主页被锁
我们在日常使用电脑的时候,总会遇见各种恶心人的广告弹窗锁首之类的问题,就比如下面的情况
打开谷歌浏览器,立即看到这么醒目的开服表,心里肯定一万头草泥马飘过。。。
主页被锁原因
象征性的打开谷歌浏览器设置,发现主页设置还是百度,那问题可能就出在其他地方了。
像面对这种情况,传奇主页,基本想都不用想,肯定是驱动锁首
定位恶意驱动
这种情况,我们就需要用到ark工具了
我这里选择的是火绒剑和pchunter
首先,使用火绒剑定位恶意驱动,这是一件耐心活,寻找可疑驱动主要根本名字和提取字符串相结合来看。很多锁首恶意驱动都是加了vmp壳的,再通过提取出来的字符串就大概可以判断是否是锁首驱动
经过寻找,我们找到了可疑驱动
但是看文件属性,微软的签名,描述是TCP/IP Driver,判断应该是驱动劫持
使用pchunter验证了猜测
我们已经定位到了恶意驱动,下面我们需要来清除它
清除恶意驱动方法一
使用火绒剑找到驱动的几个线程进行挂起
使用pchunter干掉这个驱动所有能看到的的回调
挂起线程并干掉回调后,来到了最关键的一步,删除注册表项
这种驱动劫持注册表找这个名字是不可行的,还是回到刚刚的恶意驱动,再次仔细查看字符串,发现的恶意驱动的真实名(注:每次重启名字都会改变)
删除注册表项
重启电脑,打开浏览器
使用方法一顺利解决,当然,最后也要把恶意驱动删除
这只是一个普通的驱动锁首,还有更恶心的多驱动加保护锁首,处理起来会更麻烦,甚至有时候方法一就会变的不可行,所以我们还有第二种方法处理。
清除恶意驱动方法二
第二种方法就是进入PE下面了,可以先安装一个微pe
进入system32目录里的config文件夹下,将SYSTEM复制到桌面上,这个文件保存了注册表信息
加载配置单元,选择SYSTEM文件
找到恶意驱动注册表项并删除
卸载配置单元
将桌面上删除了恶意注册表项的SYSTEM文件替换
重启电脑,浏览器恢复正常