记录一个首页劫持

最新推荐文章于 2023-04-11 01:45:57 发布
最新推荐文章于 2023-04-11 01:45:57 发布
阅读量2.1k 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bkxiaoc/article/details/51981882
版权

这几天老是碰到奇怪的莫名其妙的首页劫持发生,于是今天抽时间看了一下,首页被劫持到 2345 导航。


首先拿 PCHunter 扫了一下 网络相关的接口,并没有发现什么异常发生,看了一下驱动模块,也没发现特别奇怪的模块。


接着检查了一下 进程通知回调,也没发现什么特别的东西。


于是进一步检查 是不是 explorer进程被hook了。


果然钩子一扫就出来了。。


被挂钩的地方是 RtlCreateProcessParametersEx。这个函数。


这个函数用于创建进程过程中被调用来创建一个进程环境变量块。



关于这个函数可以看看 看雪的分析帖 http://www.pediy.com/kssd/pediy11/114611.html  不多说。


由于hook掉它可以 看到进程的  imagepath 以及 commandline 等参数,,修改掉 commanline 就可以带参数打开浏览器,于是就可以实现锁首了。


进一步打开 windbg_x64 。附加到 explorer上面 对这个函数下断点,跟入 就可以找到它的模块,由于模块 放在了 system32 目录下,且 加了vmp保护,所以这里不再进一步分析了,删掉模块,恢复钩子就行了。


