
url20=tudou.com
url21=6.cn
url22=ku6.com
url23=56.com
url24=58.com
url25=51.com
url26=icbc.com.cn
url27=95599.cn
url28=ccb.com
url29=abchina.com
url30=cmbchina.com
url31=zhifubao.com
url32=paipai.com
url33=pp2345.com
这个是经过我修改后的。
现在我的问题是如何找到运行这个配置文件的exe文件,另外,这个劫持的大概原理是怎么样的?

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (5)
雪    币: 221
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
怎么没有人顶呀。
2010-12-6 17:26
0
雪    币: 83
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
主机劫持,又发明新概念了啊,还以为你在编病毒呢
2010-12-6 18:22
0
雪    币: 5
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
或者那个exe文件已经不存在了呢 只是之前改的注册表没被还原而已
还有可能是模块注入的只有dll文件 注入了系统进程去了
用xuetr查一下进程里的模块了
上传的附件:
2010-12-6 19:12
0
雪    币: 96
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
不是HOSTS欺骗?要是 HOSTS就修复下搞定了。。。建议用金山急救。。
2010-12-7 13:46
0
雪    币: 27
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
应该不存在什么EXE文件,只要把每次预定打开的网址在注册表里面搜索,找出有该网址的注册表项进行删除或修改即可。
2010-12-9 08:54
0
游客
登录 | 注册 方可回帖
返回
//