cmdline 劫持浏览器如何排查?
最近遇到一个cmdlin劫持浏览器的情况,大致是启动iexplore.ext 通过Process Explorer 查看到cmdline 后面加了一个劫持的域名,但是注册表没有任何相关信息,怀疑是驱动加载或者是其它不了解的情况,有师傅遇到过这种情况或者知道该如何排查的吗?{:1_889:}{:1_889:}{:1_889:} 本帖最后由 HJVMware15 于 2023-12-31 17:50 编辑你好,面对计算机的问题,还请麻烦排查出现劫持的时间和原因,才能对症下药
如果没有什么特殊有用的信息的话,可以试一试装个杀毒软件全盘查杀,或者用ARK工具稍微看看有没有值得关注的点 本帖最后由 0x003 于 2024-1-2 16:50 编辑
HJVMware15 发表于 2023-12-31 17:48
你好,面对计算机的问题,还请麻烦排查出现劫持的时间和原因,才能对症下药
如果没有什么特殊有用的信息的 ...
这个应该是通过该流氓软件捆绑释放的,劫持浏览器跳转,目前火绒23年12月份的最新版以及木马专杀都是扫不出来的。看样子是个老病毒,只要浏览器改个名字就劫持不了,但是通过火绒剑也没看到它前面有什么进程对浏览器有什么动作,注册表也没有任何东西,涉及到我的知识盲区了,看到过一写类似劫持的文章吗,例如:https://www.dujin.org/17023.html 但方法都不起作用,火绒剑都排查了一遍,ieplorer.exe 启动 加上cmdline之前没有其他进程对它有动作,这位师傅还有什么其他思路吗? 本帖最后由 HJVMware15 于 2024-1-2 22:40 编辑
0x003 发表于 2024-1-2 16:43
这个应该是通过该流氓软件捆绑释放的,劫持浏览器跳转,目前火绒23年12月份的最新版以及木马专杀都是扫不 ...
回复已经仔细看完了,这里文字不大好描述,本人也没遇到过浏览器劫持的问题,推荐可以联系一下火绒那边的工程师。有任何问题火绒不能解决的,那边的专业工程师会仔细回复的(本人亲测完全可行)。 HJVMware15 发表于 2024-1-2 22:36
回复已经仔细看完了,这里文字不大好描述,本人也没遇到过浏览器劫持的问题,推荐可以联系一下火绒那边的 ...
好好好,全都是推荐火绒工程师,哈哈哈哈哈,大部分这类劫持全是推荐火绒工程师 在?针对你这个情况,我问了一个熟悉的专门解决流氓行为的同行,你要不要看看?
说法和网上有一点出入 HJVMware15 发表于 2024-1-8 12:32
在?针对你这个情况,我问了一个熟悉的专门解决流氓行为的同行,你要不要看看?
说法和网上有一点出入
可以呀,还望老哥赐教{:1_893:} 大部分情况下只是安装一些软件的时候把你快捷方式改了,如果不反复被篡改就问题不大,反复被篡改可以用卡巴斯基的扫描工具查杀看看 Lazycat1024 发表于 2024-1-9 13:58
大部分情况下只是安装一些软件的时候把你快捷方式改了,如果不反复被篡改就问题不大,反复被篡改可以用卡巴 ...
改的不是快捷方式,它更像是监听启动了iexplorer.exe 就会在cmdline 后面加上其它启动参数,跳转劫持
遇到这种情况,试试这几种办法:
1、使用 Autoruns 或者类似的工具检查启动项、服务和驱动,查找是否有未知的或者可疑的项。
2、检查浏览器的扩展和插件,确认是否有未知的或者可疑的插件安装在浏览器中。
3、可以使用 Wireshark 或者 Fiddler 等网络抓包工具,查看是否有异常的网络请求。
页:
[1]
2