61阅读

ie主页被篡改为hao123-chrome 主页被篡改为hao123?技术宅带你层层深入破之

发布时间:2017-12-15 所属栏目:ie首页被篡改

一 : chrome 主页被篡改为hao123?技术宅带你层层深入破之


网友想了好久[首页被篡改]chrome 主页被篡改为hao123?技术宅带你层层深入破之给出的答复:
前几天,突然发现默认浏览器的Chrome的主页被篡改为了hao123。每次第一次打开,都自动跳转到http://www.61k.com?tn=29065018_59_hao_pg这个网址。自己到网上搜了一下,试了各种方法最终还是无果,本着屌丝懂技术,神都难不住的精神决定自己破掉它。(*^__^*) 嘻嘻……
<一> 缩小包围圈

1、chrome设置?


对chrome中的启动时、外观属性都进行了修改,仍然没有解决问题。

2、快捷方式中添加了参数?


发现不管是从桌面快捷方式还是直接点击exe文件,chrome主页都被篡改。这就排除了是在桌面快捷方式中的目标栏中添加了hao123网址的缘故。哎,查看一下桌面chrome快捷方式不就得了,整的这麽麻烦。囧。

3、chrome.exe被篡改或者chrome配置文件被修改?

将chrome的配置文件和可执行文件一同拷贝到虚拟机中,擦,在虚拟机中就没问题。说明问题不在chrome身上。

那会是什么问题呢?山重水复疑无路,柳暗花明又一村。转折来了,将chrome.exe重新命名后,再打开浏览器,主页就是设置的www.61k.comhk,这样就没问题了。测试一下,将firxfox.exe重命名位chrome.exe后,主页也被篡改位流氓导航页。看来chrome.exe是个关键词啊!一个解决方案就这样诞生了,太easy了吧。但是这里面到底隐藏着什么奥秘呢?继续整!

<二>我要看代码

1. 先上第一个利刃,microsoft旗下的Process Explorer。


查看chrome.exe的主进程信息如下,亮点就在下图中。


小伙伴们一定看到了Command line下面的编辑框里有我们久违的流氓url吧。这个Comandline是什么东东?


Windows下常见的创建进程的api就是CreateProcess,这个函数申明如下。

其中的第二个参数,就是Command line,在我们这里就是chrome.exe应用程序的参数。该api的详细介绍在http://msdn.microsoft.com/en-us/library/windows/desktop/ms682425(v=vs.85).aspx。

现在的问题就是这个command line是谁传递给chrome.exe进程的?弄清楚这个问题之前,先要搞清楚,windows下,双击或者右键打开应用程序时,该应用程序进程是谁创建的?查阅资料发现,通过双击或者右键打开的应用程序进程都是由explorer.exe这个进程调用CreateProcess创建的。那么,我们的流氓url Command line 就一定是explorer.exe传递给chrome.exe。看来explorer.exe有问题了。测试一下,通过任务管理器中的创建新任务的方式启动chrome就没有流氓导航了。但是通过和虚拟机中的explorer.exe文件对比,发现主机和虚拟机中的两个文件完全相同。Exe运行时不光要加载自身的.exe程序文件,还要依赖一些动态库dll。是不是dll有问题。利刃2上场。

2、ollydbg闪亮上场。


用od加载explorer.exe运行,查看所依赖的dll。

看到有几个可疑的非系统dll,QvodExtend.dll,QvodWebBase.dll,按理说explorer.exe是不会依赖非系统dll的。想起来,网上说的卸载Qvod可以解决问题。这个怎么能说卸就卸呢?万万不可以的。

问题肯定是在调用CreateProcess之前出现的,在当前模块中查找调用CreateProcess的地方,一共有四个点,全部设置断点,然后调试explorer.exe进程?当然时调试失败了。~~~~(>_<)~~~~

但是重新加载explorer.exe运行,然后查看kernel32.dll的CreateProcess的代码发现了重要的问题。


下图就是kernel32.dll中的CreateProcess代码,尼玛不是说好了的CreateProcess将调用CreateProcessInternalW吗?这儿怎么上来直接 jmp QvodWebB.10008B90?QvodWebB你要闹啥啊!!!

