现象：一般网页可以访问，如果打开一个电影网站，第一次可以正常访问，以后再打开每次都会转跳到【小窝电影院】www#xwdy#com
处理过程：一开始以为电脑被做了手脚，首先杀毒搜马，什么都没发现。开浏览器用Filemon追踪文件变化，没发现。注册表没有可疑启动项。于是笨办法，搜索出问题这个时间段的所有创建和访问的文件，逐个排查。也没发现可以之处。看来电脑是“干净”的，于是转移方向——网络连接。Wireshark查看网络封包，一看dns协议很多8.8.8.8，这不是谷歌的免费DNS嘛？ipconfig/all一看DNS，完全是陌生人呀，进网络连接，DNS自动获取，没问题，进路由一看，主DNS：66.102.253.167，备用DNS：8.8.8.8，还有IP地址租期也被改为30分钟，默认是120分钟。原来是恶意网页更改了路由器设置，这样用户上网都是先经被劫持的DNS服务器，该服务器过滤处理用户的访问页面，如果是电影网站，就返回错误的解析地址，指向【小窝电影院】，这也是网络钓鱼常用手法之一。如果不是它感兴趣的页面，就交由谷歌DNS解析，返回正确IP。所以就出现了开头描述的现象，不过页面经劫持DNS处理以后，势必有延时，所以访问速度会变慢一点。
解决步骤：1，恢复路由器DNS为0.0.0.0，也就是使用ISP提供的DNS，当然也可以设置成其它免费DNS。
2，修改路由器登录名和密码，恶意网页就是利用路由器弱密尝试登录修改的，默认用户名和密码是极度不安全的。
3，chrome浏览器需要清理浏览数据，因为谷歌浏览器保存了一些数据到缓存用来提示访问速度。所以访问过的网站，不需要经DNS，直接提供缓存中保存的IP地址。其它浏览器不太清楚。
天王盖地虎：这个问题应该很多人都碰到了，但是奇怪的是度娘关键词，目前只有唯一一个链接指向某安全论坛250+110，而且昨天我在那个帖子的3个跟贴都被删除了，我是不是发现了点什么？

[课程]Android-CTF解题方法汇总！