本文主要是展示一种现行可用的锁首思路。

FadeTrack
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
NtCreateUserProcess 初探与玩法
stopys6的博客
09-13 284
/要注意的是我们每添加一个新属性,都需要将PS_ATTRIBUTE增大,因为调用RtlAllocateHeap要为PS_ATTRIBUTE分配足够的内存空间最后NtCreateUserProcess其实很多CreateProcess的项目,就比如ppid也有用CreateProcess写的,都可以加以改变改成用NtCreateUserProcess操作的,就可以把一个很简单的被查杀CreateProcess进行一个免杀保护了。(当然也不是都能改的具体情况具体分析)
html代码劫持教程,记录一次 JavaScript解密(跳转劫持代码)全过程
weixin_39811166的博客
06-07 2003
今天一位朋友给了我一段JavaScript跳转劫持代码,恰好这段JS跳转劫持代码被加密过了,需要进行 JavaScript解密 一下才会变成明文,JavaScript加密的代码如下:index.htmlbody{border: 0;margin: 0;padding: 0;height: 100vh;width: 100%;background: #fff;overflow: hidden;}['...
浏览器主页劫持
12-26
主页被锁定,无法还原,非常讨厌,就算按照网上一般方法重新设置,过半个小时还是出现问题
主页劫持该怎么办?解决主页劫持的方法
hua520064的博客
01-10 2722
主页劫持是一种恶意程序,通过浏览器插件、BHO(浏览器辅助对象)、Winsock LSP等形式对用户的浏览器进行篡改,使用户的浏览器配置不正常,被强行引导到商业网站。 所谓浏览器劫持是指网页浏览器(IE等)被恶意程序修改。 IIS7网站监控可以及时防控网站风险,快速准确监控网站是否遭到各种劫持攻击,网站在全国是否能正常打开(查看域名是否被墙),精准的DNS污染检测,具备网站打开速度检测功能,第一时间知道网站是否被黑、被入侵、被改标题、被挂黑链。精益求精的产品,缺陷为零数据提供! 它可以做到以下功能: 1、检
教你解决浏览器被360劫持篡改主页的麻烦
m0_73421035的博客
04-11 3万+
360呢作为国内首屈一指的安全卫士(病毒),真是无处不在。其流氓属性还是数一数二的。就算你电脑本地没有下载任何关于360的东西,但是你的浏览器还是可能会被360给劫持。出现该情况的原因是360导航的网址被设置为了默认的首页,这可能与你不小心点到了什么网页,或者下了一个被360入侵的软件等等都有可能。好了,不多吐槽,下面我来讲讲怎么有效解决这个麻烦。解决办法。
桌面浏览器被劫持,每次打开都是那个页面,让人很心烦……作为一个程序员我应该做点什么
sdf295953的专栏
09-29 354
无论什么浏览器,只要你放在桌面上,打开就会跳转到一个恶心的页面 但是你到浏览器的安装目录就没事。这种问题怎么解决呢? 作为一个程序员,我决定以毒攻毒 首先:把浏览器的安装目录添加到环境变量的path里面 保证你在打开cmd的时候,输入浏览器的名称能够运行浏览器 第二:自己做个程序,程序里面直接调用cmd的命令。 如果想要简单的话,你可以直接省略第一步。 ...
一个比较稳定的API劫持代码APIHookX86X64.rar
09-11
在标题“一个比较稳定的API劫持代码APIHookX86X64.rar”中,提及的是一个针对X86和X64架构的API劫持代码库。X86指的是32位处理器架构,而X64则指64位处理器架构。这个压缩包可能包含了一个稳定实现API Hooking的源码...
一种通用DLL劫持技术研究
11-29
- **修改PEB LDR Data**:每个进程都有一个进程环境块(PEB),其中包含了一个链接器数据表(LDR Data Table),记录了当前进程所加载的所有DLL的信息。通过修改这个数据表,可以改变`LoadLibrary`返回的模块句柄。...
cpp-pwnmbr一个简单的MBR劫持示范
08-16
【标题】:“cpp-pwnmbr一个简单的MBR劫持示范” 在计算机安全领域,MBR(Master Boot Record,主引导记录劫持是一种常见的攻击手段,它涉及到操作系统启动过程中的底层控制。"cpp-pwnmbr"项目是用C++语言编写的...
https劫持代理和数据包劫持代理例子程序
05-25
HTTPS劫持代理,通常发生在用户的网络流量经过一个恶意代理服务器时。攻击者会通过中间人攻击(Man-in-the-Middle, MITM)的方式,假装成合法的服务器或者客户端,获取并可能篡改通信中的数据。例如,攻击者可能会...
主页被WMI方法劫持的解救方法(带工具)
03-13
主页被WMI方法劫持的解救方法(带工具),解决疑难主页劫持的问题
主页劫持的浏览器再见了,被恶意劫持修改方法!
热门推荐
lowtian的博客
06-14 3万+
最近重装了一次电脑。尽管什么百度系的软件我都没有下载,Chrome浏览器的主页还是被硬生生劫持了。每次点开后的主页是hao.qquu8.com这个链接,紧接着它会跳向hao123。电脑上原装的其他浏览器(IE和Edge)也是这样,弄得每次打开浏览器就被恶心一下,很是恼火。 我们先来看看问题在哪。右键快捷方式查看属性: 哦,原来快捷方式被改了,后面加了一段url。把它删了试试? 还是不行,几分钟...
Hook exe 和 file
weixin_30616969的博客
08-16 811
c#拦截程序的运行 EasyHook + win7 64位 LocalHook.GetProcAddress("Kernel32.dll", "CreateProcess") 报异常找不到method LocalHook.GetProcAddress("Kernel32.dll", "CreateProcessW") 可以hook到部分程序的启动 Creat...
如何解决浏览器被网站劫持
军说网事
12-26 1万+
很多人在重装系统后都遭遇过浏览器被篡改为特定网页的经历,而7654无疑是篡改能力最强大的一种,可以说是一种劫持行为,下面为大家介绍如何彻底清除7654对浏览器的劫持
主页劫持
weixin_41732304的博客
08-03 420
最近由于下载随便下载软件我的电脑所欲浏览器都被劫持(except EDGE)。 开始界面和桌面的都很好解决,直接在文件夹内右键>属性 删除target里末尾的主页网址就可以了。 但是Taskbar里的弄了2,3个小时,找了很多办法都不可以。实际上很简单:shift+右键taskbar里的图标>属性>target 删除 ...
chrome 主页被篡改为hao123?技术宅带你层层深入破之
swazer_z
03-26 2万+
引用请注明出处:
为什么定期更新DNS记录可以防止DNS劫持
最新发布
06-07
定期更新DNS记录可以防止DNS劫持,因为DNS劫持攻击通常是通过篡改DNS记录来实现的。黑客可以通过各种手段获取DNS服务器的访问权限,然后修改DNS记录,将...因此,定期更新DNS记录是一种有效的防范DNS劫持攻击的方法。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值