搜索
bottom↓
回复: 147

保卫我们的浏览器主页--干掉钩子!

  [复制链接]

出0入16汤圆

发表于 2015-9-3 15:38:08 | 显示全部楼层 |阅读模式
本帖最后由 Elex 于 2015-9-3 15:41 编辑

一个星期前,一次操作失误导致电脑浏览器被强悍的钩子劫持导致主页始终被链接到sogou的导航网站,后来为了解决这个问题还中了另外一个稍微低级(实际上也是相当厉害) 的IE.VBS擅改主页,但还是被钩子牢牢控制我电脑上所有浏览器的主页。期间找了Hookfind,KerHookDetect, JDR等工具都没有用,于是发了这么个帖子:"浏览器主页被sogou用钩子劫持,没找到解决办法",不少坛友劝我放弃,直接重装电脑,但我不想重新配置环境。

我经过坚持不懈的努力,终于把这个钩子奸细抓出来,彻底解决了浏览器被劫持的问题了。只是最近几天忙于在生产线上维修有问题的电路板赶着出货,没空上来更新。现在把它写下来,希望可以帮到有类似经历的童鞋,高手请慢砖。苦憋的侦破过程大致如下:

遇到浏览器被劫持的时候,首先检查主页是否被替换,然后检查运行的是不是被替换的浏览器快捷方式,再高级一点就是检查注册表(如:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main的start page等)。这些我都处理,还是没有解决问题,后来才确定是被钩子程序劫持了。
1,通过下载的microsoft的Process Explorer检查浏览器的进程,发现每个浏览器的启动参数都被添加了那个可恶的sogou网站作输入参数,由此可以确定这些参数是钩子程序自动添加的。




2,由于所以桌面或窗口运行的程序都是由explorer.exe程序启动的,所以钩子程序必定与explorer.exe有关。通过ollydbg运行explorer.exe,没有发现其所加载的dll模块有异常,用正常电脑的dll文件替换所有这些文件后问题依旧没有解决,于是又把所有dll文件换回来了。如果你的电脑上发现explorer.exe加载了非系统的dll模块,那你就要小心这些模块了,特别是网上传说的凶手QvodExtend.dll, QvodWebBase.dll。


3,网上有人说是kernel32.dll的CreateProcess函数被添加了跳转命令。但我发现CreateProcessA,CreateProcessW,CreateInternProcessW和CreateInternProcessA这些函数都好象是正常的,并没有网上传说的一开始就有跳转指令(参照:http://www.zhihu.com/question/21883209)。



4,查找资料后了解到,XP的explorer.exe运行程序的过程大致为(通过调用shell32.dll和kernel32.dll):ShellExecuteW -> ShellExecuteExW -> CreateProcessW ->CreateProcessInternalW -> NtCreateProcessEx。所以问题肯定是出在这几个环节之间的。于是用XueTr工具再检查一遍explorer.exe的钩子,终于发现一个可疑的kaecaejlclgd.dll了,是它勾住了kernel32.dll的CreateProcessW!!!!!!!!


5,赶紧去找这个kaecaejlclgd.dll,发现其存于"C:\Documents and Settings\All Users\Application Data" 目录,用ollydbg打开后发现其中果然包含了浏览器的信息:


kaecaejlclgd.dll的签名是"北京云立方科技有限公司"(我把这个dll上传上来,大家看看它搞神马鬼的)。



6,去注册表查找这个kaecaejlclgd.dll,果然找到了。于是删除注册表中的这项内容和"C:\Documents and Settings\All Users\Application Data" 目录kaecaejlclgd.dll文件。重启电脑,再运行浏览器,世界恢复和平,又回到了我的空白页!




总结:浏览器被劫持后常规方法都解决不了问题就很可能是遇到钩子了,有遇到类似经历的童鞋可以直接XueTr工具再检查一遍explorer.exe的钩子,然后直接把模块改名或删除即可。

附上其中几个工具:
1,XP程序进程工具

2,调试工具ollydbg

3,钩子检查工具XueTr(其还有好多其它强大的功能)

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x

阿莫论坛20周年了!感谢大家的支持与爱护!!

一只鸟敢站在脆弱的枝条上歇脚,它依仗的不是枝条不会断,而是自己有翅膀,会飞。

出0入25汤圆

发表于 2015-9-3 15:42:06 | 显示全部楼层
牛B,收藏备用!

