一
一剑封喉
Unregistered / Unconfirmed
GUEST, unregistred user!
最近有不少客户反映,当用户输入我们公司的网址后,会自动转向到另外一个竞争对手的网址上,我们分析,一定是竞争对手在用户的客户端做了一些手脚,可是不知道他怎么做,又该如何解决!有请高手帮助分析和说明一下,多谢 !!!!
您正在使用一款已经过时的浏览器!部分功能不能正常使用。
请尝试升级或使用 其他浏览器。
请尝试升级或使用 其他浏览器。
一
一剑封喉
Unregistered / Unconfirmed
GUEST, unregistred user!
最近有不少客户反映,当用户输入我们公司的网址后,会自动转向到另外一个竞争对手的网址上,我们分析,一定是竞争对手在用户的客户端做了一些手脚,可是不知道他怎么做,又该如何解决!有请高手帮助分析和说明一下,多谢 !!!!
Y
ysai
Unregistered / Unconfirmed
GUEST, unregistred user!
1.BHO 浏览器帮助对象
此方法只对IE有用
2.hosts文件
C:/WINDOWS/system32/drivers/etc/hosts
是个文本文件,可以直接转换域名为IP地址,优先于其它的域名解释过程,适应于所有域名访问
此方法只对IE有用
2.hosts文件
C:/WINDOWS/system32/drivers/etc/hosts
是个文本文件,可以直接转换域名为IP地址,优先于其它的域名解释过程,适应于所有域名访问
一
一剑封喉
Unregistered / Unconfirmed
GUEST, unregistred user!
ysai兄,多谢您的帮助,能够详细点说明,比如怎样实现的这样功能,非常感谢!
W
woshisunyi
Unregistered / Unconfirmed
GUEST, unregistred user!
听课,想了解下。
X
xygz
Unregistered / Unconfirmed
GUEST, unregistred user!
在上文提到的文件里加这么一条,可以把sohu转向到大富翁:
222.39.0.130 www.sohu.com
这个IP地址是大富翁的地址
222.39.0.130 www.sohu.com
这个IP地址是大富翁的地址
Y
ysai
Unregistered / Unconfirmed
GUEST, unregistred user!
BHO的资料GOOGOLE上一搜索一打把,hosts文件只需要你去写个文本文件,还需要什么详细的??
一
一剑封喉
Unregistered / Unconfirmed
GUEST, unregistred user!
ysai兄,多谢您的帮助,现在是问题出现了,我该怎么处理这件事情。找到潜入这台机器的木马呢。
我看了bho的资料,下载了一个HijackThis工具,可是我查询完之后看查询日志后,不知道,哪个是造成这种现象的木马。还请多多帮忙呀
我看了bho的资料,下载了一个HijackThis工具,可是我查询完之后看查询日志后,不知道,哪个是造成这种现象的木马。还请多多帮忙呀
S
satanmonkey
Unregistered / Unconfirmed
GUEST, unregistred user!
一个一个删除了试试
Y
ysai
Unregistered / Unconfirmed
GUEST, unregistred user!
那就看经验了,BHO都需要注册,在注册表下面这个子键中:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects
把里面的子键都删除都没事
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects
把里面的子键都删除都没事
一
一剑封喉
Unregistered / Unconfirmed
GUEST, unregistred user!
谁能告诉我该怎样有步骤的发现这个木马,高手们帮忙呀!!!!
文
文生
Unregistered / Unconfirmed
GUEST, unregistred user!
请高手赐教,我也想知道,谢谢!
一
一剑封喉
Unregistered / Unconfirmed
GUEST, unregistred user!
文生兄弟,你也遇到这个问题了吗
Y
ysai
Unregistered / Unconfirmed
GUEST, unregistred user!
如果是BHO
比如,在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/
下有个子键:
{AA58ED58-01DD-4d91-8333-CF10577473F7}
那么在
HKEY_CLASSES_ROOT/CLSID/
下也会有个子键
{AA58ED58-01DD-4d91-8333-CF10577473F7}
它下面有个InprocServer32子键,默认值就是注册BHO的文件,先删除注册表再删除文件就行了
比如,在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/
下有个子键:
{AA58ED58-01DD-4d91-8333-CF10577473F7}
那么在
HKEY_CLASSES_ROOT/CLSID/
下也会有个子键
{AA58ED58-01DD-4d91-8333-CF10577473F7}
它下面有个InprocServer32子键,默认值就是注册BHO的文件,先删除注册表再删除文件就行了
一
一剑封喉
Unregistered / Unconfirmed
GUEST, unregistred user!
ysai兄,可是我发现你说的两个地方,qq,flashget,PDF Reader都有子键盘呀
你的意思是不是要一个个来查看,如果感觉不对的文件就删除掉,是这样吗?
还有如果是BHO,那么它肯定会在这两个地方存在吗?多谢您的指教!
你的意思是不是要一个个来查看,如果感觉不对的文件就删除掉,是这样吗?
还有如果是BHO,那么它肯定会在这两个地方存在吗?多谢您的指教!
S
satanmonkey
Unregistered / Unconfirmed
GUEST, unregistred user!
bho是一定要在那里注册了,否则加载不了
另外一个办法,在internet选项/高级里面把“启用第3方浏览器扩展”关了。
另外一个办法,在internet选项/高级里面把“启用第3方浏览器扩展”关了。
Y
ysai
Unregistered / Unconfirmed
GUEST, unregistred user!
很多软件都利用了BHO技术,我上面举的例子就是GOOGLE的BHO.
它的名字在
HKEY_CLASSES_ROOT/CLSID/{AA58ED58-01DD-4d91-8333-CF10577473F7}/@
值为
Google Toolbar Helper
一般从这里可以看出BHO是什么东西,当然,恶意BHO不一定会有名字的,只能通过观察来区分.
BHO一定会在注册表的这两个地方有记录,否则IE就不会加载它们.
虽然它叫Browser Helper Object,但从注册表中的位置可以看出,它存在于HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer,BHO也可以被Explorer加载,这是写BHO的问题了.
它的名字在
HKEY_CLASSES_ROOT/CLSID/{AA58ED58-01DD-4d91-8333-CF10577473F7}/@
值为
Google Toolbar Helper
一般从这里可以看出BHO是什么东西,当然,恶意BHO不一定会有名字的,只能通过观察来区分.
BHO一定会在注册表的这两个地方有记录,否则IE就不会加载它们.
虽然它叫Browser Helper Object,但从注册表中的位置可以看出,它存在于HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer,BHO也可以被Explorer加载,这是写BHO的问题了.
爱
爱元元的哥哥
Unregistered / Unconfirmed
GUEST, unregistred user!
hook gethostbyname函数 或者 hook 53端口,修改dns数据包
优
优忧
Unregistered / Unconfirmed
GUEST, unregistred user!
呵呵,楼上的太费劲了。
一
一剑封喉
Unregistered / Unconfirmed
GUEST, unregistred user!
多人接受答案了。