搜狗输入法恶意劫持百度搜索流量分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

搜狗输入法恶意劫持百度搜索流量分析

发表于: 2015-5-27 19:09 45422

搜狗输入法恶意劫持百度搜索流量分析

轩辕之风

2015-5-27 19:09

45422

查看主题内容

收藏・34

免费・3

支持

最新回复 (59) ◀ 1 2 3 ▶
killbr 雪币： 16441 活跃值： (1700) 能力值： ( LV2，RANK：10 ) 在线值：发帖 256 回帖 1703 粉丝 4 关注私信	killbr 26 楼因为您和我一样，生在了天潮，电视向来报喜不报忧啊。而实际的情况是银行外地取款照样收手续费，各种不合理问题依然未得到解决因为那个有法可依有法必严执法必严违法必究您当年背政治背的烂熟的东西向来是瞎扯蛋，So年年315年年开大会，屁也没解决，因为法律太过2，奸商为了发财肯定这样啊，马不食夜草不肥，习大干掉了那么多的贪官人家改装的跑车撞死人了，结果BJ只弄个限速来解决，或者罚钱来解决（几千块，人家的那个改装费上万元）结果明天又出来一个新的坏蛋，而不是从根源上解决问题，这就是问题所在啊，到处没有法律依据，到处不去需求问题的根源，而我们的逆向深处却解决了这一点，从源头上彻底的解决了问题。这就是魅力所在。那个chrome.dll文件的 115浏览器也好，360浏览器也好，sogou浏览器也好，无非是用人家的内核换汤不换药修改的玩意，搜索框的新闻也是那种破烂玩意这就是现状，所以我们的流氓软件贴子火了http://bbs.crsky.com/thread.php?fid=6 2015-5-28 11:09 0
小豆芽雪币： 268 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 176 粉丝 0 关注私信	小豆芽 27 楼赞,现在国产软件只能用绿化版~ 2015-5-28 11:31 0
shayi 雪币： 1604 活跃值： (640) 能力值： ( LV13，RANK：460 ) 在线值：发帖 23 回帖 269 粉丝 52 关注私信	shayi 9 28 楼 firefox确实是单进程模型的浏览器，每个打开的标签页或许都作为其内部的独立线程来启动，但是有点不明白，为何两个原本不相干的东西（SogouPY.ime 与浏览器进程）会被绑在一起，是否在安装搜狗的时候，它修改了这些浏览器二进制可执行PE文件的导入表，添加了SogouPY.ime所导致的；还是说，在运行时劫持了FireFox 进程的导入DLL列表，从而能够加载到其地址空间？前面那个劫持百度搜索界面的原理是我讲错了，实际上，只要用户肯多敲几次键盘，将输入的查询内容提交至搜索框，就会出现百度自己的候选词列表，（对于其它搜索引擎也是一样），如此看来，狗还是留给用户选择权的，但是采用的方式过于激进，有点先下手为强的感觉，在用户提交查询触发对站点的 XMLHttpRequest 之前，先一步构造狗自己的搜索结果并且向用户显示。。。。不管怎么讲，现在国内一些软件开发人员的系统编程技术倒是挺厚实的，而且有那么一些创新的味道，只不过小聪明似乎用错了地方，为厂商之间的良性，恶性竞争服务去了 2015-5-28 12:19 0
轩辕之风雪币： 2291 活跃值： (938) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 322 粉丝 67 关注私信	轩辕之风 1 29 楼没有那么复杂了，不管哪个进程，只要CTRL+SHIFT切换到输入法，系统都会加载输入法模块到该进程 2015-5-28 12:26 0
shayi 雪币： 1604 活跃值： (640) 能力值： ( LV13，RANK：460 ) 在线值：发帖 23 回帖 269 粉丝 52 关注私信	shayi 9 30 楼明白了，不过考虑自己用 OD 调试一下，因为OD会给出比较清晰的API名称注释，例如前面在 WinDBG中实在看不出来ShellExecuteW是哪个系统DLL中的函数，ntdll.dll? 另外楼主的IDA的F5伪代码插件也够强大的了，反编译不在话下，竟然还可以准确还原函数名，而且语义非常明确（例如Sogou_GetWebBrowserIndex），狗应该没有源码可看才对，用的是 HEX-RAYS 反编译插件吗？ 2015-5-28 12:48 0
ggggwwww 雪币： 1305 活跃值： (252) 能力值： ( LV12，RANK：240 ) 在线值：发帖 14 回帖 72 粉丝 11 关注私信	ggggwwww 4 31 楼互联网免费软件后面的欺骗用户，窃取用户信息的流氓行径。 bat3没一个不是流氓。 2015-5-28 13:19 0
noword_forever 雪币： 340 活跃值： (922) 能力值： ( LV9，RANK：220 ) 在线值：发帖 30 回帖 156 粉丝 1 关注私信	noword_forever 5 32 楼没用过搜狗，一直用紫光（现在叫华宇）。以前，看别人的电脑上装了搜狗后，茫茫多的自启动项，service，rootkit，就知道不是个好东西。 2015-5-28 14:20 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 33 楼先认真研究清楚ms的输入法加载逻辑再说。。。 2015-5-28 15:56 0