出0入0汤圆

发表于 2015-9-3 15:42:08 | 显示全部楼层
本帖最后由 cctv02 于 2015-9-3 15:47 编辑

这么多专业工具,我只会重装解决 2楼招租啦

楼上啊我的2楼只差两秒钟

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x

出0入0汤圆

发表于 2015-9-3 15:56:55 | 显示全部楼层
收藏备用。

出0入0汤圆

发表于 2015-9-3 16:01:06 来自手机 | 显示全部楼层
可以穿裤子了!

出0入0汤圆

发表于 2015-9-3 16:02:24 | 显示全部楼层
牛B.
赶紧试一下。恶心的sougou123

出0入131汤圆

发表于 2015-9-3 16:08:01 | 显示全部楼层
牛B
我用谷歌浏览器 没遇到过这个问题

出0入8汤圆

发表于 2015-9-3 16:08:56 | 显示全部楼层
收藏备用~

出0入16汤圆

 楼主| 发表于 2015-9-3 16:28:32 来自手机 | 显示全部楼层
asj1989 发表于 2015-9-3 16:08
牛B
我用谷歌浏览器 没遇到过这个问题

这个真跟浏览器本身没有关系,是启动浏览器的时候把网址作为参数传递给浏览器了,就是执行命令字加参数的形式(见楼主位的附图)。只要浏览器接受参数就受影响。我电脑上也有chrome,也是被黑

出0入134汤圆

发表于 2015-9-3 16:35:12 | 显示全部楼层
恭喜楼主终于解决了肿瘤

出0入0汤圆

发表于 2015-9-3 16:43:12 | 显示全部楼层
这个要收藏下,多谢楼主

出0入0汤圆

发表于 2015-9-3 16:47:08 | 显示全部楼层
流弊,唯一还能看的懂的技术贴

看的我都湿了~~~

出0入8汤圆

发表于 2015-9-3 17:02:01 | 显示全部楼层
厉害!!!这都行

出0入0汤圆

发表于 2015-9-3 17:03:46 | 显示全部楼层
niux 收藏一下,遇到过无耻的钩子

出50入10汤圆

发表于 2015-9-3 17:08:19 | 显示全部楼层
对于这种流氓,难道没有什麽以毒攻毒的办法吗?

出0入0汤圆

发表于 2015-9-3 17:16:11 | 显示全部楼层
以前用老毛桃U盘启动工具引导完之后重启进系统,浏览器主页就被修改,查看电脑启动项被添加了个.BAT文件,开机自启动修改浏览器主页,从此再也不用老毛桃流氓工具了。

出0入0汤圆

发表于 2015-9-3 17:16:48 | 显示全部楼层
中了好几次2345的招了

出0入0汤圆

发表于 2015-9-3 17:32:32 | 显示全部楼层
hehe,nb,太技术流了。

出0入0汤圆

发表于 2015-9-3 17:36:57 | 显示全部楼层
为坚持不懈点赞!

出10入10汤圆

发表于 2015-9-3 17:40:07 | 显示全部楼层
果真是大牛啊!学习了。

出0入0汤圆

发表于 2015-9-3 17:57:30 | 显示全部楼层
nb                  

出0入0汤圆

发表于 2015-9-3 18:04:11 来自手机 | 显示全部楼层
做这些流氓插件的都是高手啊

出0入0汤圆

发表于 2015-9-3 18:08:20 来自手机 | 显示全部楼层
如何防范这些钩子比找出更重要

出0入0汤圆

发表于 2015-9-3 18:10:31 | 显示全部楼层
因为我看不明白,所以觉得很NB

出0入0汤圆

发表于 2015-9-3 18:20:38 来自手机 | 显示全部楼层
厉害,好专业的工具!

出0入0汤圆

发表于 2015-9-3 18:49:00 | 显示全部楼层
好高端 看不懂。。。

出110入26汤圆

发表于 2015-9-3 19:19:38 来自手机 | 显示全部楼层
不打个电话去那公司问候他老板全家难以解恨

出0入4汤圆

发表于 2015-9-3 19:36:33 来自手机 | 显示全部楼层
厉害。一..........

