|
大家好,我是究极工具人老猫。实不相瞒,过去的两周内,我的电脑浏览器被劫持了十多次,心态被彻底搞崩的同时,我也被动学会了很多破解主页劫持的方法。 在又一次跟某毒霸主页战斗了一整天并艰难取胜后,我觉得是时候写一篇根据自身经验总结的的主页抢救教程了。接下来,我会尽量以简洁的语言、使用易于操作的工具讲述几种经典的劫持套路和应对方法,希望能帮助您挽回干净清爽的主页。  1.必要的准备工作假设现在我们面前有一台被劫持主页的电脑,在开始之前,我们需要做一些必要的准备工作。
这一步是至关重要的——攘外必先安内,一定要核实主页是不是被你所掌管的杀毒软件“垄断”了。如果是,请在主页锁定工具中更改网址或取消锁定。不同的杀毒软件操作流程大同小异,下面我以毒霸为例给出示范: 
在排除了浏览器劫持是“内鬼所为”的可能性后,接下来需要核实当前浏览器内部的设置状态——如果浏览器内部主页设定和实际显示一致,说明你的电脑并没有真正“中毒”,或者说“病毒”对主页的篡改方式是用户级别的。这就很好解决了,直接按常规方法将主页修改即可,方法同下面这个被篡改主页的Chrome浏览器类似:  OK,如果排除了杀毒软件“监守自盗”和中了“假病毒”的可能,接下来就可以开始杀毒了。 2.静态主页劫持首先来介绍第一种常见的劫持——静态主页劫持,其实这个名字是我自己瞎起的,作为一个被劫多了的普通用户,如果定义不严谨还请专业大佬勿怪。 那啥叫静态主页劫持呢?通俗点讲,就是在你的浏览器快捷方式属性栏中.exe后增添了一个固定不变的网址后缀,比如www.2x45.com、www.hao12x.com。  无论你设置的主页是什么,只要你双击打开这个快捷方式,浏览器的第一个网页永远是这个不变的网址。下面我以这个Chrome为例作出示范:  这个有点“灯下黑”的意思——只要你没有留意或者见到过类似的套路,就算装十个杀毒软件,扫描一百次磁盘也解决不了。所以如果看到你的浏览器主页有类似后缀,直接删除.exe后边的网址,然后重启浏览器就OK了。 如果过几天后缀网址又被加回来了,那就回忆一下最近有没有安装相关的软件,如果被劫持到2345,就回忆一下有没有装全家桶的成员;如果被劫持到毒霸网址大全,就回忆一下有没有装金山系的软件;最后,回忆一下最近有没有安装破解工具、高速下载器之类的。如果有,请卸载,因为定时篡改主页文件一定在最近安装的软件中。 2.病毒文件劫持这个名字也是我自己起的,高大上的理论我就不多说了(因为我也是个半吊子),就直接上实战了。 首先,按“Ctrl+Alt+Del”组合键调出任务管理器,点击“应用程序——新任务”,在弹出的运行窗口中输入被劫持浏览器的进程名。如果你不知道,就先通过桌面快捷方式打开浏览器,然后在任务管理器中寻找对应的名字:比如IE浏览器叫iexplore.exe、chrome浏览器叫chrome.exe。  我分别以这两个被毒霸劫持的浏览器为例示范:  如果你的电脑通过任务管理器打开主页显示正常,那恭喜你,已经可以确诊了。 右键单击打开浏览器属性——选择打开文件位置——找到磁盘中的浏览器.exe文件——右键将其改名——发送到桌面快捷方式,也就是说只需当前浏览器的名字改掉,病毒文件就无法锁定浏览器进程,从而无法修改主页。下面是示范:  如果您的目标是抢回被篡改的主页使浏览器正常使用,那么就不需要再往下看了。
使用进程分析工具Processexplorer,这是一款可以追踪Windows进程附加依赖项的分析工具,直接百度下载安装即可。  以被劫持的Chrome.exe为例,首先将其打开,在Processexplorer中寻找该进程附加的依赖项。 具体过程如下图:  第一步:在Chrome.exe的依赖项中寻找有无可疑.dll后缀项,如果有根据磁盘位置找到并删除。 第二步:在Explorer.exe的依赖项中寻找有无可疑的.dll后缀项,这里几乎是百分百有的,因为Explorer.exe就是Windows桌面程序,我们已经试验过从桌面意外打开浏览器是不会被劫持的,所以一定有.dll文件对桌面下手。 第三步:右键选中Explorer.exe,选择“Restart”,也就是重启桌面,然后重启Chrome浏览器,打开后发现主页恢复正常。  怎么判断可疑呢?很简单,凡是windows/win32中的dll文件都是系统库文件,嫌疑较小可以排除。剩下的.dll文件都可以通过路径判断是属于哪个软件的,比如我的电脑上除了系统文件就是百度输入法和kingsoft路径下的文件,已知kinsoft文件夹下安装的都是金山系的产品,直接在磁盘中删除这几个可疑dll,然后重启桌面程序和浏览器,发现主页恢复正常了。 其它浏览器的查找过程也类似:打开浏览器——找到浏览器进程排查可疑项——排查桌面进程Explorer.exe的可疑项——全部删除——重启桌面浏览器。
|
|
|
