你好:

     感谢你访问我的 Blog ,本博客只提供博主的技术经验分享,你可以在此做简单的留言和评论,我会抽空回复你;若是要深入交流探讨,请联系QQ:47853253或者加QQ群:12012081


 

利用ProcessExplorer15.12抓出了网吧360浏览器的升窗广告

查找浏览器加载的广告插件:可以使用wsyscheck或者PCHunter(XueTr)卸载浏览器加载的模块,重新打开浏览器看看广告是否存在,依此推断。

 今天在网吧使用360极速浏览器打开我的博客之后,看到了升窗广告,应该和万象有关,因为我电脑上只有易乐游和万象,升窗广告看到一条顺网特权,万象又是被顺网收购了的,所以。。。

 

 

干活了。既然有当然要去广告了,打开ProcessExplorer15.12,用瞄准器对准升窗,ProcessExplorer15.12切换到动态链接库,在加载的动态链接库里边,按公司签名排列,没有公司签名的里边查找,没找到.dll的加载情况,但看到了.db的加载,我以前只记得这里要注意2种类型的加载文件:1..dll     2..dat   。所以刚开始没关注.db的加载文件,但再查看其它加载文件,什么.nls    .pak     .bin  的文件路径都是正常的,有一个易乐游的stmonitor.dll的加载文件,免疫之后重启,广告升窗依旧,排除。那就只有.db的加载文件有问题了?果断查看得到路径:

C:\Users\Administrator\AppData\Local\Microsoft\Windows\Caches

C:\ProgramData\Microsoft\Windows\Caches

将这两个目录里边的.db文件删除,有几个删除不了,重命名之后,再开浏览器正常,过一会又加载了。到这里基本上可以肯定是加载了这两个目录里边的.db文件导致的。做免疫好像没用,名称随机,那只能在软件策略里边将这两个目录里边的.db文件给禁止才行了?

C:\Users\Administrator\AppData\Local\Microsoft\Windows\Caches\*.db

C:\ProgramData\Microsoft\Windows\Caches\*.db

安全级别:不允许

这时打开博客,依然会有升窗,原因是,软件限制策略默认是不限制库文件的,打开软件限制策略之后,点强制选项,应用软件限制策略到下列文件:

所有软件文件。

强制证书规则。

《指定的文件类型》选项里边添加:.db

然后重启电脑即可。

再次打开博客,已经干净,再也没有那个广告了。



[本日志由 lq3447 于 2017-05-13 04:54 PM 编辑]
文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags:
评论: 0 | 引用: 0 | 查看次数: 398
发表评论
你没有权限发表留言!