首页
社区
课程
招聘
未解决 [求助]主流浏览器主页被挟持 求助!高级注入挟持
发表于: 2019-1-20 23:06 4902

未解决 [求助]主流浏览器主页被挟持 求助!高级注入挟持

2019-1-20 23:06
4902
好奇病毒怎么入侵chrome的。各位大大有人遇到过不?
打开浏览器跳转到http://www.ghjtt.xyz/ 再重定向到www.2345.com
一般方法试过不行,只有改变chome.exe的执行文件名字之后才正常
可见是动态的根据进程名字的注入挟持。另外在win+R运行chrome.exe仍然被劫持,但是在任务管理器运行chrome.exe却正常,推理应该是explorer.exe被注入?
替换或者终止explorer.exe进程后重启explorer.exe仍然有问题。应该是explorer依赖的dll被注入?

但具体是谁挟持的找不着。explorer.exe用火绒剑找不到可疑dll也找不到注入的钩子。
系统检测到非常可疑的行为
explorer.exe原本是启动正常的打开baidu.com的chrome.exe线程1的但是chrome线程1生成一个跳转到挟持页面的新线程2后自我销毁了?
下面是log文件

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2019-1-21 00:48 被Gay文编辑 ,原因:
上传的附件:
  • a.txt (950.23kb,10次下载)
收藏
免费 0
支持
分享
最新回复 (5)
雪    币: 18
活跃值: (1059)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
2
右键浏览器图标属性看看被加了启动命令行尾巴(启动网址)没有,以前也中招怎么找都找不到......
2019-1-20 23:10
0
雪    币: 405
活跃值: (2355)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
3
用PCHUNTER看看有没有可疑的驱动,进程,模块回调
2019-1-21 17:10
0
雪    币: 2473
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
你可以去2345应聘 然后请教CTO是怎么实现锁主页的
2019-1-21 17:38
0
雪    币: 68
活跃值: (175)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
现在流行用回调改peb,你用pchunter看createprocess的回调
2019-1-21 20:32
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
win7x64、火狐最新版,主页被篡改,启动火狐自动连接www.wz682.com,且跳转到www.hao123.com,结 束explorer进程再打开火狐时正常,在任务管理器里新建任务启动火狐正常,把火狐主程序改名再打开 正常。删除C:\Program Files\Internet Explorer\sqmapi.dll,解决。
最后于 2019-10-30 16:30 被xxagri编辑 ,原因: 有答案了
2019-10-30 15:33
0
游客
登录 | 注册 方可回帖
返回
//