实验目的

掌握windows下驱动级病毒处理过程

实验环境

一台windows server 2012 r2 ,浏览器被首页劫持。无法更改。

实验原理

通过驱动级工具,发现驱动级病毒。清除病毒,恢复系统。

实验步骤

一、观察劫持现象

1、打开桌面上的chrome浏览器

发现浏览器首页域名为hp1.dhwz444.top

然后快速的会跳转到 hao123.com

2、打开IE浏览器

点击开始

点击IE浏览器


发现首页同样被劫持

二、尝试手动恢复浏览器首页

打开IE设置

选择Internet选项

使用新选项卡

关闭IE浏览器

再次打开IE浏览器,首页依然被劫持。

三、检查系统驱动

1、使用微软套件autoruns工具

打开桌面tools文件夹,打开autoruns64.exe

同意申明

autoruns打开后会列出系统所有的开机加载项。 重点关注红色项、黄色项,或签名有问题的项

如图,红框,标注的部分,显示为(Not verifiedt)Microsoft Corporation,说明这两个声称是微软的文件,但并没有获取微软的签名。

尝试删除这两个文件。

删除后刷新页面,发现这两个链接仍然存在。

再次删除,提示标记为已删除

四、重启计算机,看能否删除上面两个驱动级服务。

再次打开autoruns ,观察发现仍然存在这两个服务。可以推定这两个服务一定是“非正常的”

五、尝试删除文件

右键,选择jump to image,打开文件路径

发现无法直接看到文件

打开windows的隐藏文件与系统文件显示

查看 选项

如图设置

文件夹仍然为空。

此时可以断定此驱动服务为恶意程序。 且hook了系统的api,隐藏自身。

六、使用驱动级工具PC HUNTER进行对抗

打开桌面PCHunter工具

查看驱动模块

可以发现PCHunter 检查驱动模块时,并没有校验签名,只是查看了文件信息。

记住这两个文件的路径,C:\USER\Administartor\AppData\Local\Microsoft\WindowsApps\

浏览文件,定位到这个路径

删除文件

观察发现无效 ,选中文件后,右键 “删除后阻止文件再生”

强制删除

强制删除目录

再次重启系统。

打开IE浏览器或chrome浏览器,首页已经恢复正常

到此,我们解决了病毒的释放驱动,及其启动文件的删除。

接下来,进行注册表信息的清理,因为已删除相关文件,病毒对注册的表保护也没有了,直接删掉即

打开autoruns,删除相关注册表信息即可。

实验总结

本实验,通过windows提供的atuoruns 发现驱动级病毒, 通过pchunter进行驱动级查找删除。

当然本实验只是对病毒进行了初步的处理工作,没有深入分析病毒来源与病毒是否清楚干净。

每个工具都有自己不同的特点,但想充分使用这些工具,还需要更多的了解操作系统基础知识。

浏览器劫持(病毒)事件处置相关推荐

  1. 手动查杀浏览器劫持病毒

    文章目录 察觉到病毒 病毒行为分析 病毒查杀 病毒分析 总结 察觉到病毒 很早前入手了个平板电脑,型号是台电 Tbook 16 Pro (E5C9),没装杀毒软件,使用了半年没察觉有什么问题.结果最近 ...

  2. 3601lpk.dll劫持病毒分析

    1.样本概况 1.1 样本信息 病毒名称:3601-lpk劫持病毒 所属家族:Trojan-DDoS.Win32.macri.atk MD5值:B5752252B34A8AF470DB1830CC48 ...

  3. 助手的反叛——全面分析浏览器劫持的情况(转)

    一. 谁误导了浏览器 今天是大年初二,王先生家中来了许多客人,把平时埋头于工作的王先生弄了个手忙脚乱,由于客人带来的几个小孩子嚷嚷着要出去上网,王先生只好把寝室里的电脑让给了这一群孩子玩,好容易到了晚 ...

  4. 跟零计算机基础的房东女儿讲了一下午的中间人劫持京东事件后,她感激涕零,决定给我免除房租...

    2020年蝙蝠纪元,二毛一如往常的呆在家中,不敢外出去浪. 为排解心中之闷,二毛抽了一口老烟,熟练的打开了全球最大的同性交友网站,准备假装了解下最近流行的项目... 只听啪的一声回车键,哪知浏览器蹦出 ...

