-
-
[旧帖]
[原创]揪出篡改IE首页的元凶,有木有邀请码
0.00雪花
-
发表于:
2012-4-6 16:09
1311
-
[旧帖] [原创]揪出篡改IE首页的元凶,有木有邀请码
0.00雪花
近日系统更新过一些软件之后,某日忽然发现IE主页被篡改成了hao123(平时很少用IE)
看了下没有什么异常的进程,杀毒软件也没有什么提示。于是手动改了注册表,把主页改回来了,并测了下OK了。
本以为就这么过去了,没想到过了一会(大概几分钟),发现IE又被篡改了(还是hao123)
心想一定中了什么高级货了,于是开始手动查杀。
祭出ProcessMonitor利器(好像就是以前的Regmon):
1. 打开监控,再修改IE主页。然后守株待兔。。。
首先筛选注册表读写,再进一步筛选RegSetValue,很快有如下发现:
图1 进程5916篡改IE主页(RegSetValue)
图7 图1看不清的看图7(内容一样)
图2 篡改IE的细节
2. 图1中发现的这个进程5916的名字也让我心里一惊,好像是什么随机数的,连个光明正大的名字都没有,八成没干好事啊有木有!!!
很快查到父进程是5720,连程序的路径也一起有了。
图3 进程5916的父进程是5720
3.那么5720是何方神圣呢?
图4 进程5720,原来是贵公司的荣誉产品阿。。。
4.进一步研究了下5916的exe,发现有数字签名:
图5 有数字签名
这回赖不掉了。。。这可不是临时工能干的阿!!!
而且这个程序还志存高远。。。
图6 随便看看程序干神马的(F5插件)
我没装sogou浏览器,不知道装了会神马情况。。。
5.回过头来看下这个篡改的域名www.52dian.com/?1应该是个跳转的地址,
跳转到了如下:
http://www.hao123.com/?tn=02023048_2_hao_pg
这个tn=02023048_2_hao_pg估计是有经济利益在背后的吧。。。
总结:
本来以为能发现什么高深的技术的,结果没啥大的发现。只能当是练习了。。。
有没有知道这方面内幕的人出来爆料啊
比如点一次可以赚多少钱啊
PS:看在辛勤劳动的份上,有没有邀请码鼓励下阿,虽然木啥技术含量
[课程]Android-CTF解题方法汇总!