码迷,mamicode.com
首页 > 其他好文 > 详细

跟WMI过招

时间:2015-09-07 01:46:44      阅读:159      评论:0      收藏:0      [点我收藏+]

标签:

其实跟WMI不打不相识,最初是因为今晚上不小心从某软件站里下载了某所谓绿色软件,Firefox被挟持首页到360上网导航了,有问题本身并不可怕,重要的是解决过程,

因此我按照正常排查问题的顺序:

1.首先在Firefox中打开about:config标签页,然后看到browser.startup.homepage==about:home,说明火狐软件内部配置并没有被改变。

2.那么就有可能是他给我安装了某个插件吗?抱着怀疑的态度我进入Firefox安全模式下查看about:addons发现并没有什么可疑的plugin被安装上。

3.那么问题就落在了程序启动参数上了,果然在Desktop和Taskbar上的Firefox图标上都被加入了后缀,可是在修改任务栏中的快捷方式的时候提示没有权限修改,那么立即找到 C:\Users\username\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar 将隐藏中的Firefox快捷方式删除,重新创建快捷方式固定到任务栏搞定~

4.如果你看到这里以为就这么容易的话,那你就大错特错了;使用任务栏上的快捷方式打开依然会跳转到首页360上网导航,右键查看快捷方式的属性又被加入了后缀参数。。。

5.难道有木马程序进程在运行使用钩子在我新增快捷方式到任务栏时触发加入后缀的事件吗?我调出任务管理器,把所有可疑的进程和服务都关了,依然不解决问题,我顿时呆了像一休一样摸了摸脑袋希望能想到些什么。

6.如果不是后台进程在运行 难道是有dll挟持了我的explore.exe吗?真要是这样的我就真的只能重装系统了哇,立刻检查了这些exe和所依赖dll的修改时间发现并没有变化,而且签名都是Microsoft的应该不会错的吧,这种最可怕的情况算是排除了。

7.解决不了,求助于万能的互联网吧,网上看到有一些人建议顺其自然就用360上网导航呗,还有些人说安装360急救箱可以修复浏览器主页,我呸**(此处省略1000字)

都是程序员,何必做的这么绝呢?不行,我坚决不认输,一定要揪住元凶!

8.找到一篇文章和我的遭遇比较类似,虽然他是被挟持到某游戏网站上,可能并不是同一个恶意组织所为,但是他说是每半个小时快捷方式被加入一次后缀,而我是每次新增快捷方式并固定到任务栏上就触发,就几乎可以判断我这个可能采用了相同的方式。文章中所提到的解决方案是安装 WMI Event Viewer:http://www.microsoft.com/en-us/download/details.aspx?id=24045然后remove或者unregister其中恶意的event,通过翻阅相关资料了解到WMI(Windows Manufacturer Identifier)是Windows系统的一个类似插件的东西,方便不同的语言或者工具、脚本程序调用统一规范的WIN API。而同样这个WMI是一项核心的Windows管理技术,WMI作为一种规范和基础结构,通过它可以访问、配置、管理和监视几乎所有的Windows资源,比如用户可以在远程计算机器上启动一个进程;设定一个在特定日期和时间运行的进程;远程启动计算机;获得本地或远程计算机的已安装程序列表;查询本地或远程计算机的Windows事件日志等等。却常常被一些程序员用来做坏事。

文章到此,顺利完美解决浏览器首页挟持的问题,希望能帮助与我遇到相同问题的人们。同样也感谢撰写那篇文章的顺利帮我解决问题。

技术分享

 

跟WMI过招

标签:

原文地址:http://www.cnblogs.com/hyb1/p/4787789.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!