看看下面这个正版的CreateProcess吧。

至此,整个流程大致出来了。QvodWebBase.dll将kernel32.dll的CreateProcessW代码的前5个字节改为了一条jmp指令,改变了CreateProcess的正常执行流程。实际上,CreateProcessA,CreateInternProcessW,CreateInternProcessA都被注入了相应的跳转指令。

<三>深入巢穴

QvodWeb如何随explorer.exe加载,QvodExtend.dll, QvodWebBase.dll到底都做了些什么?先mark,后面接着整。


1.先看看QvodExtend.dll, QvodWebBase.dll都导出了些什么函数。

下面是QvodWebBase.dll导出的函数。可以看到有InstallWindowsHook钩子函数。下面是QvodWebBase.dll导出的函数。可以看到有InstallWindowsHook钩子函数。

同时,用IceSword扫描时发现,QvodExtend.dll还是个BHO。同时,用IceSword扫描时发现,QvodExtend.dll还是个BHO。


同时,测试发现如果将QvodExtend.dll重命名后,就不会出现主页被篡改,同时explorer.exe也不会有QvodExtend.dll和QvodWebBase.dll模块。由此可以推断,QvodExtend.dll随explorer.exe或者ieplorer.exe启动时,会向系统注册QvodWebBase.dll中的钩子函数,接着再是加载QvodWebBase.dll时,该dll的DLLMain入口函数会向当前进程注入Jmp指令。

反汇编QvodExtend.dll代码可以发现,注册QvodWebBase.dll中的钩子函数的代码

至此,整个过程告一段落。至此,整个过程告一段落。
解决办法就是删除或者重命名QvodExtend.dll和QvodWebBase.dll。不知道会不会影响qvod,目前不得而知。
----------------------------------------------分割线------------------------------------------------------------------------------
QvodExtend.dll在其dll_main函数中,判断当前的模块是explorer.exe或者iexplore.exe,若两者都不是则退出;否则读取qvod安装目录下的QvodCfg.ini文件获取QvodWebBase的版本号,找到 QvodWebBase.dll后调用LoadLibrary加载该模块(加载过程中会向CreteProcessA/W中注入代码,这个代码就是在CreateProcessInteralA调用之前修改comand line参数),接着调用GetProcAddress获得 QvodWebBase安装钩子的导出函数installwindowshook,并执行该函数,该钩子的类型是WM_CBT。整体流程就是这样。
----------------------------------------------分割线------------------------------------------------------------------------------
该实验的软件版本是QvodPlayer5.17.152.0,目前在最新版本中该问题已经解决。


网友蒙面大侠[首页被篡改]chrome 主页被篡改为hao123?技术宅带你层层深入破之给出的答复:
我的症状和答主的完全一样!但是就是不知道哪个DLL是元凶,因为我的电脑里没有快播……


网友郑蔚闵[首页被篡改]chrome 主页被篡改为hao123?技术宅带你层层深入破之给出的答复:
我也是装了QVOD后Chrome主页被纂改了,看了楼主的文章后确定果然是Qvod干的好事。
于是我看了一下qvod的设置选项,有个发现,找到 选项->其他->"设快播网址导航作为主页" 这一项,取消它,就解决了- -。


网友陆修明[首页被篡改]chrome 主页被篡改为hao123?技术宅带你层层深入破之给出的答复:
百度chrome被劫持几个小时也找不出答案,谁让hao123被摆渡收购了呢,最后google到了外国人不胜其烦的解决方案(链接1),然后用别人自己做的东西修复了(链接2)
http://malwaretips.com/blogs/remove-hao123-virus/#junkware
http://thisisudax.org/downloads/JRT.exe
链接2可能会被报不受信任,亲测没问题,至少比某管家助手干净多了


网友sing ego[首页被篡改]chrome 主页被篡改为hao123?技术宅带你层层深入破之给出的答复:
牛逼 圣人解救!!!!


网友胡笑[首页被篡改]chrome 主页被篡改为hao123?技术宅带你层层深入破之给出的答复:
悟空游戏盒子也是同样的情况


网友杨建光[首页被篡改]chrome 主页被篡改为hao123?技术宅带你层层深入破之给出的答复:
我的症状和答主的完全一样!但是也不知道哪个DLL是元凶,因为我的电脑里没有快播,也没有这几个dll


网友蒙面大侠[首页被篡改]chrome 主页被篡改为hao123?技术宅带你层层深入破之给出的答复:
你好,我的chrome也是一样的问题,我仅仅能改变chrome.exe的文件名称,也能解决问题,但似乎会出现一些小问题,比如WIN7底下的工具栏会突然多一个IE的图标。而从你的<二>部份开始,我全部都看不懂,所以请教一下,应该怎么办呢?


