记录一次浏览器主页被劫持的经历

   平时一直使用微PE作为维护工具，不流氓无广告，但给领导装系统时PE识别不出M.2接口的SSD。于是准备给PE添加驱动，

但是不知道是不是精简太过，导致无法往wim镜像里添加驱动。然后下载了个u大师，生成ISO文件后把U大师卸载了，但是！！

悲剧发生了，chrome\firefox\ie主页都被劫持了。

  作为一个程序员，怎么可以忍受这个，于是开始了找解决办法。首先检查浏览器设置、快捷方式、注册表，但都没有找到问题所在。

在下一步网上搜索，查找后发现也不是WMI脚本劫持，前后弄了2小时也没解决问题。都在想是不是直接重装系统得了，但是自己在同事中

算是比较懂电脑的，又是程序员，为了这个重装系统还不得被笑死。

后来搜到了这篇帖子http://wangpai.2345.cn/thread.php?fid=12&pid=3460264

从而发现了知乎上的这篇帖子http://www.zhihu.com/question/21883209/answer/19617109

使用Process Explorer查看属性发现了命令行后面多了网址参数

实验了下浏览器改名就不会被劫持了，从任务管理器或命令行运行也不会被劫持，基本上根知乎上的回答描述的一样，是资源管理器(explorer）

被Hook，改变了CreateProcess的正常执行流程。下了个火绒安全软件，扩展工具里有个火绒剑的工具，用它扫描了Exporer的钩子

 

umastershell64.dll，果然是先前下载的u大师搞的鬼。