找回密码
 立即注册
搜索
查看: 5232|回复: 32

[软件] chrome被360劫持了,这是干了什么?

[复制链接]
     
发表于 2023-3-21 15:36 | 显示全部楼层 |阅读模式
本帖最后由 Tring 于 2023-3-21 15:39 编辑

image.png
昨天手贱不小心点开了一下360,chrome就变成这样了。
不要吐槽为什么有360或者为什么还在用win7了,总之现在就是这样了。
chrome是改过policy禁掉了内部win7提示的,不再自动升级了体验反而不错。

现在是只要不点掉这个框,打开的所有标签页都有,不管是网页还是内部页,在调试检查窗里也看不到这个窗的DOM元素,因此可以排除是注入HTML。
查看过插件和policy,都没有异常。
看过chrome的exe文件,包括粗览了一下应用目录下的其他文件,修改时间都是以前的,不是昨天。
version页里的启动参数也没问题。
chrome的任务浏览器里没有异常任务,windows的任务浏览器里也没看到像360的进程。
窗口缩小,横幅不会显示出chrome框外,而且用deskpin之类的工具点横幅捕捉的是chrome窗口,说明应该是chrome进程内的东西。

点X关掉后一段时间不会出,但是第二天就又弹了。
虽然点“不再提示”可能就不会再显示了,但肯定劫持还是在的,反而没现象可能更难查了,所以就保持的这状态没点。

有没有人知道这有可能是干了什么?劫持了什么环节?
我反正现在一脸懵逼了。
国产流氓真的是在这方面钻研不息。

回复

使用道具 举报

发表于 2023-3-21 15:40 | 显示全部楼层
spy++看看是不是其他窗口
回复

使用道具 举报

     
 楼主| 发表于 2023-3-21 15:48 | 显示全部楼层
tsubasa9 发表于 2023-3-21 15:40
spy++看看是不是其他窗口

用deskpin点过横幅,最后pin到的是chrome主窗口。
估计spy++应该也是一样的结果,虽然还没试。
回复

使用道具 举报

     
 楼主| 发表于 2023-3-21 15:55 | 显示全部楼层
本帖最后由 Tring 于 2023-3-21 15:58 编辑
tsubasa9 发表于 2023-3-21 15:40
spy++看看是不是其他窗口

image.png

试了一下,甚至捕获不了横跳,只能捕获横跳后面的页面显示窗体。


image.png
但是看到一个疑似是这玩意的banner窗体。
进程是属于chrome的,线程信息看不出啥。
回复

使用道具 举报

发表于 2023-3-21 16:01 | 显示全部楼层
线程远程注入了吧,确实是3721能干出来的事
回复

使用道具 举报

     
 楼主| 发表于 2023-3-21 16:05 | 显示全部楼层
tsubasa9 发表于 2023-3-21 16:01
线程远程注入了吧,确实是3721能干出来的事

看了下线程,好像也是chrome的主窗口线程,不太确定,spy++这玩意不是很熟悉。

关键问题是,我昨天点开360之后就关了再没开过,进程里也没看到残余,也没开过任何驻后台服务,
这个横幅是在我关了后出现的,而且昨天点掉了后今天又弹出来了。
这就不免让人思考,到底是什么东西给注入的?
回复

使用道具 举报

     
 楼主| 发表于 2023-3-21 16:13 | 显示全部楼层
看了一下,应该确定是那个banner窗体。
把标签页拉到新窗口打开,就不会有这个横幅,但是在老窗口无论什么标签页都有。
用spy++看了下没横幅的新窗口,就没有那个banner窗体。
但问题还是,这玩意哪来的?
回复

使用道具 举报

     
发表于 2023-3-21 16:16 | 显示全部楼层
procexp看看modules里面, chrome.exe加载的dll模块?
回复

使用道具 举报

发表于 2023-3-21 16:29 | 显示全部楼层
用process explorer看看dll
或者process monitor看看进程行为
回复

使用道具 举报

     
发表于 2023-3-21 16:54 | 显示全部楼层
process monitor之类软件搜360safe、qihoo关键字
回复

使用道具 举报

     
 楼主| 发表于 2023-3-21 17:05 | 显示全部楼层
tsubasa9 发表于 2023-3-21 16:29
用process explorer看看dll
或者process monitor看看进程行为

没装VS,找这些工具真费劲。
好不容易找到个能用的procexp看了下,
chrome下没有签名不对的dll,基本不是chrome.dll就是微软签名的系统dll。
而且修改日期都不是新的。

关键是,那个线程是属于chrome.exe的主窗口线程,所有窗口都是在这个线程下的。

我觉得可能还应该是chrome的什么内部机制,不太像是外部注入的感觉。
回复

使用道具 举报

发表于 2023-3-21 17:06 | 显示全部楼层
卸了360重装呢
回复

使用道具 举报

发表于 2023-3-21 17:11 | 显示全部楼层
啊这,但凡用bing搜一下就有了,都是微软自家的东西
https://learn.microsoft.com/en-u ... ds/process-explorer
https://learn.microsoft.com/en-us/sysinternals/downloads/procmon

chrome的机制不可能的,我从没见过这种banner
回复

使用道具 举报

     
发表于 2023-3-21 17:14 | 显示全部楼层
把360的浏览器/上网防护功能关了不就得了
回复

使用道具 举报

     
 楼主| 发表于 2023-3-21 17:15 | 显示全部楼层
本帖最后由 Tring 于 2023-3-21 17:40 编辑
tsubasa9 发表于 2023-3-21 17:11
啊这,但凡用bing搜一下就有了,都是微软自家的东西
https://learn.microsoft.com/en-us/sysinternals/down ...


