这样情况属于主页劫持吗 chrome浏览器的?

发布网友 发布时间：2022-05-24 17:51

我来回答

共5个回答

热心网友 时间：2023-10-23 22:50

1、chrome设置？

对chrome中的启动时、外观属性都进行了修改，仍然没有解决问题。
<img src="https://pic4.mg.com/50/c4934bf010bea48b811258eaad0f3cbf_hd.jpg" data-rawwidth="837" data-rawheight="458" class="origin_image zh-lightbox-thumb" width="837" data-original="https://pic4.mg.com/c4934bf010bea48b811258eaad0f3cbf_r.jpg"/>

2、快捷方式中添加了参数？

发现不管是从桌面快捷方式还是直接点击exe文件，chrome主页都被篡改。这就排除了是在桌面快捷方式中的目标栏中添加了hao123网址的缘故。哎，查看一下桌面chrome快捷方式不就得了，整的这麽麻烦。囧。
<img src="https://pic1.mg.com/50/c08ba2010964ad2bd041eb343f1e7038_hd.jpg" data-rawwidth="366" data-rawheight="461" class="content_image" width="366"/>

3、chrome.exe被篡改或者chrome配置文件被修改?

将chrome的配置文件和可执行文件一同拷贝到虚拟机中，擦，在虚拟机中就没问题。说明问题不在chrome身上。

那会是什么问题呢？山重水复疑无路，柳暗花明又一村。转折来了，将chrome.exe重新命名后，再打开浏览器，主页就是设置的www.google.com.hk，这样就没问题了。测试一下，将firxfox.exe重命名位chrome.exe后，主页也被篡改位流氓导航页。看来chrome.exe是个关键词啊！一个解决方案就这样诞生了，太easy了吧。但是这里面到底隐藏着什么奥秘呢？继续整！

<二>我要看代码

1．  先上第一个利刃，microsoft旗下的Process Explorer。

查看chrome.exe的主进程信息如下，亮点就在下图中。
&lt;img src="https://pic1.mg.com/50/1689f0289790459e26e24d0e87d90874_hd.jpg" data-rawwidth="903" data-rawheight="329" class="origin_image zh-lightbox-thumb" width="903" data-original="https://pic1.mg.com/1689f0289790459e26e24d0e87d90874_r.jpg"/&gt;

小伙伴们一定看到了Command line下面的编辑框里有我们久违的流氓url吧。这个Comand
line是什么东东？

Windows下常见的创建进程的api就是CreateProcess，这个函数申明如下。
&lt;img src="https://pic4.mg.com/50/9a323005cc07f736f4fd12c4a165a1df_hd.jpg" data-rawwidth="746" data-rawheight="324" class="origin_image zh-lightbox-thumb" width="746" data-original="https://pic4.mg.com/9a323005cc07f736f4fd12c4a165a1df_r.jpg"/&gt;

其中的第二个参数，就是Command line，在我们这里就是chrome.exe应用程序的参数。该api的详细介绍在http://msdn.microsoft.com/en-us/library/windows/desktop/ms682425(v=vs.85).aspx。

现在的问题就是这个command line是谁传递给chrome.exe进程的？弄清楚这个问题之前，先要搞清楚，windows下，双击或者右键打开应用程序时，该应用程序进程是谁创建的？查阅资料发现，通过双击或者右键打开的应用程序进程都是由explorer.exe这个进程调用CreateProcess创建的。那么，我们的流氓url Command line 就一定是explorer.exe传递给chrome.exe。看来explorer.exe有问题了。测试一下，通过任务管理器中的创建新任务的方式启动chrome就没有流氓导航了。但是通过和虚拟机中的explorer.exe文件对比，发现主机和虚拟机中的两个文件完全相同。Exe运行时不光要加载自身的.exe程序文件，还要依赖一些动态库dll。是不是dll有问题。利刃2上场。

2、ollydbg闪亮上场。

用od加载explorer.exe运行，查看所依赖的dll。
&lt;img src="https://pic1.mg.com/50/94d0c04001c18cc6899916ba839c87fd_hd.jpg" data-rawwidth="910" data-rawheight="329" class="origin_image zh-lightbox-thumb" width="910" data-original="https://pic1.mg.com/94d0c04001c18cc6899916ba839c87fd_r.jpg"/&gt;

看到有几个可疑的非系统dll，QvodExtend.dll,
QvodWebBase.dll,按理说explorer.exe是不会依赖非系统dll的。想起来，网上说的卸载Qvod可以解决问题。这个怎么能说卸就卸呢？万万不可以的。

问题肯定是在调用CreateProcess之前出现的，在当前模块中查找调用CreateProcess的地方，一共有四个点，全部设置断点，然后调试explorer.exe进程？当然时调试失败了。~~~~（>_<）~~~~

