广告排查思路

自从上次帮哥们弄了一个网吧,问题还真是不少,收费软件、文化软件、桌面要放消防通知、广告弹出等等,广告问题无疑是最头疼的,也是最令人反感的,现在看看几个主要的排场方式。

  • 开机弹出IE弹窗广告

d

像这样的,开机就会弹出来一个广告弹窗的

其实这样的是最简单的排查了,一般只要使用Process Explorer就可以找到源头了,按照图里面的,按住那个瞄准镜样的东西,拖动到需要查看的窗口上,就可以分析出它的父进程和它自己加载的一些插件了;


 

  • 使用中,随机出现广告,或者是在某个窗口中随机出现嵌入式的广告

这种就有点麻烦了,需要几个东东配合使用,我一般喜欢使用PCHunter+ProcessMonitor,当然还可以根据时间情况和自己的使用情况加入Process Explorer

1.首先使用了PCHunter

b

c

在窗口中看到了一个奇怪的进程,很明显不是系统自己的,直接干掉,可惜没什么效果,后面多点几次游戏,还是会随机出现;

2.使用ProcessMonitor在监控这个窗口的动作,然后反复点,等到出现广告的时候,就可以看到刚刚正常的时候没有的动作,这个例子里面是出现了一个ip,虽然不知道是什么地方带进来的,但是只要找到了这个ip,也可以通过路由来屏蔽这个ip;

a


 

  • 什么操作也没有,自己弹出广告

这种我就已经无力吐槽了,兼职是丧心病狂,它会一直弹,不光如此,广告内容也是毫无节操毫无下限,直到最后资源耗尽死机重启了。

1.还是先用Process Explorer来看看这个广告窗口的出处,可惜它的父进程就是系统的进程,自己本身也是系统自己的IE;

2.在打开浏览器的时候会发现,上的地址栏会先跳转一个127.0.0.1的本地回环地址,后面还带了端口,然后再跳转到主页上,如图:xcmvkidpfsg

这个就比较可疑了,用ProcessMonitor监控一下IE打开后做的一系列动作,发现确实有些非系统和IE的东西跟着在做动作,但是这个貌似是收费软件带的,进程在收费软件下面,而且结束后,要不是开着远程的QQ崩溃,就是exprolo挂掉,重启这些进程后,它还会出来,看来是开机就注入进去了,Fuck!

3.用PCHunter查看,发现后面再弹出的IE广告,全都是在第一个IE进程下出现的子进程,新弹出的广告是窗口,并不是标签,不应该如此,后来发现,下面的子进程IE加载的模块都还算正常,反倒是上面那个父进程的IE加载的模块不正常,如图:sdfasdf sdhajfjaslf这三个模块都不是微软自己的,而且连flash的模块都没有,然后这三个模块分别选择卸载,每卸载一个就会弹出一次IE报错,确定后,前面所有弹出的广告都关闭了;后面的两个模块结束后,系统里面也会报错,然后发现又自动加载,好吧,远程到服务器上去,之际修改客户机里面的这几个dll,干掉他,后来发现只有一个dll是存在的,另外两个没有,看来是开机后随机生成的。这时候回到客户机,用md5检查工具来检测这3个dll的md5值,记录下来,然后在服务器上添加到危险进程里面,再重启一下客户机,世界终于清静了……

 

You may also like...

发表评论

电子邮件地址不会被公开。 必填项已用*标注