出0入0汤圆

发表于 2015-9-3 19:43:00 | 显示全部楼层
学习,支持中

出0入0汤圆

发表于 2015-9-3 19:43:14 | 显示全部楼层
以后要防治这种东西难道还要启用白名单么?!黑名单已经不够了

出0入8汤圆

发表于 2015-9-3 20:05:23 | 显示全部楼层
以前遇到过几次,我都直接装了系统了,想想那么软件要重装,一搞就是一二天,感谢楼主,

出0入0汤圆

发表于 2015-9-3 20:11:29 来自手机 | 显示全部楼层
恭喜楼主,有思路有方法感觉可以加精啊

出0入0汤圆

发表于 2015-9-3 20:12:01 | 显示全部楼层
楼主很执着啊!没有楼主的技术,碰到这种情况只能重装系统!看楼主的这些工具,楼主应该会破解软件吧!

出0入8汤圆

发表于 2015-9-3 20:25:33 来自手机 | 显示全部楼层
呵呵,od都用上了
国产软件的悲哀
收费没人用,免费到处是流氓

出0入0汤圆

发表于 2015-9-3 20:29:41 | 显示全部楼层
楼主分析的方法nb啊。

出0入0汤圆

发表于 2015-9-3 20:58:55 来自手机 | 显示全部楼层
佩服楼主,高手啊。更想说的是,楼主有始有终,提出了问题,有把解决问题的过程写了出来,向楼主学习!

出0入0汤圆

发表于 2015-9-3 21:05:51 | 显示全部楼层
实在厉害,不配服不行

出0入0汤圆

发表于 2015-9-3 21:10:24 | 显示全部楼层
学习一下~                           

出0入618汤圆

发表于 2015-9-3 21:14:58 | 显示全部楼层
Ross_Geller 发表于 2015-9-3 17:16
以前用老毛桃U盘启动工具引导完之后重启进系统,浏览器主页就被修改,查看电脑启动项被添加了个.BAT文件, ...

只是启动里加个批处理,也不是锁定不允许你改回来,在国内已经算是很君子的了,流氓的话从winload.exe开始就给你钩上,安全模式都没辙。

出0入0汤圆

发表于 2015-9-3 22:43:28 | 显示全部楼层

收藏备用

出0入0汤圆

发表于 2015-9-3 22:51:13 | 显示全部楼层
厉害,挖出了这么个毒瘤

出0入0汤圆

发表于 2015-9-3 22:54:32 | 显示全部楼层
生命在于折腾。

出0入0汤圆

发表于 2015-9-3 23:03:56 | 显示全部楼层
收藏下,多谢楼主!

出0入4汤圆

发表于 2015-9-3 23:11:48 | 显示全部楼层
很高科技, 一直被hao123毒害.

出0入0汤圆

发表于 2015-9-3 23:25:11 | 显示全部楼层
lengshuicha 发表于 2015-9-3 18:08
如何防范这些钩子比找出更重要

未知软件装在虚拟机里.

出0入0汤圆

发表于 2015-9-3 23:45:24 | 显示全部楼层

收藏备用,好多软件不要脸。。。

出0入10汤圆

发表于 2015-9-3 23:47:24 来自手机 | 显示全部楼层
被好123毒害过。

出0入0汤圆

发表于 2015-9-4 00:03:59 | 显示全部楼层
直接被3,钩子检查工具XueTr(其还有好多其它强大的功能)这个自动装了个软件,删不掉
C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EXa0.092\XueTr  

出0入0汤圆

发表于 2015-9-4 01:16:11 | 显示全部楼层
太牛了,过段收藏备用!!!

出0入0汤圆

发表于 2015-9-4 06:59:51 来自手机 | 显示全部楼层
楼主还是很执着的,赞一个

出0入0汤圆

发表于 2015-9-4 07:34:03 | 显示全部楼层
本帖最后由 ammcu 于 2015-9-4 07:45 编辑

现在社会就缺楼主这样的技术帝,就是因为大家随手用又想不掏钱,所以才有国产软件的一个个流氓,这些软件还号称利用大数据、云计算技术

出0入0汤圆

发表于 2015-9-4 07:58:15 | 显示全部楼层
很好,可以干掉流氓软件。

出0入0汤圆

发表于 2015-9-4 08:59:20 | 显示全部楼层
这个NB,一定要好好的学一下钩子技术

出0入0汤圆

发表于 2015-9-4 09:06:53 | 显示全部楼层
太牛了,学习了很多。

出425入0汤圆

发表于 2015-9-4 09:14:57 | 显示全部楼层
我一般是刚安装好一个新的系统,把收藏夹,文档,下载,图片等移到D盘,把字体大小,颜色,主题调整一下,把无用的自带的APP删除,备份(1)一次。安装驱动程序,测试正常后,增量备份(2)一次。安装输入法,QQ,旺旺,网上银行,支付宝,office,7zip等基础的,安全性无疑问的,不常更新的软件,又增量备份(3)一次。后面安装各种软件,这些随便装,有广告也不怕,看不顺眼,把备份3还原回来,就5分钟以内的事情。如果你经过实践,某个软件被你信任,你还原备份3后,把它安装进去,增量备份(4)一次。以后系统中毒,劫持,就还原备份4.其余类推。