bryantgui 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	bryantgui 34 楼搜狗真是无耻啊 2015-5-28 21:05 0
yjd 雪币： 2882 活跃值： (1279) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 778 粉丝 1 关注私信	yjd 35 楼早几年就废弃不用了，越做越臃肿。用qq纯净版。 2015-5-28 22:34 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 36 楼反正一直用破坏过的版本. 无所谓了. 2015-5-28 23:33 0
无名侠雪币： 6911 活跃值： (9069) 能力值： ( LV17，RANK：797 ) 在线值：发帖 74 回帖 406 粉丝 583 关注私信	无名侠 12 37 楼 mark.... 2015-5-28 23:39 0
ytlckcaoke 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 74 粉丝 0 关注私信	ytlckcaoke 38 楼楼主 ida如何反汇编出你截图的那样带if的代码 2015-5-29 09:19 0
kxltsuper 雪币： 5 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 188 粉丝 0 关注私信	kxltsuper 39 楼搜狗这种流量劫持有什么用吗？搞小动作费这个劲干吗呢？ 2015-5-30 18:09 0
约定忘记雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	约定忘记 40 楼不错, 我们这些可怜的小白现在用什么输入法好呀.. 2015-6-1 15:41 0
qianbidao 雪币： 47 活跃值： (114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 25 粉丝 0 关注私信	qianbidao 41 楼搜狗恶心的很 2015-6-1 19:43 0
h辉雪币： 101 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 118 粉丝 0 关注私信	h辉 42 楼输入法只用 ibus google fcitx bing 2015-6-1 20:11 0
hidoom 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	hidoom 43 楼流氓越来越多了，还好我不用sogou 2015-6-3 10:11 0
dswang 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 55 粉丝 0 关注私信	dswang 44 楼很恶心搜狗这种做法,顺便感谢楼主! 2015-6-3 11:26 0
ID蝴蝶雪币： 438 活跃值： (228) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 279 粉丝 0 关注私信	ID蝴蝶 1 45 楼请问怎么定位那个核心模块？ 2015-6-5 00:23 0
ID蝴蝶雪币： 438 活跃值： (228) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 279 粉丝 0 关注私信	ID蝴蝶 1 46 楼 F5插件啊 2015-6-5 00:25 0
ytlckcaoke 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 74 粉丝 0 关注私信	ytlckcaoke 47 楼了解了。试了下基本没用啊跟源码差很多 2015-6-5 11:35 0
ytsheji 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	ytsheji 48 楼 **大战即将开始 2015-6-5 14:53 0
zx_348891 雪币： 73 活跃值： (923) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 257 粉丝 0 关注私信	zx_348891 49 楼擦，赶紧下载一个linux版本的搜狗输入法压压惊。 2015-6-5 18:47 0
ID蝴蝶雪币： 438 活跃值： (228) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 279 粉丝 0 关注私信	ID蝴蝶 1 50 楼那就不错咯。 2015-6-5 21:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

