记录一次浏览器主页被劫持的经历
平时一直使用微PE作为维护工具,不流氓无广告,但给领导装系统时PE识别不出M.2接口的SSD。于是准备给PE添加驱动,
但是不知道是不是精简太过,导致无法往wim镜像里添加驱动。然后下载了个u大师,生成ISO文件后把U大师卸载了,但是!!
悲剧发生了,chrome\firefox\ie主页都被劫持了。
作为一个程序员,怎么可以忍受这个,于是开始了找解决办法。首先检查浏览器设置、快捷方式、注册表,但都没有找到问题所在。
在下一步网上搜索,查找后发现也不是WMI脚本劫持,前后弄了2小时也没解决问题。都在想是不是直接重装系统得了,但是自己在同事中
算是比较懂电脑的,又是程序员,为了这个重装系统还不得被笑死。
后来搜到了这篇帖子http://wangpai.2345.cn/thread.php?fid=12&pid=3460264
从而发现了知乎上的这篇帖子http://www.zhihu.com/question/21883209/answer/19617109
使用Process Explorer查看属性发现了命令行后面多了网址参数
实验了下浏览器改名就不会被劫持了,从任务管理器或命令行运行也不会被劫持,基本上根知乎上的回答描述的一样,是资源管理器(explorer)
被Hook,改变了CreateProcess的正常执行流程。下了个火绒安全软件,扩展工具里有个火绒剑的工具,用它扫描了Exporer的钩子
umastershell64.dll,果然是先前下载的u大师搞的鬼。