背景
不知道有多少人因为使用KMS激活office套件。虽然这激活软件效果不错,但是网上大部分流传的版本都是经过别人第二次加工的魔改版本。至少加入了一些流氓app,甚至360,Tx全家桶。
但是,今天遇到的这种流氓脚本,让我不得不佩服。因为office到期,在国外的网站下了KMS的激活工具。因为怕国内网络的环境不好,会下到捆绑插件的版本,想不到全世界的网络都一个样,而且居然绑定的网站还是Hao123,就很气。
在激活了office后,重启计算机,所有的浏览器打开后,全部会定向到Hao123的主页。以前遇到过这种情况,想一想,只不过是劫持主页这种木马之类的,也没有在意,找到了平时用的win清理工具,却发现并没有被木马劫持。这让我感到十分好奇,Hao123究竟是用了什么样的奇技淫巧。
防不胜防的Hao123
根据之前的经验,使用了一些第三方的工具,主要是解除浏览器主页的劫持状态。但是失败,打开chrome之后,仍然是Hao123的主页;
-
在网上寻找了一些方法,大部分都是由于一个浏览器的快捷方式被恶意篡改,在快捷方式的目标栏内可以清楚的看到;
chrome快捷方式 知道了这一点,就有据可循了。先是使用了网上流传的最普遍的方法,将快捷方式的名字修改了除chrome外的任意字符。貌似之前的脚本是会扫描各个浏览的快捷方式名,在他们的启动时,加入hao123的网页作为参数;
-
不过,可能是由于win10某种特殊机制的原因,任务栏中的图标并不指向用户创建的快捷图标,这也导致了下一步中的第二种方法失效;
任务栏 不过第三步中使用的方法没有效果,于是,在下在网上找到了第二种解决方法,将图一的快捷方式权限改为只读。这样的话,流氓脚本是没办法修改快捷图标的属性的。但是,这一种方法只能是快捷图标绑定的任务栏图标只读,但是这会导致在任务栏内显示两个浏览器图标,一个直接指向chrome启动程序,另一个我们修改过的只是chrome的快捷启动图标的引用;这就很迷。
无奈,只得继续寻找新的方法。道高一尺魔高一丈,百度中的几种常见方法已经失效了。(为什么自己作死下载最新版的KMS+最新版的流氓木马),只能通过一些不常见的方法来分析。
-
通过chrome给出的方法,我终于知道了流氓脚本使用的是何种方法导致主页在没有被篡改的情况下,仍然被绑架。
chrome-version -
这里贴出在网上寻找到的可能可行的方法,希望和我遇到同样为题的同学,提高姿势水平:
[为什么 Chrome 浏览器的主页会被篡改为 hao123 ?遇到这种情况需要如何进行修复?][https://www.zhihu.com/question/21883209]
由于实在是被这个流氓脚本搞烦了,也不想花时间亲自监视进程,抓异常,在这里推荐使用[火绒安全][http://www.huorong.cn/]可以有效解决这一问题,一劳永逸。
结语
今天真是被这一个小插曲气笑了,老司机也有翻车的一天,在经过两个多小时斗智斗勇无果之后。寄希望于一款国产杀毒软件,竟有奇效。不过,用完即删,还是裸奔来的比较爽啊233333。
