|
本帖最后由 Elex 于 2015-9-3 15:41 编辑
一个星期前,一次操作失误导致电脑浏览器被强悍的钩子劫持导致主页始终被链接到sogou的导航网站,后来为了解决这个问题还中了另外一个稍微低级(实际上也是相当厉害) 的IE.VBS擅改主页,但还是被钩子牢牢控制我电脑上所有浏览器的主页。期间找了Hookfind,KerHookDetect, JDR等工具都没有用,于是发了这么个帖子:"浏览器主页被sogou用钩子劫持,没找到解决办法",不少坛友劝我放弃,直接重装电脑,但我不想重新配置环境。
我经过坚持不懈的努力,终于把这个钩子奸细抓出来,彻底解决了浏览器被劫持的问题了。只是最近几天忙于在生产线上维修有问题的电路板赶着出货,没空上来更新。现在把它写下来,希望可以帮到有类似经历的童鞋,高手请慢砖。苦憋的侦破过程大致如下:
遇到浏览器被劫持的时候,首先检查主页是否被替换,然后检查运行的是不是被替换的浏览器快捷方式,再高级一点就是检查注册表(如:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main的start page等)。这些我都处理,还是没有解决问题,后来才确定是被钩子程序劫持了。
1,通过下载的microsoft的Process Explorer检查浏览器的进程,发现每个浏览器的启动参数都被添加了那个可恶的sogou网站作输入参数,由此可以确定这些参数是钩子程序自动添加的。
2,由于所以桌面或窗口运行的程序都是由explorer.exe程序启动的,所以钩子程序必定与explorer.exe有关。通过ollydbg运行explorer.exe,没有发现其所加载的dll模块有异常,用正常电脑的dll文件替换所有这些文件后问题依旧没有解决,于是又把所有dll文件换回来了。如果你的电脑上发现explorer.exe加载了非系统的dll模块,那你就要小心这些模块了,特别是网上传说的凶手QvodExtend.dll, QvodWebBase.dll。
3,网上有人说是kernel32.dll的CreateProcess函数被添加了跳转命令。但我发现CreateProcessA,CreateProcessW,CreateInternProcessW和CreateInternProcessA这些函数都好象是正常的,并没有网上传说的一开始就有跳转指令(参照:http://www.zhihu.com/question/21883209)。
4,查找资料后了解到,XP的explorer.exe运行程序的过程大致为(通过调用shell32.dll和kernel32.dll):ShellExecuteW -> ShellExecuteExW -> CreateProcessW ->CreateProcessInternalW -> NtCreateProcessEx。所以问题肯定是出在这几个环节之间的。于是用XueTr工具再检查一遍explorer.exe的钩子,终于发现一个可疑的kaecaejlclgd.dll了,是它勾住了kernel32.dll的CreateProcessW!!!!!!!!
5,赶紧去找这个kaecaejlclgd.dll,发现其存于"C:\Documents and Settings\All Users\Application Data" 目录,用ollydbg打开后发现其中果然包含了浏览器的信息:
kaecaejlclgd.dll的签名是"北京云立方科技有限公司"(我把这个dll上传上来,大家看看它搞神马鬼的)。
6,去注册表查找这个kaecaejlclgd.dll,果然找到了。于是删除注册表中的这项内容和"C:\Documents and Settings\All Users\Application Data" 目录kaecaejlclgd.dll文件。重启电脑,再运行浏览器,世界恢复和平,又回到了我的空白页!
总结:浏览器被劫持后常规方法都解决不了问题就很可能是遇到钩子了,有遇到类似经历的童鞋可以直接XueTr工具再检查一遍explorer.exe的钩子,然后直接把模块改名或删除即可。
附上其中几个工具:
1,XP程序进程工具
2,调试工具ollydbg
3,钩子检查工具XueTr(其还有好多其它强大的功能)
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有帐号?注册
x
阿莫论坛20周年了!感谢大家的支持与爱护!!
曾经有一段真挚的爱情摆在我的面前,我没有珍惜,现在想起来,还好我没有珍惜……
|