Chrome主页被劫持
前两天发现自己打开chrome就会被定位到https://www.newduba.cn我以为是普通的主页不篡改 结果却发现不那么简单查看chrome的设置 主页设置正确这里我考虑是不是被hook了网上有人说是kernel32.dll的CreateProcess函数被添加了跳转命令CreateProcessA,CreateProcessW,CreateInternProcessW和CreateInternProcessA这些函数都好象是正常的接下来祭出神器 火绒剑启动chrome 扫描一下钩子!可以发现有这些钩子信息其中发现一个可疑的dll
dg3rdhmpg.dll把这个dll拽入od 果不其然发现如下关键词
对这些浏览器进行劫持 //业务还挺广泛将主页搜索栏 text进行修改 达到修改主页的效果我们修复这个钩子 强制删除这个dll
这样就万事大吉了吗 并没有我们现在通过主页的图标进行访问发现可以并没有被劫持 但通过任务栏进行访问还是会被劫持这是一个什么机理 我以为是在启动的时候 添加了命令行通过一顿折腾 发现了 通过任务栏启动的chrome 是通过一个dghm.exe的程序间接启动的我们分析这个程序 终于找到了你Kingsoft Corporation : 金山软件股份有限公司原来是雷猴子的流氓程序进一步分析 找到这是 驱动精灵的附属服务简单 卸载驱动精灵 或者卸载 dgserver这个服务
回到清爽的主页=-=最后更新于 2020-06-17 07:09:22
你将受到所有人的崇拜! 万万没想到 厉害了,老哥 虽然看的过程很快,但是鬼知道楼主经历了多久 雷猴子 哈哈 猴子是准备向2345学习了么{:6_197:} 试试看,现在的软件越来越流氓了 驱动精灵什么2345都会劫持浏览器了现在。 十分感谢大佬