chrome被360劫持了,这是干了什么?
本帖最后由 Tring 于 2023-3-21 15:39 编辑昨天手贱不小心点开了一下360,chrome就变成这样了。
不要吐槽为什么有360或者为什么还在用win7了,总之现在就是这样了。
chrome是改过policy禁掉了内部win7提示的,不再自动升级了体验反而不错。
现在是只要不点掉这个框,打开的所有标签页都有,不管是网页还是内部页,在调试检查窗里也看不到这个窗的DOM元素,因此可以排除是注入HTML。
查看过插件和policy,都没有异常。
看过chrome的exe文件,包括粗览了一下应用目录下的其他文件,修改时间都是以前的,不是昨天。
version页里的启动参数也没问题。
chrome的任务浏览器里没有异常任务,windows的任务浏览器里也没看到像360的进程。
窗口缩小,横幅不会显示出chrome框外,而且用deskpin之类的工具点横幅捕捉的是chrome窗口,说明应该是chrome进程内的东西。
点X关掉后一段时间不会出,但是第二天就又弹了。
虽然点“不再提示”可能就不会再显示了,但肯定劫持还是在的,反而没现象可能更难查了,所以就保持的这状态没点。
有没有人知道这有可能是干了什么?劫持了什么环节?
我反正现在一脸懵逼了。
国产流氓真的是在这方面钻研不息。
spy++看看是不是其他窗口 tsubasa9 发表于 2023-3-21 15:40
spy++看看是不是其他窗口
用deskpin点过横幅,最后pin到的是chrome主窗口。
估计spy++应该也是一样的结果,虽然还没试。 本帖最后由 Tring 于 2023-3-21 15:58 编辑
tsubasa9 发表于 2023-3-21 15:40
spy++看看是不是其他窗口
试了一下,甚至捕获不了横跳,只能捕获横跳后面的页面显示窗体。
但是看到一个疑似是这玩意的banner窗体。
进程是属于chrome的,线程信息看不出啥。
线程远程注入了吧,确实是3721能干出来的事 tsubasa9 发表于 2023-3-21 16:01
线程远程注入了吧,确实是3721能干出来的事
看了下线程,好像也是chrome的主窗口线程,不太确定,spy++这玩意不是很熟悉。
关键问题是,我昨天点开360之后就关了再没开过,进程里也没看到残余,也没开过任何驻后台服务,
这个横幅是在我关了后出现的,而且昨天点掉了后今天又弹出来了。
这就不免让人思考,到底是什么东西给注入的? 看了一下,应该确定是那个banner窗体。
把标签页拉到新窗口打开,就不会有这个横幅,但是在老窗口无论什么标签页都有。
用spy++看了下没横幅的新窗口,就没有那个banner窗体。
但问题还是,这玩意哪来的?
procexp看看modules里面, chrome.exe加载的dll模块? 用process explorer看看dll
或者process monitor看看进程行为 process monitor之类软件搜360safe、qihoo关键字 tsubasa9 发表于 2023-3-21 16:29
用process explorer看看dll
或者process monitor看看进程行为
没装VS,找这些工具真费劲。
好不容易找到个能用的procexp看了下,
chrome下没有签名不对的dll,基本不是chrome.dll就是微软签名的系统dll。
而且修改日期都不是新的。
关键是,那个线程是属于chrome.exe的主窗口线程,所有窗口都是在这个线程下的。
我觉得可能还应该是chrome的什么内部机制,不太像是外部注入的感觉。 卸了360重装呢 啊这,但凡用bing搜一下就有了,都是微软自家的东西
https://learn.microsoft.com/en-us/sysinternals/downloads/process-explorer
https://learn.microsoft.com/en-us/sysinternals/downloads/procmon
chrome的机制不可能的,我从没见过这种banner 把360的浏览器/上网防护功能关了不就得了 本帖最后由 Tring 于 2023-3-21 17:40 编辑
tsubasa9 发表于 2023-3-21 17:11
啊这,但凡用bing搜一下就有了,都是微软自家的东西
https://learn.microsoft.com/en-us/sysinternals/down ...
这个procmon会因为缺驱动用不了,https://superuser.com/questions/211759/process-monitor-fails-to-load
只能用老版的,但是老版用一次以后就有驱动了,新版也能用了,很怪。
我指的可能是什么chrome内的机制被利用了,注入的这个banner。
现在明确的是:
这个窗口句柄的确是独立于chrome主窗口句柄外的,这一条感觉更像是外部注入;
但是这个banner的窗口句柄归属是chrome的主进程主线程,这一条感觉就更像是用的什么内部机制注入的。
关键chrome这玩意好多一般人都不会知道的内部机制,被利用点啥真不好查。
kenqqex 发表于 2023-3-21 17:06
卸了360重装呢
关键这东西关了要等一天才会出现,这么折腾也没法马上看出结果。
而且360根本卸不干净,记得很早以前这东西就会用windows内部机制把一些核心文件改成admin都没有删除权限。他能让你卸的都是无关痛痒的东西。
我反正一直是能关的东西都关了,就是因为卸载不干净才一直懒得卸载放那了。 Tring 发表于 2023-3-21 17:18
关键这东西关了要等一天才会出现,这么折腾也没法马上看出结果。
而且360根本卸不干净,记得很早以前这东 ...
别脑补,先卸了再说,从给老人清理的历史来看,现在卸载还是挺干净的,
而且你都有能力研究线程注入了,竟然还用360是何道理?那玩意win7时代就不应该存在了 wtdd 发表于 2023-3-21 17:46
别脑补,先卸了再说,从给老人清理的历史来看,现在卸载还是挺干净的,
而且你都有能力研究线程注入了, ...
