cmdline 劫持浏览器如何排查？

0x003 · 发表于 2023-12-28 20:04

最近遇到一个cmdlin劫持浏览器的情况，大致是启动iexplore.ext 通过Process Explorer 查看到cmdline 后面加了一个劫持的域名，但是注册表没有任何相关信息，怀疑是驱动加载或者是其它不了解的情况，有师傅遇到过这种情况或者知道该如何排查的吗？

HJVMware15 · 发表于 2023-12-31 17:48

本帖最后由 HJVMware15 于 2023-12-31 17:50 编辑

你好，面对计算机的问题，还请麻烦排查出现劫持的时间和原因，才能对症下药
如果没有什么特殊有用的信息的话，可以试一试装个杀毒软件全盘查杀，或者用ARK工具稍微看看有没有值得关注的点

0x003 · 发表于 2024-1-2 16:43

本帖最后由 0x003 于 2024-1-2 16:50 编辑

HJVMware15 发表于 2023-12-31 17:48
你好，面对计算机的问题，还请麻烦排查出现劫持的时间和原因，才能对症下药
如果没有什么特殊有用的信息的 ...

这个应该是通过该流氓软件捆绑释放的，劫持浏览器跳转，目前火绒23年12月份的最新版以及木马专杀都是扫不出来的。看样子是个老病毒，只要浏览器改个名字就劫持不了，但是通过火绒剑也没看到它前面有什么进程对浏览器有什么动作，注册表也没有任何东西，涉及到我的知识盲区了，看到过一写类似劫持的文章吗，例如：https://www.dujin.org/17023.html 但方法都不起作用，火绒剑都排查了一遍，ieplorer.exe 启动加上cmdline之前没有其他进程对它有动作，这位师傅还有什么其他思路吗？

HJVMware15 · 发表于 2024-1-2 22:36

本帖最后由 HJVMware15 于 2024-1-2 22:40 编辑

0x003 发表于 2024-1-2 16:43
这个应该是通过该流氓软件捆绑释放的，劫持浏览器跳转，目前火绒23年12月份的最新版以及木马专杀都是扫不 ...

回复已经仔细看完了，这里文字不大好描述，本人也没遇到过浏览器劫持的问题，推荐可以联系一下火绒那边的工程师。有任何问题火绒不能解决的，那边的专业工程师会仔细回复的（本人亲测完全可行）。

0x003 · 发表于 2024-1-3 09:24

HJVMware15 发表于 2024-1-2 22:36
回复已经仔细看完了，这里文字不大好描述，本人也没遇到过浏览器劫持的问题，推荐可以联系一下火绒那边的 ...

好好好，全都是推荐火绒工程师，哈哈哈哈哈，大部分这类劫持全是推荐火绒工程师

HJVMware15 · 发表于 2024-1-8 12:32

在？针对你这个情况，我问了一个熟悉的专门解决流氓行为的同行，你要不要看看？
说法和网上有一点出入

0x003 · 发表于 2024-1-9 13:21

HJVMware15 发表于 2024-1-8 12:32
在？针对你这个情况，我问了一个熟悉的专门解决流氓行为的同行，你要不要看看？
说法和网上有一点出入

可以呀，还望老哥赐教

Lazycat1024 · 发表于 2024-1-9 13:58

大部分情况下只是安装一些软件的时候把你快捷方式改了，如果不反复被篡改就问题不大，反复被篡改可以用卡巴斯基的扫描工具查杀看看

0x003 · 发表于 2024-1-9 14:49

Lazycat1024 发表于 2024-1-9 13:58
大部分情况下只是安装一些软件的时候把你快捷方式改了，如果不反复被篡改就问题不大，反复被篡改可以用卡巴 ...

改的不是快捷方式，它更像是监听启动了iexplorer.exe 就会在cmdline 后面加上其它启动参数，跳转劫持

Summer000 · 发表于 2024-1-10 16:39

遇到这种情况，试试这几种办法：

1、使用 Autoruns 或者类似的工具检查启动项、服务和驱动，查找是否有未知的或者可疑的项。

2、检查浏览器的扩展和插件，确认是否有未知的或者可疑的插件安装在浏览器中。

3、可以使用 Wireshark 或者 Fiddler 等网络抓包工具，查看是否有异常的网络请求。

帐号		自动登录	找回密码
密码			注册[Register]

cmdline 劫持浏览器如何排查？

个人中心