网友yelang dong[首页被篡改]chrome 主页被篡改为hao123?技术宅带你层层深入破之给出的答复:
我也是 碰到的和你一样的问题, 我的是 qq网址大全, 不知道从哪儿下手~~ 太恶毒了...
求教解决办法~~~~


网友stone jesse[首页被篡改]chrome 主页被篡改为hao123?技术宅带你层层深入破之给出的答复:
這是一種hook型式的病毒 不會傳染

I used malewarebytes, norton360, JRT, HitmanPro, adwcleaner, haokiller.bat
all failed. finally I find my way and success.

1. check link path is correct and no error param
2. download https://www.61k.comfileassassin/
3. search c:\Program Files and c:\Documents and Settings
QvodExtend.dll , QvodWebBase.dll
4. use fileassassin enable [delete on windows reboot]
delete QvodExtend.dll , QvodWebBase.dll
5. restart windows
6. ie->properties->advanced->reset
firefox-> in address field key in -> about:support -> reset

you will enjoy it


网友zafei ka[首页被篡改]chrome 主页被篡改为hao123?技术宅带你层层深入破之给出的答复:
大神太nb了 被这问题烦恼死了......


网友joe lee[首页被篡改]chrome 主页被篡改为hao123?技术宅带你层层深入破之给出的答复:
我也碰到类似情况,不过不是被hao123劫持,而是被hao.360劫持。
但劫持者不是360安全,而可能是跟他合作的什么软件。怀疑是鲁大师或驱动精灵,因为出事前跑过这两个程序。
讽刺的是,最后用360安全把这个问题解决了,跑一下它的木马查杀,然后发现"about协议被劫持”,然后选解决就搞定了。


网友bruce lee[首页被篡改]chrome 主页被篡改为hao123?技术宅带你层层深入破之给出的答复:
谢谢楼主,你的帖子完美的解决我的问题,虽然不是同一个dll,但理解了原理,遇到类似的问题就不怕了。楼主威武。


网友21unit[首页被篡改]chrome 主页被篡改为hao123?技术宅带你层层深入破之给出的答复:
chrome怎么设置都是hao123为主页,无意中发现把桌面的chrome桌面快捷方式删掉,重新在开始菜单发送一个chrome快捷方式到桌面就可以了,再也没有hao123了


网友黄冲[首页被篡改]chrome 主页被篡改为hao123?技术宅带你层层深入破之给出的答复:
64位掩面而過


网友Zhang Leon[首页被篡改]chrome 主页被篡改为hao123?技术宅带你层层深入破之给出的答复:

先说明,我的问题出在2015年5月,应该是最新形的hao123劫持。

我按照@想了好久 的方法,用“新建任务”的方式打开ie,主页正常,但其他方式打开ie,主页都是hao123。我觉得可能如他所说,是某个dll的问题。而且在把google.exe改名字后,主页显示正常了;但ie因为权限的原因不能改名,所以没办法用改名字的方法。

1.但我的电脑情况有些不同,搜索不到QvodExtend.dll和QvodWebBase.dll,也许是潜伏到其他别的dll里面了?我试着还按他的思路,用ollydbg加载explorer.exe,但是不知道为什么不行,也许是因为系统是win7 64位,所以ollydbg不能用?到这步卡死了。

2. 然后我又按照@陆修明提供的两个链接尝试,第一个链接里面有6步,我试了1234、6步,不起作用,放弃;第二个链接的内容其实第一个链接里step2。因为链接1内容比较早,我没严格按步骤来。我还是觉得问题可能出在dll上。重置IE也没用。

3.其实用360,瑞星,魔方都可以锁定主页,但治标不治本,卸载软件后,马上又回到hao123。不行。

4.我想也许是我系统里面残留了qvod,因为没卸载干净(而且找不到)?那么重新下一个qvod,然后设置一下qvod里面关于锁定主页的选项,解决问题?---这个方法不知道行不行,没试,我最终还是选择重装系统,反正杀毒的过程中不断下载删除软件、重启系统,干脆一键恢复系统算了,反正也就十来分钟。问题解决。。。

二 : IE主页被篡改为毒霸网址大全怎么取消 毒霸网址大全怎么删除

      不少朋友都有IE主页被篡改为毒霸网址大全而无法取消的经历,我刚刚也遭受了这样的厄运。开始我使用了很多方法都不管用,试了网上很多方法也不可取,浪费了我大量时间。因此,在说出解决方法之前,我先表达一下对金山毒霸的巨大不满。

      其实解决方法很简单。打开IE浏览器(我用的是IE10),点击右上角的“工具”-“Internet选项”,将“常规”里面的毒霸网址改为您想设置的网址,如果您用的杀毒软件是360的话,会自动提示锁定主页。接着点击“常规”--“选项卡”--勾选“打开Internet Explorer时只加载第一个主页(F) ”,以及下面的:在打开新选项卡后,打开:”并选择“你的第一个主页”,至此告成。

  以上就是毒霸网址大全删除的方法,很简单吧,希望对大家有所帮助! 

