吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 1360|回复: 13
收起左侧

cmdline 劫持浏览器如何排查?

[复制链接]
0x003 发表于 2023-12-28 20:04
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
25吾爱币
最近遇到一个cmdlin劫持浏览器的情况,大致是启动iexplore.ext 通过Process Explorer 查看到cmdline 后面加了一个劫持的域名,但是注册表没有任何相关信息,怀疑是驱动加载或者是其它不了解的情况,有师傅遇到过这种情况或者知道该如何排查的吗?

参考用

参考用

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

HJVMware15 发表于 2023-12-31 17:48
本帖最后由 HJVMware15 于 2023-12-31 17:50 编辑

你好,面对计算机的问题,还请麻烦排查出现劫持的时间和原因,才能对症下药
如果没有什么特殊有用的信息的话,可以试一试装个杀毒软件全盘查杀,或者用ARK工具稍微看看有没有值得关注的点
 楼主| 0x003 发表于 2024-1-2 16:43
本帖最后由 0x003 于 2024-1-2 16:50 编辑
HJVMware15 发表于 2023-12-31 17:48
你好,面对计算机的问题,还请麻烦排查出现劫持的时间和原因,才能对症下药
如果没有什么特殊有用的信息的 ...

这个应该是通过该流氓软件捆绑释放的,劫持浏览器跳转,目前火绒23年12月份的最新版以及木马专杀都是扫不出来的。看样子是个老病毒,只要浏览器改个名字就劫持不了,但是通过火绒剑也没看到它前面有什么进程对浏览器有什么动作,注册表也没有任何东西,涉及到我的知识盲区了,看到过一写类似劫持的文章吗,例如:https://www.dujin.org/17023.html 但方法都不起作用,火绒剑都排查了一遍,ieplorer.exe 启动 加上cmdline之前没有其他进程对它有动作,这位师傅还有什么其他思路吗?
HJVMware15 发表于 2024-1-2 22:36
本帖最后由 HJVMware15 于 2024-1-2 22:40 编辑
0x003 发表于 2024-1-2 16:43
这个应该是通过该流氓软件捆绑释放的,劫持浏览器跳转,目前火绒23年12月份的最新版以及木马专杀都是扫不 ...

回复已经仔细看完了,这里文字不大好描述,本人也没遇到过浏览器劫持的问题,推荐可以联系一下火绒那边的工程师。有任何问题火绒不能解决的,那边的专业工程师会仔细回复的(本人亲测完全可行)。
 楼主| 0x003 发表于 2024-1-3 09:24
HJVMware15 发表于 2024-1-2 22:36
回复已经仔细看完了,这里文字不大好描述,本人也没遇到过浏览器劫持的问题,推荐可以联系一下火绒那边的 ...

好好好,全都是推荐火绒工程师,哈哈哈哈哈,大部分这类劫持全是推荐火绒工程师
HJVMware15 发表于 2024-1-8 12:32
在?针对你这个情况,我问了一个熟悉的专门解决流氓行为的同行,你要不要看看?
说法和网上有一点出入
 楼主| 0x003 发表于 2024-1-9 13:21
HJVMware15 发表于 2024-1-8 12:32
在?针对你这个情况,我问了一个熟悉的专门解决流氓行为的同行,你要不要看看?
说法和网上有一点出入

可以呀,还望老哥赐教
Lazycat1024 发表于 2024-1-9 13:58
大部分情况下只是安装一些软件的时候把你快捷方式改了,如果不反复被篡改就问题不大,反复被篡改可以用卡巴斯基的扫描工具查杀看看
 楼主| 0x003 发表于 2024-1-9 14:49
Lazycat1024 发表于 2024-1-9 13:58
大部分情况下只是安装一些软件的时候把你快捷方式改了,如果不反复被篡改就问题不大,反复被篡改可以用卡巴 ...

改的不是快捷方式,它更像是监听启动了iexplorer.exe 就会在cmdline 后面加上其它启动参数,跳转劫持
Summer000 发表于 2024-1-10 16:39

遇到这种情况,试试这几种办法:

1、使用 Autoruns 或者类似的工具检查启动项、服务和驱动,查找是否有未知的或者可疑的项。

2、检查浏览器的扩展和插件,确认是否有未知的或者可疑的插件安装在浏览器中。

3、可以使用 Wireshark 或者 Fiddler 等网络抓包工具,查看是否有异常的网络请求。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 09:34

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表