出0入0汤圆

发表于 2015-9-4 11:36:49 | 显示全部楼层
太专业了,强焊。

出0入0汤圆

发表于 2015-9-4 11:57:10 | 显示全部楼层
楼主对windows系统很有研究,搭个车问个问题。
我的系统是win7装了Outpost防火墙, 最近老是蹦出svchost.exe访问网络的询问窗口, 请问怎样能知道究竟是那个进程通过这个系统服务访问网络?

出0入0汤圆

发表于 2015-9-4 12:16:56 | 显示全部楼层
这个D ...

出0入4汤圆

发表于 2015-9-4 12:17:18 | 显示全部楼层
某次主页被更改,找了半天没找见怎么回事----------------TM的,把我开始菜单的IE 更换成他的网站快捷方式,图标一模一样

出0入0汤圆

发表于 2015-9-4 12:44:25 | 显示全部楼层
学习大牛的调试方法,重装虽然可能解决,但还是不知道原因。
另外,自从某狗改我的桌面后就直接将他列为我自己的黑名单的永久成员。

出0入0汤圆

发表于 2015-9-4 12:47:26 | 显示全部楼层
佩服楼主的钻研精神。。。

出0入0汤圆

发表于 2015-9-4 13:09:15 | 显示全部楼层
太牛了,以前只有直接重装。

出425入0汤圆

发表于 2015-9-4 18:37:12 | 显示全部楼层
cc2666 发表于 2015-9-4 09:40
用的什么增量备份工具?

WIMTOOL,此工具可以在PE下运行的。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x

出0入0汤圆

发表于 2015-9-4 19:45:10 | 显示全部楼层
厉害,我遇到过一次,没解决,选择了重做系统。

出20入62汤圆

发表于 2015-9-4 19:51:38 | 显示全部楼层
这个太牛逼了

出20入0汤圆

发表于 2015-9-4 20:44:41 | 显示全部楼层
   这种手段太nb了。

出0入4汤圆

发表于 2015-9-4 20:53:27 | 显示全部楼层
太牛了,oll反编译太厉害了,我上次浏览器被挟持了,最后没有办法只好重装了系统!

出0入0汤圆

发表于 2015-9-4 21:02:04 | 显示全部楼层
mark                  
.

出0入0汤圆

发表于 2015-9-4 22:37:24 | 显示全部楼层
赞,有心人,不错。

出0入0汤圆

发表于 2015-9-5 10:14:42 来自手机 | 显示全部楼层
话说explorer加载的这个dll杀软不会报警吗?这个钩子太神奇了,钩住了这个函数只是为了篡改浏览器主页?话说我只是简单的做个键盘钩子杀软就直接给我干掉了,好奇他做的这么厉害杀软为什么不管?难道有些钩子他们不管,要不我做个钩子钩住关机消息,哈哈哈以后只能拔电源了

出0入16汤圆

 楼主| 发表于 2015-9-5 13:17:07 | 显示全部楼层
楼主位的软件版本较旧了,只是这几天忙着修板没空上来更新,后续有发现有找不到原始文件出处的内联钩子,等稍迟一点有空再更新。

出0入0汤圆

发表于 2015-9-5 14:40:55 | 显示全部楼层
这个强,一般人没这个耐心研究这个。

出0入0汤圆

发表于 2015-9-5 14:55:23 | 显示全部楼层
楼主好强大,这需要耐心研究,值得学习.......

出0入0汤圆

发表于 2015-9-5 15:12:55 | 显示全部楼层
这真的是做技术人的专研精神啊!

出0入10汤圆

发表于 2015-9-5 15:43:50 | 显示全部楼层
这都搞定,厉害呀

出0入0汤圆

发表于 2015-9-5 16:27:21 来自手机 | 显示全部楼层
准备对付金山

出0入0汤圆

发表于 2015-9-5 16:34:07 | 显示全部楼层
专业,收藏备用

出0入0汤圆

发表于 2015-9-5 22:21:27 来自手机 | 显示全部楼层
专业!收藏备用!

