劫持输入法新闻页面挂马导致客户机切输入法游戏掉线

【问题现象】

客户登录到LOL游戏，玩游戏并崩溃。当您再次登录时，您将无法登录，并且会出现假钓鱼窗口。

【问题的原因】

Internet咖啡馆中使用的路线存在安全问题，导致其他人修改了重定向URL，并且正常URL更改为Hangma网站。而且这个人也非常了解Internet Cafe系统的结构！

【故障排除过程】

1。定位网络钓鱼窗口程序的来源。操作方法是在计算机上启动ProcessMonitor软件。最小化的参数是，没有对话窗口的启动是 /最小化的 /accepteula /letim，例如：c：\ processMonitor.exe /minimized /accepteula /letim。我建议创建快捷方式，然后输入参数并将其放在启动座椅中，并且不要使用boot命令。因为如果它开始太晚，那将是没有用的。

2。抓住日志后，在“ ProcessMonitor”工具接口中选择工具 - 进程树，以查看完整的客户端启动过程。在过程树列表中，过程是过程列表，描述是描述，图像路径是路径，终身时间在线时间，公司是公司信息，所有者启动用户信息，命令行，开始时间启动时间，结束时间结束时间。在这里，我们需要查看启动时间来判断特洛伊木马进程的启动时间和工具启动时间。

3。核心屏幕截图如下。看到这一点，我们可以确定souhunews.exe将特洛伊木马带入了进来，因为cscript.exe是需要使用的VBS组件。通常，如果需要创建子进程，则普通程序将不会以这种方式运行。第二个是创建许多过程使用的系统名称，这些过程是常见的特洛伊木马行为，通常称为白色和黑色。例如，rar.exe，svchost.exe

4。确认它是由sohunews.exe sogou Input方法带来的，您仍然需要确认为什么可以使用此操作。通常，除非程序有后门，否则常规程序不会执行此操作，并且新闻页面挂起触发溢出形的远程执行漏洞。只有这样，该程序才能运行。在这里，我们需要捕获HTTP协议的网络包开元ky888棋牌官方版，以查看其访问的页面。在这里，您需要安装HTTPanalyer软件，在安装后单击上面的开始按钮。 （该软件必须很早就启动，否则不会被发现。原因与ProcessMonitor相同）

5。掌握网络软件包后开yun体育官网入口登录app开yunapp体育官网入口下载手机版，单击前面的 +按钮以查看内容。首先，普通公司的新闻接口程序通常是将URL添加到网络框架中的一种方法。为了方便起见，通常不使用固定的IP信息，并且URL信息不包含网页文件的后缀名称。这是一个很大的禁忌！下图中捕获的一个网络数据包必须存在问题。

6。检查此URL的响应内容内容，发现它是一个加密脚本

7。解密此代码后，您可以看到旧的WScript Shell技术触发了下载。

8。搜索解密的代码标头部分，以查看您是否可以通过搜索引擎了解特定的漏洞信息。最终确认是CVE-2016-0189漏洞，相应的安全通知MS16-051

开源代码

安全通知号

9。将Sogou输入方法程序提取到局部区域后，发现将无法访问URL。怀疑DNS区域劫持或劫持了劫持DNS区域。检查后，发现跳跃信息与路由IP地址完全相同。后来，用户还告诉我们，该路线是由更改引起的。