因为以前卸不干净来回重装几次都有删不掉的东西看着难受,就干脆放那没管了。
昨天不小心点到了,一打开就变这样了。
现在关键不是说我不想看到这个banner,事实上我如果点不再显示,相信它也不可能再弹出来了。
我现在想弄明白的是,他是怎么插进这个banner的。
他能插一个banner,就能悄摸摸在后台监控我其他上网信息,这才是最要命的。
我现在就把这个banner给干掉了,反而不知道他在后台干了啥了。 本帖最后由 Tring 于 2023-3-21 18:18 编辑
艹,在
chrome://conflicts/
这个里面找到了几个360的dll,基本上可以肯定是那个browprom干的了。
问题是,这里的dll在哪里能禁用或者unregister掉?
或者反过来问,这是从哪里挂进来的?
笑拉了,360还是这么无耻 本帖最后由 Tring 于 2023-3-21 19:34 编辑
慢慢摸清一点脉络了。
第一步注入这个dll。具体怎么注入的不知道,但是看这什么都显示不出来,path甚至是乱码的,一看就是用了什么漏洞干的。
之后,上面那个wrapper就会引导注入这里的除了shell extension以外(shell这些是windows的菜单组件,并没有直接访问chrome的权限)的那几个dll,
这里引导注入的这些dll就能完整访问chrome内的所有功能了(B代表浏览器,R代表渲染)。
因此,我把那个wrapper改名后,重启浏览器。
其他的后续注入dll也都不再存在,只有几个shell extension了。
这些国内流氓厂手上的黑科技真的多。
第一个那个wrapper我是真找不到是用什么方法(漏洞)注入的。
chromium官方关于这个conflicts列表的描述是,列出由windows提供的一些机制装载的dll,但是没办法具体知道是由什么机制载入的。
注册表里搜了一通,也毫无这个wrapper的痕迹。
研究这个干嘛,卸了360不就得了,注入dll不需要利用漏洞或者改注册表的,windows提供标准api就行,随便一个程序都能做到 360这种垃圾卸了完事 本帖最后由 Tring 于 2023-3-21 19:58 编辑
谭浩强 发表于 2023-3-21 19:46
研究这个干嘛,卸了360不就得了,注入dll不需要利用漏洞或者改注册表的,windows提供标准api就行,随便一个 ...
首先你需要有一个在运行的进程,还需要管理员权限。
如果360能在我把所有功能都关闭,服务禁用,并且没有点开主程序,任务管理器下也找不到任何可疑任务的情况下,还能保持一个有管理员权限的后台进程。
那就说明他根本不在乎我的设置,我把他卸载了也只是明面的后台转成背地的后台而已。问题只会更难查。
而现在弄清楚注入起点后,至少我卸载了以后,还能随时弄清,我是否有背地里被注入新的模块。
问题是加载dll不用360运行,safewrapper.dll是被加载到chrome里的 tsubasa9 发表于 2023-3-21 20:12
问题是加载dll不用360运行,safewrapper.dll是被加载到chrome里的
问题就是怎么加载进去的啊?
要么是某些静态设置的方式,要么就是通过别的进程注入。
进程动态注入就像我前面说的,可能性不高。
静态设置的方式,正常能想到的看起来都没有,而且那个乱码地址怎么看都很像是利用了一些漏洞。 具体就得看chromium源码查阅加载机制了
shell extension不也是这么加载的么 本帖最后由 Tring 于 2023-3-21 20:23 编辑
tsubasa9 发表于 2023-3-21 20:20
具体就得看chromium源码查阅加载机制了
shell extension不也是这么加载的么
shell extension是windows的右键菜单扩展,是在注册表里加载的。
但是其他的就不是了。
卸了就是,你是不舍得360这个浏览器么。装个360极速吧,常用那个不太好用
—— 来自 S1Fun Tring 发表于 2023-3-21 19:56
首先你需要有一个在运行的进程,还需要管理员权限。
如果360能在我把所有功能都关闭,服务禁用,并且没有 ...
关了服务内核驱动还是在运行的,手动清清不干净的,驱动可以让你看不见真正的360进程,否则病毒也能清掉360了 本帖最后由 Tring 于 2023-3-21 20:45 编辑
人生如戏 发表于 2023-3-21 20:26
卸了就是,你是不舍得360这个浏览器么。装个360极速吧,常用那个不太好用
—— 来自 S1Fun ...
已经卸了啊。
前面舍不得卸,是因为要查出原因是啥啊。
原因知道了再卸,才能保证不被背地里搞事啊。
这些流氓软件出问题的时候直接卸才是下下策,会在你电脑里留啥都说不定。
也不知道你们为啥对这些流氓软件这么信赖,真觉得卸了就是卸了。
借楼问下
今年chrome升级到110版本以后发现打开网页速度明显变卡,开个网页都要卡个好几秒,京东淘宝开个商品页面半天才能刷出价格和详细信息,逸国视频的评论区要卡好几秒才刷新出来
相同硬件环境的edge没这问题,所以排除硬件问题
这个情况全网大致搜了一圈都没看到人提,最后还是在NGA上搜到不少GBF玩家反映110版本以后游戏卡顿,解决方式是换回107稳定版
目前已经回滚107版本,网页刷新速度瞬间恢复丝滑,除了右上角那个更新提示红圈懒得折腾了,先凑合用吧
我比较很奇怪这种应该不是什么小问题吧,怎么中文英文都搜了一圈就没看什么人提过
页:
[1]