广告排查思路

自从上次帮哥们弄了一个网吧，问题还真是不少，收费软件、文化软件、桌面要放消防通知、广告弹出等等，广告问题无疑是最头疼的，也是最令人反感的，现在看看几个主要的排场方式。

• 开机弹出IE弹窗广告

像这样的，开机就会弹出来一个广告弹窗的

其实这样的是最简单的排查了，一般只要使用Process Explorer就可以找到源头了，按照图里面的，按住那个瞄准镜样的东西，拖动到需要查看的窗口上，就可以分析出它的父进程和它自己加载的一些插件了；

• 使用中，随机出现广告，或者是在某个窗口中随机出现嵌入式的广告

这种就有点麻烦了，需要几个东东配合使用，我一般喜欢使用PCHunter+ProcessMonitor，当然还可以根据时间情况和自己的使用情况加入Process Explorer

1.首先使用了PCHunter

在窗口中看到了一个奇怪的进程，很明显不是系统自己的，直接干掉，可惜没什么效果，后面多点几次游戏，还是会随机出现；

2.使用ProcessMonitor在监控这个窗口的动作，然后反复点，等到出现广告的时候，就可以看到刚刚正常的时候没有的动作，这个例子里面是出现了一个ip，虽然不知道是什么地方带进来的，但是只要找到了这个ip，也可以通过路由来屏蔽这个ip；

• 什么操作也没有，自己弹出广告

这种我就已经无力吐槽了，兼职是丧心病狂，它会一直弹，不光如此，广告内容也是毫无节操毫无下限，直到最后资源耗尽死机重启了。

1.还是先用Process Explorer来看看这个广告窗口的出处，可惜它的父进程就是系统的进程，自己本身也是系统自己的IE；

2.在打开浏览器的时候会发现，上的地址栏会先跳转一个127.0.0.1的本地回环地址，后面还带了端口，然后再跳转到主页上，如图：

这个就比较可疑了，用ProcessMonitor监控一下IE打开后做的一系列动作，发现确实有些非系统和IE的东西跟着在做动作，但是这个貌似是收费软件带的，进程在收费软件下面，而且结束后，要不是开着远程的QQ崩溃，就是exprolo挂掉，重启这些进程后，它还会出来，看来是开机就注入进去了，Fuck！

3.用PCHunter查看，发现后面再弹出的IE广告，全都是在第一个IE进程下出现的子进程，新弹出的广告是窗口，并不是标签，不应该如此，后来发现，下面的子进程IE加载的模块都还算正常，反倒是上面那个父进程的IE加载的模块不正常，如图： 这三个模块都不是微软自己的，而且连flash的模块都没有，然后这三个模块分别选择卸载，每卸载一个就会弹出一次IE报错，确定后，前面所有弹出的广告都关闭了；后面的两个模块结束后，系统里面也会报错，然后发现又自动加载，好吧，远程到服务器上去，之际修改客户机里面的这几个dll，干掉他，后来发现只有一个dll是存在的，另外两个没有，看来是开机后随机生成的。这时候回到客户机，用md5检查工具来检测这3个dll的md5值，记录下来，然后在服务器上添加到危险进程里面，再重启一下客户机，世界终于清静了……