关于浏览器被劫持主页的处理方法（完结版）

背景：

    上个月重做了win10系统，系统激活过程中没有出现任何问题。重装office套装，使用暴风激活下载地址：（http://win.shibojiaa.cn/baofeng/）激活office套装后，发现所有浏览器主页被劫持。打开任何一个浏览器地址栏中显示：（http://uj7.gndh555.top/）随后跳转hao123。真的很恶心。毕竟自己是学计算机出身，觉得自己被摩擦了。

    之前写过一篇关于浏览器主页被劫持的文章。给出了两个解决方法。

    1、查看桌面快捷方式属性，目标栏尾部是否被添加其他链接地址，如果有，删除被添加的地址。

    2、清理并修改注册表相关信息。

    但是这一次明显耍流氓的手段高明了很多。查快捷方式，注册表，都未发现相关流氓链接。网上看了很多相关资料。综合大家给出的解决方案，我决定要自己搞一下。所以在没有最终解决这个问题之前这篇文章会一直更新下去。（大家也可以试一下360等安全工具进行浏览器页面绑定之类的。但是在我眼里，都是以毒攻毒的手段，流氓之间互相掐架，所以放弃了这个手段）

    干之前喊个口号：流氓不死，就与流氓战斗到底！！

过程：

    喊完口号之后，就要动手开始干了！

    首先排查了注册表，快捷方式，各种浏览器设置等，发现并没有什么问题。于是，开始网上探索之路。

    网上看到了第一个治标不治本的方法：

    1、修改浏览器的名称：找到浏览器的根目录（以firefox为例），将firefox.exe修改成firefox123.exe。再打开firefox发现主页被劫持的现象没有了。（症状基本得到缓解，其他的浏览器如：ie,edge,chrome都可以以这种方法解决浏览器主页被劫持的问题）。但是治标不治本，根源问题还没有排除。同时根据网上大神指导，发现将chrome.exe名称修改成firefox.exe打开chrome，主页依旧被篡改。将浏览器放到虚拟机里运行，发现并没有主页被篡改的现象。

    通过指标不治本的方法可以发现，流氓对于浏览器名称很敏感。对ie,edge,firefox,chrome等常见浏览器应该都可以被当做耍流氓的对象。再一次根据大神的文章做出了下一步应对措施。

    接下来就进入了解决问题的正常步骤，我尽量写得清楚，写得详细。

    1、第一个工具：Process Explorer

    使用Process Explorer查看google,firefox,ie，edge等浏览器的进程信息。发现了一个很大的问题。

    在command line:这一栏的尾部发现了流氓链接。（在此拜谢大神了，解决问题的过程中真的是涨姿势了。）

    于是正常的去了解command line是从哪里来的。再一次开始了涨知识，学能力的google之路。

    通过网上的资料学习，了解到，windows常见创建进程的api就是CreateProcess。同时了解到windows系统下双击某个软件图标进行软件启动时，Explorer.exe进程的一个线程会侦测到双击的操作，它会根据注册表的信息获取文件名，然后Explorer.exe以这个文件名调用CreateProcess函数。

    PS:有意思的事情来了，Explorer.exe是根据注册表的信息获取文件名。而刚好流氓也对名称敏感。

    于此同时，发现了一个有意思的事情。双击浏览器会弹出流氓页面。那通过命令行，或者任务管理器启动会不会也是一样的结果呢？并非如此。我试着用cmd命令行，和任务管理器启动浏览器，发现还是干干净净，无流氓。通过google了解到：在cmd以命令行启动软件，父进程是cmd.exe。在资源管理器或者桌面双击启动软件，父进程是Explorer.exe。也就是说，可能是父进程出了问题。也就是Explorer.exe出了毛病。刚好响应了上面的PS。

    目标再一次明确，去搞Explorer。

   网上查了一下Explorer: Windows程序管理器或者文件资源管理器,它用于管理Windows图形壳，包括桌面和文件管理。字面意思来看（可能我的理解有误，或者说法偏绝对）。Explorer应该是windows桌面下所有可双击运行程序的父进程。越陷越深。接下来我想知道Explorer到底怎么了。网上找到了反编译的工具。奈何，真的没有汇编功底。零零散散的能看懂一些常见的汇编指令。因为这些操作已经是上个月的事情了。所以详细步骤可能表述不清了。下面具体说一下思路和基本操作。提前打个预防针以上的这些操作最后都没用到。。。

 

    汇编看不太好，身边求助了一众伙伴，他们对于汇编的理解同我在一个水平。所以放弃了从汇编下手。在工具中查看explorer运行调用的dll和虚拟机中对比并没有发现差异。同理firefox,google等浏览器运行时调用的dll也没差异。到这里真的就头大了。于是不得不出下下之策。找到了火绒的官方运营人员，和他们交流了一下。从他们手里拿到了火绒的安全工具很小，下载下来直接运行，查出了大概3个病毒。清理，还我一个清净的世界。怕涉及侵权什么的，相关资源就不上传了。大家网上就能找到的。

总结

    这篇文章更新了有段时间。可能有些朋友看到文章前面和最后结尾的解决方法觉得大失所望。在此向读者们道歉了。

    1、还是对这种流氓操作嗤之以鼻，在捣鼓这个东西的这段时间里，网上看到了很多资料，据说是hao123搞了个什么联盟，总的来说就是刷流量的，从中获利。反查了一下hao123的成立历史，排除流氓这层，创始人确实挺叫人佩服。而且对于当时的网络大环境来说，hao123确实方便了一大部分人，当然放在现在也是，最起码我父辈的一代人还是喜欢hao123这一类的快捷导航。对于没有计算机基础知识的人来说，hao123还是有存在的必要。但是为了刷流量做的这一系列神奇的操作确实让人恶心，至少让我恶心。当然我们谁也不能确定这些流氓操作是不是高层授意，还是下面一些有技术无人品的专才钻空子搞的猫腻。

    2、感谢我被hao123流氓了。我本人和我博客的自我描述一样就是一个刚刚起步，甚至没起步的小蜗牛。已经25岁，虽然积攒了一些理论知识和操作手法。但是现在未从事相关工作，也零碎的七七八八。所以感谢hao123,从被劫持的那天起，抽空就看看资料，读一些相关文章。又让我学了很多东西。

    3、网上看过有网友在一些官方网站上投诉的，投诉具体结果怎么样，无从得知，但是还有很大一部分网友依然中招，投诉处理结果可想而知。对于网络监管，不便多说。

    4、建议那些有时间，有精力，又热衷于计算机技术，喜欢研究东西的大学生们，可以多花时间去搞搞，收获知识的同时，其乐无穷。

    5、最后建议如果有临近毕业，又有点功底，喜欢技术，父母支持，没有负担的同学。北上广深走一走，技术集中地走一走。莫做下下之选。追悔莫及。

    6、这篇文章没有任何广告的元素。不喜勿喷。欢迎交流！