轩辕之风

发帖

322

回帖

130

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (59) ◀ 1 2 3 ▶
killbr 雪币： 16441 活跃值： (1700) 能力值： ( LV2，RANK：10 ) 在线值：发帖 256 回帖 1703 粉丝 4 关注私信	killbr 26 楼因为您和我一样，生在了天潮，电视向来报喜不报忧啊。而实际的情况是银行外地取款照样收手续费，各种不合理问题依然未得到解决因为那个有法可依有法必严执法必严违法必究您当年背政治背的烂熟的东西向来是瞎扯蛋，So年年315年年开大会，屁也没解决，因为法律太过2，奸商为了发财肯定这样啊，马不食夜草不肥，习大干掉了那么多的贪官人家改装的跑车撞死人了，结果BJ只弄个限速来解决，或者罚钱来解决（几千块，人家的那个改装费上万元）结果明天又出来一个新的坏蛋，而不是从根源上解决问题，这就是问题所在啊，到处没有法律依据，到处不去需求问题的根源，而我们的逆向深处却解决了这一点，从源头上彻底的解决了问题。这就是魅力所在。那个chrome.dll文件的 115浏览器也好，360浏览器也好，sogou浏览器也好，无非是用人家的内核换汤不换药修改的玩意，搜索框的新闻也是那种破烂玩意这就是现状，所以我们的流氓软件贴子火了http://bbs.crsky.com/thread.php?fid=6 2015-5-28 11:09 0
小豆芽雪币： 268 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 176 粉丝 0 关注私信	小豆芽 27 楼赞,现在国产软件只能用绿化版~ 2015-5-28 11:31 0
shayi 雪币： 1604 活跃值： (640) 能力值： ( LV13，RANK：460 ) 在线值：发帖 23 回帖 269 粉丝 52 关注私信	shayi 9 28 楼 firefox确实是单进程模型的浏览器，每个打开的标签页或许都作为其内部的独立线程来启动，但是有点不明白，为何两个原本不相干的东西（SogouPY.ime 与浏览器进程）会被绑在一起，是否在安装搜狗的时候，它修改了这些浏览器二进制可执行PE文件的导入表，添加了SogouPY.ime所导致的；还是说，在运行时劫持了FireFox 进程的导入DLL列表，从而能够加载到其地址空间？前面那个劫持百度搜索界面的原理是我讲错了，实际上，只要用户肯多敲几次键盘，将输入的查询内容提交至搜索框，就会出现百度自己的候选词列表，（对于其它搜索引擎也是一样），如此看来，狗还是留给用户选择权的，但是采用的方式过于激进，有点先下手为强的感觉，在用户提交查询触发对站点的 XMLHttpRequest 之前，先一步构造狗自己的搜索结果并且向用户显示。。。。不管怎么讲，现在国内一些软件开发人员的系统编程技术倒是挺厚实的，而且有那么一些创新的味道，只不过小聪明似乎用错了地方，为厂商之间的良性，恶性竞争服务去了 2015-5-28 12:19 0
轩辕之风雪币： 2291 活跃值： (938) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 322 粉丝 67 关注私信	轩辕之风 1 29 楼没有那么复杂了，不管哪个进程，只要CTRL+SHIFT切换到输入法，系统都会加载输入法模块到该进程 2015-5-28 12:26 0
shayi 雪币： 1604 活跃值： (640) 能力值： ( LV13，RANK：460 ) 在线值：发帖 23 回帖 269 粉丝 52 关注私信	shayi 9 30 楼明白了，不过考虑自己用 OD 调试一下，因为OD会给出比较清晰的API名称注释，例如前面在 WinDBG中实在看不出来ShellExecuteW是哪个系统DLL中的函数，ntdll.dll? 另外楼主的IDA的F5伪代码插件也够强大的了，反编译不在话下，竟然还可以准确还原函数名，而且语义非常明确（例如Sogou_GetWebBrowserIndex），狗应该没有源码可看才对，用的是 HEX-RAYS 反编译插件吗？ 2015-5-28 12:48 0
ggggwwww 雪币： 1305 活跃值： (252) 能力值： ( LV12，RANK：240 ) 在线值：发帖 14 回帖 72 粉丝 11 关注私信	ggggwwww 4 31 楼互联网免费软件后面的欺骗用户，窃取用户信息的流氓行径。 bat3没一个不是流氓。 2015-5-28 13:19 0
noword_forever 雪币： 340 活跃值： (922) 能力值： ( LV9，RANK：220 ) 在线值：发帖 30 回帖 156 粉丝 1 关注私信	noword_forever 5 32 楼没用过搜狗，一直用紫光（现在叫华宇）。以前，看别人的电脑上装了搜狗后，茫茫多的自启动项，service，rootkit，就知道不是个好东西。 2015-5-28 14:20 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 33 楼先认真研究清楚ms的输入法加载逻辑再说。。。 2015-5-28 15:56 0