这个procmon会因为缺驱动用不了,https://superuser.com/questions/ ... nitor-fails-to-load
只能用老版的,但是老版用一次以后就有驱动了,新版也能用了,很怪。



我指的可能是什么chrome内的机制被利用了,注入的这个banner。

现在明确的是:
这个窗口句柄的确是独立于chrome主窗口句柄外的,这一条感觉更像是外部注入;
但是这个banner的窗口句柄归属是chrome的主进程主线程,这一条感觉就更像是用的什么内部机制注入的。

关键chrome这玩意好多一般人都不会知道的内部机制,被利用点啥真不好查。

回复

使用道具 举报

     
 楼主| 发表于 2023-3-21 17:18 | 显示全部楼层

关键这东西关了要等一天才会出现,这么折腾也没法马上看出结果。
而且360根本卸不干净,记得很早以前这东西就会用windows内部机制把一些核心文件改成admin都没有删除权限。他能让你卸的都是无关痛痒的东西。
我反正一直是能关的东西都关了,就是因为卸载不干净才一直懒得卸载放那了。
回复

使用道具 举报

     
发表于 2023-3-21 17:46 | 显示全部楼层
Tring 发表于 2023-3-21 17:18
关键这东西关了要等一天才会出现,这么折腾也没法马上看出结果。
而且360根本卸不干净,记得很早以前这东 ...

别脑补,先卸了再说,从给老人清理的历史来看,现在卸载还是挺干净的,
而且你都有能力研究线程注入了,竟然还用360是何道理?那玩意win7时代就不应该存在了
回复

使用道具 举报

     
 楼主| 发表于 2023-3-21 17:53 | 显示全部楼层
wtdd 发表于 2023-3-21 17:46
别脑补,先卸了再说,从给老人清理的历史来看,现在卸载还是挺干净的,
而且你都有能力研究线程注入了, ...

因为以前卸不干净来回重装几次都有删不掉的东西看着难受,就干脆放那没管了。
昨天不小心点到了,一打开就变这样了。

现在关键不是说我不想看到这个banner,事实上我如果点不再显示,相信它也不可能再弹出来了。
我现在想弄明白的是,他是怎么插进这个banner的。
他能插一个banner,就能悄摸摸在后台监控我其他上网信息,这才是最要命的。
我现在就把这个banner给干掉了,反而不知道他在后台干了啥了。
回复

使用道具 举报

     
 楼主| 发表于 2023-3-21 18:10 | 显示全部楼层
本帖最后由 Tring 于 2023-3-21 18:18 编辑

image.png

艹,在
chrome://conflicts/
这个里面找到了几个360的dll,基本上可以肯定是那个browprom干的了。
问题是,这里的dll在哪里能禁用或者unregister掉?
或者反过来问,这是从哪里挂进来的?
回复

使用道具 举报

发表于 2023-3-21 18:25 | 显示全部楼层
笑拉了,360还是这么无耻
回复

使用道具 举报

     
 楼主| 发表于 2023-3-21 19:27 | 显示全部楼层
本帖最后由 Tring 于 2023-3-21 19:34 编辑

慢慢摸清一点脉络了。
image.png
第一步注入这个dll。具体怎么注入的不知道,但是看这什么都显示不出来,path甚至是乱码的,一看就是用了什么漏洞干的。

image.png
之后,上面那个wrapper就会引导注入这里的除了shell extension以外(shell这些是windows的菜单组件,并没有直接访问chrome的权限)的那几个dll,
这里引导注入的这些dll就能完整访问chrome内的所有功能了(B代表浏览器,R代表渲染)。

因此,我把那个wrapper改名后,重启浏览器。
image.png
其他的后续注入dll也都不再存在,只有几个shell extension了。


这些国内流氓厂手上的黑科技真的多。
第一个那个wrapper我是真找不到是用什么方法(漏洞)注入的。
chromium官方关于这个conflicts列表的描述是,列出由windows提供的一些机制装载的dll,但是没办法具体知道是由什么机制载入的。
注册表里搜了一通,也毫无这个wrapper的痕迹。
回复

使用道具 举报

     
发表于 2023-3-21 19:46 | 显示全部楼层
研究这个干嘛,卸了360不就得了,注入dll不需要利用漏洞或者改注册表的,windows提供标准api就行,随便一个程序都能做到
回复

使用道具 举报

发表于 2023-3-21 19:47 | 显示全部楼层
360这种垃圾卸了完事
回复

使用道具 举报

     
 楼主| 发表于 2023-3-21 19:56 | 显示全部楼层
本帖最后由 Tring 于 2023-3-21 19:58 编辑
谭浩强 发表于 2023-3-21 19:46
研究这个干嘛,卸了360不就得了,注入dll不需要利用漏洞或者改注册表的,windows提供标准api就行,随便一个 ...

