首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 求助问答
    3. 发新帖
未解决 [求助]主流浏览器主页被挟持 求助!高级注入挟持
发表于: 2019-1-20 23:06 5021

未解决 [求助]主流浏览器主页被挟持 求助!高级注入挟持

Gay文 活跃值
2019-1-20 23:06
5021
好奇病毒怎么入侵chrome的。各位大大有人遇到过不?
打开浏览器跳转到514K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3N6Z5K9Y4c8@1i4K6u0W2P5s2W2*7i4K6u0r3 再重定向到144K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0t1K6y4o6g2Q4x3X3g2U0L8$3@1`.
一般方法试过不行,只有改变chome.exe的执行文件名字之后才正常
可见是动态的根据进程名字的注入挟持。另外在win+R运行chrome.exe仍然被劫持,但是在任务管理器运行chrome.exe却正常,推理应该是explorer.exe被注入?
替换或者终止explorer.exe进程后重启explorer.exe仍然有问题。应该是explorer依赖的dll被注入?

但具体是谁挟持的找不着。explorer.exe用火绒剑找不到可疑dll也找不到注入的钩子。
系统检测到非常可疑的行为
explorer.exe原本是启动正常的打开baidu.com的chrome.exe线程1的但是chrome线程1生成一个跳转到挟持页面的新线程2后自我销毁了?
下面是log文件

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2019-1-21 00:48 被Gay文编辑 ,原因:
上传的附件:
  • a.txt (950.23kb,10次下载)
收藏
免费 0
支持
分享
最新回复 (5)
猪会被杀掉
雪    币: 18
活跃值: (1064)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
私信
2
右键浏览器图标属性看看被加了启动命令行尾巴(启动网址)没有,以前也中招怎么找都找不到......
2019-1-20 23:10
0
wowocock
雪    币: 405
活跃值: (2855)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
3
用PCHUNTER看看有没有可疑的驱动,进程,模块回调
2019-1-21 17:10
0
PYGame
雪    币: 2473
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
你可以去2345应聘 然后请教CTO是怎么实现锁主页的
2019-1-21 17:38
0
华哥huage
雪    币: 68
活跃值: (240)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
现在流行用回调改peb,你用pchunter看createprocess的回调
2019-1-21 20:32
0
xxagri
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
win7x64、火狐最新版,主页被篡改,启动火狐自动连接2afK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4N6*7y4U0R3J5i4K6u0W2j5$3!0E0i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1@1i4@1t1^5i4K6V1@1i4@1f1^5i4@1t1%4i4@1t1K6i4@1f1^5i4@1u0p5i4@1q4o6i4@1f1#2i4K6R3^5i4@1t1H3N6%4N6%4i4K6u0W2K9r3q4G2x3e0t1K6i4K6u0W2j5$3!0E0i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1%4i4@1u0n7i4K6V1K6 束explorer进程再打开火狐时正常,在任务管理器里新建任务启动火狐正常,把火狐主程序改名再打开 正常。删除C:\Program Files\Internet Explorer\sqmapi.dll,解决。
最后于 2019-10-30 16:30 被xxagri编辑 ,原因: 有答案了
2019-10-30 15:33
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回