吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 15685|回复: 23
收起左侧

[PC样本分析] 一个注册表锁IE主页 360 管家都改不了(解密)

  [复制链接]
Jr丶新一 发表于 2015-4-5 20:11
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 Jr丶新一 于 2015-4-6 10:57 编辑

提示:本文无技术含量 大神路过头晕恶心者请点右上角

发出来的目的是为了让不懂电脑主页被锁定的朋友修改回来(也不是针对所有的主页锁定  劫持 )

论坛那个暴风锁定2345的那个我一直没搞懂还在研究


正题:

我的IE锁定的是QQ导航 打开IE主页默认为我设置的主页(不要说我是手动开百度的 没意思 你可以试试就知道了)


QQ图片20150405195058.png

管家上面也是QQ勋章墙锁定的。

QQ图片20150405195709.png

那么我们看一下这个注册表吧

关键两行 上面一行不知道是不是检测打开主页操作
然后第二步就会打开你设置的主页


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{55801036-5840-9093-4509-524111979309}\Shell\Open]
@="打开主页(&H)"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{55801036-5840-9093-4509-524111979309}\Shell\Open\Command]
@="\"C:\\Program Files (x86)\\Internet Explorer\\iexplore.exe\"
http://baidu.com"




那么怎么样查找他
win+R输入regedit 然后ctrl+F搜索一下baidu.com 就会出现(这也是大部分主页的锁定方法我目前见到的 当然那位发暴风锁定主页的应该属于另类劫持 这种方法只针对小白有用 懂一点电脑的都知道怎么样 所以大神们不要喷我  谁不是从什么都不懂走过来的 )

看一下吧
这就是下面注册表添加的项

QQ图片20150405200350.jpg

就不弄下载了吧人人都看看  复制代码输入到TXT然后另存为reg后缀
双击添加到注册表
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{55801036-5840-9093-4509-524111979309}]
@="Internet Explorer"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{55801036-5840-9093-4509-524111979309}\DefaultIcon]
@="C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{55801036-5840-9093-4509-524111979309}\Shell]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{55801036-5840-9093-4509-524111979309}\Shell\Open]
@="打开主页(&H)"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{55801036-5840-9093-4509-524111979309}\Shell\Open\Command]
@="\"C:\\Program Files (x86)\\Internet Explorer\\iexplore.exe\"
http://52pojie.cn"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{55801036-5840-9093-4509-524111979309}\Shell\属性]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{55801036-5840-9093-4509-524111979309}\Shell\属性\Command]
@="Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{55801036-5840-9093-4509-524111979309}\ShellFolder]
"Attributes"=dword:00000000


打字不容易纯手写   希望大家遇到不知道是否安全的软件到虚拟机里面运行试试再到本机运行

锁定主页虽然没什么但是有些非正常手段还是让人很不舒服


也不知道那种让所有浏览器打开主页都是设定的网址是怎么做到的 慢慢研究一下 估计也是差不多
虚拟机下载地址:http://down.52pojie.cn/Tools/Other/%e5%90%be%e7%88%b1%e7%a0%b4%e8%a7%a3%e8%ae%ba%e5%9d%9b%e7%a0%b4%e8%a7%a3%e4%b8%93%e7%94%a8%e8%99%9a%e6%8b%9f%e6%9c%ba/

有热心的大大可以赏一点吗~


补充  运行msconfig 查看服务和启动项异常的钩钩去掉然后应用 (也许那个就是劫持浏览器的进程)


免费评分

参与人数 7吾爱币 +1 热心值 +7 收起 理由
小滕求解 + 1 + 1 热心回复!
冰封尘埃 + 1 谢谢@Thanks!
atuonce + 1 热心回复!
tianshanpiao + 1 我很赞同!
244718339 + 1 我很赞同!
赖哥 + 1 鼓励转贴优秀软件安全工具和文档!
iopen + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

ii丶BigBreast 发表于 2015-4-5 20:20
表示不用IE
iopen 发表于 2015-4-5 20:15
赖哥 发表于 2015-4-5 20:14
 楼主| Jr丶新一 发表于 2015-4-5 20:23
@Peace  谢谢管理提醒
 楼主| Jr丶新一 发表于 2015-4-5 20:21

我还是比较喜欢IE的
tenhand 发表于 2015-4-5 20:29
谢谢分享
258239234 发表于 2015-4-5 22:58
我也遇到过,后来给软件卸载,修改就行了
聆听. 发表于 2015-4-5 23:20 来自手机
那个暴风是个啥软件来着,还能记得吗
Monitor 发表于 2015-4-6 10:06
只针对桌面的那个IE图标有效?
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-28 20:02

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表