首先你需要有一个在运行的进程,还需要管理员权限。

如果360能在我把所有功能都关闭,服务禁用,并且没有点开主程序,任务管理器下也找不到任何可疑任务的情况下,还能保持一个有管理员权限的后台进程。
那就说明他根本不在乎我的设置,我把他卸载了也只是明面的后台转成背地的后台而已。问题只会更难查。


而现在弄清楚注入起点后,至少我卸载了以后,还能随时弄清,我是否有背地里被注入新的模块。

评分

参与人数 1战斗力 +2 收起 理由
lley + 2

查看全部评分

回复

使用道具 举报

发表于 2023-3-21 20:12 | 显示全部楼层
问题是加载dll不用360运行,safewrapper.dll是被加载到chrome里的
回复

使用道具 举报

     
 楼主| 发表于 2023-3-21 20:14 | 显示全部楼层
tsubasa9 发表于 2023-3-21 20:12
问题是加载dll不用360运行,safewrapper.dll是被加载到chrome里的

问题就是怎么加载进去的啊?
要么是某些静态设置的方式,要么就是通过别的进程注入。

进程动态注入就像我前面说的,可能性不高。
静态设置的方式,正常能想到的看起来都没有,而且那个乱码地址怎么看都很像是利用了一些漏洞。
回复

使用道具 举报

发表于 2023-3-21 20:20 | 显示全部楼层
具体就得看chromium源码查阅加载机制了
shell extension不也是这么加载的么
回复

使用道具 举报

     
 楼主| 发表于 2023-3-21 20:22 | 显示全部楼层
本帖最后由 Tring 于 2023-3-21 20:23 编辑
tsubasa9 发表于 2023-3-21 20:20
具体就得看chromium源码查阅加载机制了
shell extension不也是这么加载的么

shell extension是windows的右键菜单扩展,是在注册表里加载的。
image.png

但是其他的就不是了。
回复

使用道具 举报

     
发表于 2023-3-21 20:26 | 显示全部楼层
卸了就是,你是不舍得360这个浏览器么。装个360极速吧,常用那个不太好用

—— 来自 S1Fun
回复

使用道具 举报

     
发表于 2023-3-21 20:27 | 显示全部楼层
Tring 发表于 2023-3-21 19:56
首先你需要有一个在运行的进程,还需要管理员权限。

如果360能在我把所有功能都关闭,服务禁用,并且没有 ...

关了服务内核驱动还是在运行的,手动清清不干净的,驱动可以让你看不见真正的360进程,否则病毒也能清掉360了
回复

使用道具 举报

     
 楼主| 发表于 2023-3-21 20:43 | 显示全部楼层
本帖最后由 Tring 于 2023-3-21 20:45 编辑
人生如戏 发表于 2023-3-21 20:26
卸了就是,你是不舍得360这个浏览器么。装个360极速吧,常用那个不太好用

—— 来自 S1Fun ...

已经卸了啊。

前面舍不得卸,是因为要查出原因是啥啊。
原因知道了再卸,才能保证不被背地里搞事啊。

这些流氓软件出问题的时候直接卸才是下下策,会在你电脑里留啥都说不定。
也不知道你们为啥对这些流氓软件这么信赖,真觉得卸了就是卸了。
回复

使用道具 举报

     
发表于 2023-3-23 11:13 | 显示全部楼层
借楼问下
今年chrome升级到110版本以后发现打开网页速度明显变卡,开个网页都要卡个好几秒,京东淘宝开个商品页面半天才能刷出价格和详细信息,逸国视频的评论区要卡好几秒才刷新出来
相同硬件环境的edge没这问题,所以排除硬件问题
这个情况全网大致搜了一圈都没看到人提,最后还是在NGA上搜到不少GBF玩家反映110版本以后游戏卡顿,解决方式是换回107稳定版
目前已经回滚107版本,网页刷新速度瞬间恢复丝滑,除了右上角那个更新提示红圈懒得折腾了,先凑合用吧

我比较很奇怪这种应该不是什么小问题吧,怎么中文英文都搜了一圈就没看什么人提过
回复

使用道具 举报

头像被屏蔽
     
发表于 2023-3-23 14:32 来自手机 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|上海互联网违法和不良信息举报中心|网上有害信息举报专区|962110 反电信诈骗|举报电话 021-62035905|Stage1st ( 沪ICP备13020230号-1|沪公网安备 31010702007642号 )

GMT+8, 2024-11-14 15:21 , Processed in 0.234551 second(s), 7 queries , Gzip On, Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表