  5. 浏览器劫持定义及危害、处理浏览器被劫持自动跳转到某个网页的修复教程

    浏览器劫持是一种恶意程序,通过浏览器插件.BHO(浏览器辅助对象).Winsock LSP等形式对用户的浏览器进行篡改,使用户的浏览器配置不正常,被强行引导到商业网站. 所谓浏览器劫持是指网页浏览器( ...

  6. Mac Safari, Chrome 浏览器劫持 SearchSystem Search 恶意插件移除 尝试Brave浏览器

    这年头,不仅要会找bug,还得会找病毒!近一段时间,我的Chrome和Safari浏览器双双被劫持,真是日了狗了! 文章目录 1 浏览器劫持症状 2 怎么办?不慌 2.1 解决问题三部曲 2.2 杀毒 ...

  7. 防劫持工具,介绍几款浏览器劫持修复工具

    相信很多人都会自己设定浏览器的主页,但是有时候,我们会发现打开自己浏览器设置好的主页,结果被莫名其妙的跳转到其他的网址,这种情况大多是浏览器劫持.遇到这种情况,即使锁定主页也没法解决,我们可以借助浏览 ...

  8. 浏览器主页被劫持的解决办法、浏览器劫持是什么意思

    有些流氓网页为了推广自己,给一些唯利是图的人一点小钱,他们就把做的软件加上了这个鬼网页!而利用一些卑鄙的手段,使用户无法更改浏览器主页!不妨直言,今天就遇到了该死的hao123,怎么修改主页都改不掉. ...

  9. 一个EXE引发的危机 — 浏览器劫持实战篇

    一个EXE引发的危机 --浏览器劫持实战篇 作者:小金 转载请注明出处和作者 一. 一个EXE引发的危机 网络程序员小李最近有点忙,公司要做的网页工程项目已经快到尾期了,可是开发小组的进度仍然迟迟跟不 ...

  10. Hijackthis浏览器劫持日志精解_网络安全日志,还我蓝色天空(转载)

    Hijackthis浏览器劫持日志精解       作者:网络安全日志( www.nslog.cn )       日期:2006/9/29     ( 转载请保留此申明) 一.简介        H ...

最新文章

  1. python 之socket 网络编程
  2. nginx处理web请求分析
  3. 【2018.4.14】模拟赛之三-ssl2393 单元格
  4. java蓝桥暑假班_Java实现 蓝桥杯VIP 算法提高 班级排名
  5. leetcode348. 判定井字棋胜负 好麻烦的代码
  6. 计算机科学考试题目,附录A 计算机科学与技术学科综合考试人工智能真题
  7. 一道算法题:等价类思想在计数中的应用
  8. ios中webview的高级用法(二)
  9. idea安装axios
  10. java 使用 ehcache_Java Ehcache简单使用
  11. 《基于PAM4调制的50Gbit_s_BIDI光模块设计_陈春山》论文错别字
  12. 未来职业世界的三种人
  13. 受损固态硬盘(SSD)数据恢复方法(福利:固态硬盘免费恢复数据)
  14. 我的第一款(ban)产(cheng)品(pin)——铛铛打卡
  15. java弹窗设置为不可关闭_javascript实现无法关闭的弹框
  16. python: pc端QQ窗口发送多条消息
  17. Stata面板:Granger-因果检验
  18. 0英文基础能学计算机编程么,我零基础,英语和数学都不好,能学会编程吗?...
  19. 问题 A: 电路维修
  20. 网络安全应急响应-电子数据取证技术

热门文章

  1. Python模糊匹配 | 刷英语六级段落匹配只需要3秒?
  2. 从你的全世界路过(张嘉佳)
  3. 1513_人月神话阅读笔记_再论没有银弹
  4. 怕扫描王泄露数据?5分钟自建一个文档扫描器。——基于opencv
  5. The view Myapp.views.welcome didn‘t return an HttpResponse object. It returned None instead.
  6. opcode加密php代码,总结Opcode缓存和PHP代码的加密
  7. 手机端分页 php,网站开发-php开发手机论坛(9)-分页显示评论
  8. 在线考试系统的时间控制(倒计时)
  9. php调用ua_PHP判断判断UA:检测客户端是手机或电脑
  10. 003 C语言 输出名言