新装了系统,下个小软件看看硬件情况,结果中招了,刚好老夫正心情不爽,那么揪出来看看。

下面详细讲解捕捉过程,此过程可还原
图1,干净系统,打开微软御用工具Process Explorer和任务管理器,可以看到进程22个,explorer的pid是1552

1

图2,打开2003系统的最高版本IE 8,可以看到系统进程数量25个,因为IE有一个查询wmi的临时进程,所以有时候是24个,这个不重要,可以看到IE的父进程是explorer

2

图3,打开http://www.pc6.com/softview/SoftView_1031.html下载的aida64,速度很快的可以看到aida64开启了一个bgei的进程,很快就消失,然后系统多出一个svchost.exe进程,在这个时候,IE是正常的。

3

图4,关掉IE,重新打开IE,仔细看,IE的进程被瞬间消灭,然后由svchost创建了IE的子进程,并且IE首页变成hao123了

4
通过这4个步骤可以确认,此网站标榜的“中国最安全的下载站”明显是骗人的,希望百度封闭此网站。为了避免此网站瞒天过海,特意校验了一下aida64的md5是D786651E016582568806405E5849439A

hao123和类似的网站为了保持浏览量(借以提高身价和市场占有率,这是360最擅长干的事情),都会通过这种花钱买流量的做法,而这些做软件下载网站的,以及一部分软件作者都会参加流量换钱的合作方案,还有那些xx花园的系统也一样的。平时打开浏览器就发现首页地址有类似这种?tn=xxxx的信息,那么可以确认浏览器被非法劫持或者非法篡改了,回忆一下刚才装了或者用了什么工具,果断删掉,但是大多数时候已经晚了,这次我遇到的就是注入了系统进程,因为系统有自身文件保护,所以没办法操作,我也是重装了系统的。

One thought on “pc6.com后台木马进程捕捉过程,建议不要浏览这个网站

发表评论

电子邮件地址不会被公开。 必填项已用*标注