你好:

     感谢你访问我的 Blog ,本博客只提供博主的技术经验分享,你可以在此做简单的留言和评论,我会抽空回复你;若是要深入交流探讨,请联系QQ:47853253或者加QQ群:12012081


 

二则实例分析桌面文件【广告文件&快捷方式】是谁创建

 首先用到的文件有:

1.PCHunter64:http://www.cn777.cc/down/PCHunter64.exe

2.火绒剑独立版:http://www.cn777.cc/down/火绒剑独立版.exe

我的电脑在安装了某个软件之后,感觉被捆绑了,结果,桌面老是会被创建一个快捷方式:美女在线直播-全民TV

 

删除了很多次,还是会自动跳出来,任务管理器查看进程,无不良进程,估计是系统进程被注入模块了。那就把它揪出来吧。首先,我个打开火绒剑,监控桌面的文件创建,步骤如下:

过滤--动作过滤:只勾选:创建文件和写入文件,路径填:C:\Users\Administrator\Desktop   包含  开始监控:开始监控之后,我们首先删除桌面已生成的       美女在线直播-全民TV.lnk,不一会,桌面再次生成了该快捷方式,而且火绒剑也捕捉到了,看图:

 

是c:\windows\syswow64\svchost.exe的进程创建的,进程PID为:6004    右键查看该文件,显示是Microsoft的系统文件,应该是被注入了DLL,怎么看呢,这时需要PCHunter64.exe,打开它,找到PID   6004的进程:svchost.exe,然后下方显示模块,果然,有一个DESKTOP.dll的DLL注入到了该进程,在该模块上右键,定位到DLL文件,没什么好说的,卸载模块并删除该文件即可,至此,元凶已找到,同样的方法还可以做很多事,举一反三,最后还是把PCHunter64的图挂上,这个图是我卸载了之后补的,你可能找不到PID 6004的进程,只是贴出来帮助使用PCHunter64.exe而已。

 

 

 

第二则:360安全浏览器的收藏夹老是自动收藏乱七八槽的网站,删除了之后会再次出现。

经查,需要360的收藏夹是在一个DB的数据库里边,位置:C:\Users\Administrator\AppData\Roaming\360se6\apps\data\users\default\360sefav.db

那我们就用火绒剑监控该文件的写操作吧。

查看是哪个进程创建的,同样的方法,PCHunter64.exe查看该进程的加载模块,看看是不是进程被注入DLL了。



[本日志由 lq3447 于 2017-05-13 04:40 PM 编辑]
文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags:
评论: 0 | 引用: 0 | 查看次数: 339
发表评论
你没有权限发表留言!