日前，有网友通过技术分析发现了搜狗输入法非常隐蔽的的推广手段。一开始，网友上网时浏览器莫名其妙被换成了搜狗浏览器，卸载后又被偷装。这时才发现不对劲，想想大概是被“流氓”了，怀着探秘的心情，该网友利用技术手段分析了搜狗的捆绑手法。
　　
　　在该网友花时间重现搜狗推广手段时，同时发现了搜狗的一个调试信息输出开关，只要增加一个注册表值，利用这个键值就可以把调试信息打开，再利用debugview便可以监控搜狗的小动作了。
　　
　　
　　
　　图1：网友公布搜狗浏览器抓包内容
　　
　　通过分析发现，如果用户电脑中没有安装安全软件，那么搜狗输入法就会直接在服务器下载运行一个推广安装包。而如果电脑中有安全软件，搜狗输输入法所推广的浏览器运控代码就会放在内存里伺机而动。
　　
　　
　　
　　图2：搜狗浏览器藏匿安装包
　　
　　首先是静默下载，sogoucloud.exe和云端通信会根据云端指令把下载搜狗浏览器的安装包。而后，经过请求内容解密出代码，代码功能是从搜狗官网下载安装包，然后创建随机目录，比如自动创建360、百度、腾讯的目录文件夹，再把搜狗浏览器的安装包藏这些下载目录中掩人耳目。此外，搜狗浏览器的安装包还会被放在固定地方，省去再次下载的麻烦，电脑中类似sgim_sehelper.bin的文件都是搜狗浏览器的安装包。
　　
　　网友发现，这些安装包能够模拟用户点击来安装搜狗浏览器。Explorer里的sougou.ime会下载远控的shellcode，执行后则会选择时机来推广搜狗浏览器，通过PostMessageW发消息，就会自动模拟点击下载搜狗浏览器，而此时浏览器安装包还能通过进程间通信隐藏安装界面。所以很多用户不知不觉间就被安上了搜狗浏览器。
　　
　　费了这么大工夫，形成一套完整的捆绑手段，看到搜狗这么拼，网友不禁质疑：这么做跟病毒有什么区别？更多网友则表示，确实自己本来只安装了搜狗输入法，而此后一下被捆绑安装了搜狗浏览器、壁纸、手机助手等软件，一下子让人好感全无。
　　

[招生]科锐逆向工程师培训(2025年3月11日实地，远程教学同时开班, 第52期)！