新装了系统,下个小软件看看硬件情况,结果中招了,刚好老夫正心情不爽,那么揪出来看看。
下面详细讲解捕捉过程,此过程可还原
图1,干净系统,打开微软御用工具Process Explorer和任务管理器,可以看到进程22个,explorer的pid是1552
图2,打开2003系统的最高版本IE 8,可以看到系统进程数量25个,因为IE有一个查询wmi的临时进程,所以有时候是24个,这个不重要,可以看到IE的父进程是explorer
图3,打开http://www.pc6.com/softview/SoftView_1031.html下载的aida64,速度很快的可以看到aida64开启了一个bgei的进程,很快就消失,然后系统多出一个svchost.exe进程,在这个时候,IE是正常的。
图4,关掉IE,重新打开IE,仔细看,IE的进程被瞬间消灭,然后由svchost创建了IE的子进程,并且IE首页变成hao123了
通过这4个步骤可以确认,此网站标榜的“中国最安全的下载站”明显是骗人的,希望百度封闭此网站。为了避免此网站瞒天过海,特意校验了一下aida64的md5是D786651E016582568806405E5849439A
hao123和类似的网站为了保持浏览量(借以提高身价和市场占有率,这是360最擅长干的事情),都会通过这种花钱买流量的做法,而这些做软件下载网站的,以及一部分软件作者都会参加流量换钱的合作方案,还有那些xx花园的系统也一样的。平时打开浏览器就发现首页地址有类似这种?tn=xxxx的信息,那么可以确认浏览器被非法劫持或者非法篡改了,回忆一下刚才装了或者用了什么工具,果断删掉,但是大多数时候已经晚了,这次我遇到的就是注入了系统进程,因为系统有自身文件保护,所以没办法操作,我也是重装了系统的。
草鸡小白膜拜