三 : IE首页为什么会被修改?防止IE主页被篡改的3种有效方法

IE首页经常被篡改,这是件让人很烦恼的事情。那如何让IE首页不被修改呢?或者有什么办法来保证IE首页的安全呢?下面就来看看防止IE首页被修改的方法。

为什么IE首页会被修改?

无论是恶意软件还是病毒,都很喜欢修改用户的IE首页,因为这是和利益直接挂钩的,黑客用恶意软件修改IE首页后,会大大增加其网站的流量,从而获得广告收益。下面让我们来了解下IE首页被修改的几种情况:

1、恶意软件:绝大多数的IE首页被修改都出自恶意软件之手,恶意软件潜伏在别的软件中,当我们下载软件并安装时,会同时将恶意软件安装进系统,而恶意软件则伺机占领用户的系统,修改掉IE首页。被修改掉的IE首页很难再修改回来,除非将恶意软件彻底清除,否则就是一场拉锯战。

2、软件安装包:那么是不是只有恶意软件才会修改用户的IE首页呢?非也,正常软件也会修改IE首页,这主要体现在软件的安装包上。我们安装软件时,通常会连续地按“下一步”,但却忽略了安装包中的设置选项,很多软件安装包在最后一步都会有“是否设置IE主页为XXX”的选项,这个选项默认是勾选的,如果你不注意,那么就会将IE主页设置为软件要求的页面了。

3、网站的主页设置:不少网站为了留住用户,在用户打开网站的时候会弹出一个对话框,提示你是否将其设置为IE主页,如果你小手一抖,虎躯一震,很可能会点击“确定”,于是IE首页就这样被修改了。

用“组策略”锁定IE

IE首页不断地被修改,我们不断地改回来,长此以往也不是个事,有没有办法把IE首页给锁定住,让任何人都无法修改呢?用Windows中的“组策略”功能就可以办到。

设置组策略禁止更改主页设置
设置组策略禁止更改主页设置

点击“开始”菜单→“运行”,输入“gpedit.msc”运行“命令提示符”,依次展开“用户配置”→“管理模板”→“Windows组件”→“Internet Explorer”。在窗口的右侧我们可以找到“禁用更改主页设置”这一项,双击打开,在设置标签中选中“已启用”,单击“确定”关闭“组策略”Email地址怎么写

IE首页出现无法修改状态-可以看到网址变为灰色
IE首页出现无法修改状态-可以看到网址变为灰色

现在我们的IE首页已经被锁定了,打开“Internet选项”时我们会发现“主页”这一项显示为灰色,处于无法修改状态。

用金山卫士保护IE首页

用“组策略”锁定IE后如果自己想修改IE首页就会比较麻烦,需要到“组策略”中先进行解锁再修改,但如果你安装有“金山卫士”的话就可以既锁定主页又方便修改了。

在“金山卫士”主界面点击“实时保护”按钮,其中有一项“IE主页锁定”功能,可以方便设置IE主页,设置好后点击“锁定”按钮就可以了,如果想解锁的话也只需点击一下“解锁”按钮,十分方便,比较适合菜鸟朋友们。如何设置默认浏览器?

用金山卫士或360安全卫士锁定IE主页
用金山卫士或360安全卫士锁定IE主页

釜底抽薪,找出IE主页被改原因

System Repair Engineer(系统诊断配置工具)V2.8.4.1331绿色版  点此搜索下载最新系统诊断配置工具

如果锁定后的IE首页还是被改,那么这时我们已经不能光把目标放在IE上了,而应该考虑是否是流氓软件和病毒在背后搞鬼。

System Repair Engineer是很不错的反流氓软件,可以对系统进行全面的流氓软件和病毒检测,找出修改IE的罪魁祸首后将其清除出系统,然后再对IE主页进行锁定,这样就可以保证IE首页的安全了。

推荐阅读:如何清除上网记录 清除上网记录方法汇总

本文标题:ie主页被篡改为hao123-chrome 主页被篡改为hao123?技术宅带你层层深入破之
本文地址: http://www.61k.com/1166980.html

61阅读| 精彩专题| 最新文章| 热门文章| 苏ICP备13036349号-1