主页被锁

我们在日常使用电脑的时候，总会遇见各种恶心人的广告弹窗锁首之类的问题，就比如下面的情况

打开谷歌浏览器，立即看到这么醒目的开服表，心里肯定一万头草泥马飘过。。。

主页被锁原因

象征性的打开谷歌浏览器设置，发现主页设置还是百度，那问题可能就出在其他地方了。

像面对这种情况，传奇主页，基本想都不用想，肯定是驱动锁首

定位恶意驱动

这种情况，我们就需要用到ark工具了

我这里选择的是火绒剑和pchunter

首先，使用火绒剑定位恶意驱动，这是一件耐心活，寻找可疑驱动主要根本名字和提取字符串相结合来看。很多锁首恶意驱动都是加了vmp壳的，再通过提取出来的字符串就大概可以判断是否是锁首驱动

经过寻找，我们找到了可疑驱动

但是看文件属性，微软的签名，描述是TCP/IP Driver，判断应该是驱动劫持

使用pchunter验证了猜测

我们已经定位到了恶意驱动，下面我们需要来清除它

清除恶意驱动方法一

使用火绒剑找到驱动的几个线程进行挂起

使用pchunter干掉这个驱动所有能看到的的回调

挂起线程并干掉回调后，来到了最关键的一步，删除注册表项

这种驱动劫持注册表找这个名字是不可行的，还是回到刚刚的恶意驱动，再次仔细查看字符串，发现的恶意驱动的真实名(注：每次重启名字都会改变)

删除注册表项

重启电脑，打开浏览器

使用方法一顺利解决，当然，最后也要把恶意驱动删除

这只是一个普通的驱动锁首，还有更恶心的多驱动加保护锁首，处理起来会更麻烦，甚至有时候方法一就会变的不可行，所以我们还有第二种方法处理。

清除恶意驱动方法二

第二种方法就是进入PE下面了，可以先安装一个微pe

进入system32目录里的config文件夹下，将SYSTEM复制到桌面上，这个文件保存了注册表信息

加载配置单元，选择SYSTEM文件

找到恶意驱动注册表项并删除

卸载配置单元

将桌面上删除了恶意注册表项的SYSTEM文件替换

重启电脑，浏览器恢复正常