但是重新加载explorer.exe运行，然后查看kernel32.dll的CreateProcess的代码发现了重要的问题。

下图就是kernel32.dll中的CreateProcess代码，尼玛不是说好了的CreateProcess将调用CreateProcessInternalW吗？这儿怎么上来直接 jmp     QvodWebB.10008B90？QvodWebB你要闹啥啊！！！
&lt;img src="https://pic4.mg.com/50/56ab58b4f88019ab9570214375c45003_hd.jpg" data-rawwidth="624" data-rawheight="560" class="origin_image zh-lightbox-thumb" width="624" data-original="https://pic4.mg.com/56ab58b4f88019ab9570214375c45003_r.jpg"/&gt;
看看下面这个正版的CreateProcess吧。
&lt;img src="https://pic4.mg.com/50/12bbf8cf2fe987f574e9cf96982874eb_hd.jpg" data-rawwidth="611" data-rawheight="561" class="origin_image zh-lightbox-thumb" width="611" data-original="https://pic4.mg.com/12bbf8cf2fe987f574e9cf96982874eb_r.jpg"/&gt;
至此，整个流程大致出来了。QvodWebBase.dll将kernel32.dll的CreateProcessW代码的前5个字节改为了一条jmp指令，改变了CreateProcess的正常执行流程。实际上，CreateProcessA,CreateInternProcessW,CreateInternProcessA都被注入了相应的跳转指令。

<三>深入巢穴

QvodWeb如何随explorer.exe加载，QvodExtend.dll, QvodWebBase.dll到底都做了些什么？先mark，后面接着整。

1.先看看QvodExtend.dll, QvodWebBase.dll都导出了些什么函数。

&lt;img src="https://pic3.mg.com/50/f001721d7591449edfc92ce397f2081a_hd.jpg" data-rawwidth="833" data-rawheight="296" class="origin_image zh-lightbox-thumb" width="833" data-original="https://pic3.mg.com/f001721d7591449edfc92ce397f2081a_r.jpg"/&gt;下面是QvodWebBase.dll导出的函数。可以看到有InstallWindowsHook钩子函数。

&lt;img src="https://pic3.mg.com/50/8a794913984d780f7ef326ca24570573_hd.jpg" data-rawwidth="829" data-rawheight="295" class="origin_image zh-lightbox-thumb" width="829" data-original="https://pic3.mg.com/8a794913984d780f7ef326ca24570573_r.jpg"/&gt;同时，用IceSword扫描时发现，QvodExtend.dll还是个BHO。

&lt;img src="https://pic4.mg.com/50/a985644ee77a0cb8cb5bcd67a16a0d3e_hd.jpg" data-rawwidth="1236" data-rawheight="300" class="origin_image zh-lightbox-thumb" width="1236" data-original="https://pic4.mg.com/a985644ee77a0cb8cb5bcd67a16a0d3e_r.jpg"/&gt;

同时，测试发现如果将QvodExtend.dll重命名后，就不会出现主页被篡改，同时explorer.exe也不会有QvodExtend.dll和QvodWebBase.dll模块。由此可以推断，QvodExtend.dll随explorer.exe或者ieplorer.exe启动时，会向系统注册QvodWebBase.dll中的钩子函数，接着再是加载QvodWebBase.dll时，该dll的DLLMain入口函数会向当前进程注入Jmp指令。

反汇编QvodExtend.dll代码可以发现，注册QvodWebBase.dll中的钩子函数的代码

&lt;img src="https://pic2.mg.com/50/dcf520216d63419ab3908197d0116e04_hd.jpg" data-rawwidth="1011" data-rawheight="579" class="origin_image zh-lightbox-thumb" width="1011" data-original="https://pic2.mg.com/dcf520216d63419ab3908197d0116e04_r.jpg"/&gt;至此，整个过程告一段落。
解决办法就是删除或者重命名QvodExtend.dll和QvodWebBase.dll。不知道会不会影响qvod,目前不得而知。

热心网友 时间：2023-10-23 22:50

Chrome主页设定被篡改

在地址栏中输入：chrome://settings/?search=主页，英文版将主页改为homepage，定位到主页设定，确认是否有勾选"显示主页按纽"及流氓网站的地址。如果有，可以修改主页地址或是关闭"显示主页按钮"，重启Chrome，确认问题是否解决，如没有解决，则继续。

使用360安全卫士主页修复工具

360安全卫士主页修复工具功能很强大，基本上可以解决常见的主页劫持问题。如果不喜欢360安全卫士，可以忽略这个方法。

Chrome快捷方式可能被篡改

在Chrome地址栏中输入: chrome://version，查看Chrome命令行中是否有流氓网站的地址？如果有，说明Chrome的快捷方式可能被篡改。

手动清除快捷方式问题

选择Chrome的快捷方式，右键菜单选择"属性"，打开属性设置窗口，选择"快捷方式"选项卡，看下目标中是否有流氓网页的地址？如果有则删除，点"确认"后重启Chrome，确认问题是否解决，如没有解决，则继续。

注：如果是钉在任务栏上的Chrome图标，则需要按两次右键属性才能打开属性设置窗口。

5

恶意插件重载了主页和新标签页

参考下面经验"如何禁用所有的Google Chrome扩展插件？"的描述，禁用可疑的插件，直到恢复正常。如问题没有解决，则继续。

热心网友 时间：2023-10-23 22:51

热心网友 时间：2023-10-23 22:52

打开chrome程序位置，一般是C:\Users\你的用户名\AppData\Local\Google\Chrome\Application

找到chrome.exe

右键重命名，改名为chrome-ba_sb.exe

必须关闭已经打开的chrome

删掉桌面的chrome图标，自己创建

热心网友 时间：2023-10-23 22:52