浏览器劫持（病毒）事件处置

实验目的

掌握windows下驱动级病毒处理过程

实验环境

一台windows server 2012 r2 ，浏览器被首页劫持。无法更改。

实验原理

通过驱动级工具，发现驱动级病毒。清除病毒，恢复系统。

实验步骤

一、观察劫持现象

1、打开桌面上的chrome浏览器

发现浏览器首页域名为hp1.dhwz444.top

然后快速的会跳转到 hao123.com

2、打开IE浏览器

点击开始

点击IE浏览器

发现首页同样被劫持

二、尝试手动恢复浏览器首页

打开IE设置

选择Internet选项

使用新选项卡

关闭IE浏览器

再次打开IE浏览器，首页依然被劫持。

三、检查系统驱动

1、使用微软套件autoruns工具

打开桌面tools文件夹，打开autoruns64.exe

同意申明

autoruns打开后会列出系统所有的开机加载项。 重点关注红色项、黄色项，或签名有问题的项

如图，红框，标注的部分，显示为（Not verifiedt）Microsoft Corporation，说明这两个声称是微软的文件，但并没有获取微软的签名。

尝试删除这两个文件。

删除后刷新页面，发现这两个链接仍然存在。

再次删除，提示标记为已删除

四、重启计算机，看能否删除上面两个驱动级服务。

再次打开autoruns ，观察发现仍然存在这两个服务。可以推定这两个服务一定是“非正常的”

五、尝试删除文件

右键，选择jump to image，打开文件路径

发现无法直接看到文件

打开windows的隐藏文件与系统文件显示

查看 选项

如图设置

文件夹仍然为空。

此时可以断定此驱动服务为恶意程序。 且hook了系统的api,隐藏自身。

六、使用驱动级工具PC HUNTER进行对抗

打开桌面PCHunter工具

查看驱动模块

可以发现PCHunter 检查驱动模块时，并没有校验签名，只是查看了文件信息。

记住这两个文件的路径，C:\USER\Administartor\AppData\Local\Microsoft\WindowsApps\

浏览文件，定位到这个路径

删除文件

观察发现无效 ，选中文件后，右键 “删除后阻止文件再生”

强制删除

强制删除目录

再次重启系统。

打开IE浏览器或chrome浏览器，首页已经恢复正常

到此，我们解决了病毒的释放驱动，及其启动文件的删除。

接下来，进行注册表信息的清理，因为已删除相关文件，病毒对注册的表保护也没有了，直接删掉即

打开autoruns,删除相关注册表信息即可。

实验总结

本实验，通过windows提供的atuoruns 发现驱动级病毒， 通过pchunter进行驱动级查找删除。

当然本实验只是对病毒进行了初步的处理工作，没有深入分析病毒来源与病毒是否清楚干净。

每个工具都有自己不同的特点，但想充分使用这些工具，还需要更多的了解操作系统基础知识。