bryantgui 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	bryantgui 34 楼搜狗真是无耻啊 2015-5-28 21:05 0
yjd 雪币： 2882 活跃值： (1279) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 778 粉丝 1 关注私信	yjd 35 楼早几年就废弃不用了，越做越臃肿。用qq纯净版。 2015-5-28 22:34 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 36 楼反正一直用破坏过的版本. 无所谓了. 2015-5-28 23:33 0
无名侠雪币： 6911 活跃值： (9069) 能力值： ( LV17，RANK：797 ) 在线值：发帖 74 回帖 406 粉丝 583 关注私信	无名侠 12 37 楼 mark.... 2015-5-28 23:39 0
ytlckcaoke 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 74 粉丝 0 关注私信	ytlckcaoke 38 楼楼主 ida如何反汇编出你截图的那样带if的代码 2015-5-29 09:19 0
kxltsuper 雪币： 5 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 188 粉丝 0 关注私信	kxltsuper 39 楼搜狗这种流量劫持有什么用吗？搞小动作费这个劲干吗呢？ 2015-5-30 18:09 0
约定忘记雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	约定忘记 40 楼不错, 我们这些可怜的小白现在用什么输入法好呀.. 2015-6-1 15:41 0
qianbidao 雪币： 47 活跃值： (114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 25 粉丝 0 关注私信	qianbidao 41 楼搜狗恶心的很 2015-6-1 19:43 0
h辉雪币： 101 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 118 粉丝 0 关注私信	h辉 42 楼输入法只用 ibus google fcitx bing 2015-6-1 20:11 0
hidoom 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	hidoom 43 楼流氓越来越多了，还好我不用sogou 2015-6-3 10:11 0
dswang 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 55 粉丝 0 关注私信	dswang 44 楼很恶心搜狗这种做法,顺便感谢楼主! 2015-6-3 11:26 0
ID蝴蝶雪币： 438 活跃值： (228) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 279 粉丝 0 关注私信	ID蝴蝶 1 45 楼请问怎么定位那个核心模块？ 2015-6-5 00:23 0
ID蝴蝶雪币： 438 活跃值： (228) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 279 粉丝 0 关注私信	ID蝴蝶 1 46 楼 F5插件啊 2015-6-5 00:25 0
ytlckcaoke 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 74 粉丝 0 关注私信	ytlckcaoke 47 楼了解了。试了下基本没用啊跟源码差很多 2015-6-5 11:35 0
ytsheji 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	ytsheji 48 楼 **大战即将开始 2015-6-5 14:53 0
zx_348891 雪币： 73 活跃值： (923) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 257 粉丝 0 关注私信	zx_348891 49 楼擦，赶紧下载一个linux版本的搜狗输入法压压惊。 2015-6-5 18:47 0
ID蝴蝶雪币： 438 活跃值： (228) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 279 粉丝 0 关注私信	ID蝴蝶 1 50 楼那就不错咯。 2015-6-5 21:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复