出0入59汤圆

发表于 2015-9-6 10:07:16 | 显示全部楼层
这个必须要顶一下,经常遇到类似问题

出0入0汤圆

发表于 2015-9-6 13:51:05 | 显示全部楼层
guolun 发表于 2015-9-4 09:14
我一般是刚安装好一个新的系统,把收藏夹,文档,下载,图片等移到D盘,把字体大小,颜色,主题调整一下, ...

同问用的增量备份工具

出425入0汤圆

发表于 2015-9-6 21:01:29 | 显示全部楼层
sanger 发表于 2015-9-6 13:51
同问用的增量备份工具

软件66楼

出0入0汤圆

发表于 2015-9-7 08:36:10 | 显示全部楼层
果然是大神级的!学习了。

出0入13汤圆

发表于 2015-9-7 08:49:42 来自手机 | 显示全部楼层
不错,备用,最讨厌这些流氓

出0入0汤圆

发表于 2015-9-7 09:22:13 | 显示全部楼层
看上去  好流弊

出0入0汤圆

发表于 2015-9-7 09:23:49 | 显示全部楼层
技术帝,牛逼。果断收藏了

出0入0汤圆

发表于 2015-9-7 09:43:12 | 显示全部楼层
刘必,顶了!

出0入0汤圆

发表于 2015-9-7 13:12:57 | 显示全部楼层

已下载收藏,十分感谢。

出0入0汤圆

发表于 2015-9-7 13:57:54 | 显示全部楼层
楼主是高手

出0入0汤圆

发表于 2015-9-7 14:11:25 | 显示全部楼层
十分有用,感谢

出0入0汤圆

发表于 2015-9-7 14:17:06 | 显示全部楼层
收藏备用

出0入0汤圆

发表于 2015-9-7 14:51:10 | 显示全部楼层
楼主是CRACKER的高手

出0入0汤圆

发表于 2015-9-7 15:04:16 | 显示全部楼层
果然牛人,以前老是被hao123劫持,不知道能不能用同样的方法解决

出0入0汤圆

发表于 2015-9-7 15:26:28 | 显示全部楼层
楼主V5
我的firefox被劫,回去试下。

出0入0汤圆

发表于 2015-9-7 15:29:14 | 显示全部楼层
流氓有文化~

PS:说的是钩子,不是楼主~

编辑原因:话有歧义,补充下~

出0入0汤圆

发表于 2015-9-7 16:31:23 | 显示全部楼层
电工不容易,还需要切肿瘤.....

出0入0汤圆

发表于 2015-9-7 18:12:55 | 显示全部楼层
不容易,精神值得学习,最后搞定了的心情应该还是比较爽的

出0入0汤圆

发表于 2015-9-7 20:20:27 | 显示全部楼层
这个牛逼了

出0入0汤圆

发表于 2015-9-7 22:35:12 | 显示全部楼层
必须收藏,很厉害

出0入0汤圆

发表于 2015-9-8 00:01:23 来自手机 | 显示全部楼层
试试                             

出0入0汤圆

发表于 2015-9-8 00:28:39 | 显示全部楼层
厉害, 学习贴!
回帖提示: 反政府言论将被立即封锁ID 在按“提交”前,请自问一下:我这样表达会给举报吗,会给自己惹麻烦吗? 另外:尽量不要使用Mark、顶等没有意义的回复。不得大量使用大字体和彩色字。【本论坛不允许直接上传手机拍摄图片,浪费大家下载带宽和论坛服务器空间,请压缩后(图片小于1兆)才上传。压缩方法可以在微信里面发给自己(不要勾选“原图),然后下载,就能得到压缩后的图片】。另外,手机版只能上传图片,要上传附件需要切换到电脑版(不需要使用电脑,手机上切换到电脑版就行,页面底部)。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

手机版|Archiver|amobbs.com 阿莫电子技术论坛 ( 粤ICP备2022115958号, 版权所有:东莞阿莫电子贸易商行 创办于2004年 (公安交互式论坛备案:44190002001997 ) )

GMT+8, 2024-3-29 01:57

© Since 2004 www.amobbs.com, 原www.ourdev.cn, 原www.ouravr.com

快速回复 返回顶部 返回列表