平時一直使用微PE作為維護工具,不流氓無廣告,但給領導裝系統時PE識別不出M.2接口的SSD。於是准備給PE添加驅動,
但是不知道是不是精簡太過,導致無法往wim鏡像里添加驅動。然后下載了個u大師,生成ISO文件后把U大師卸載了,但是!!
悲劇發生了,chrome\firefox\ie主頁都被劫持了。
作為一個程序員,怎么可以忍受這個,於是開始了找解決辦法。首先檢查瀏覽器設置、快捷方式、注冊表,但都沒有找到問題所在。
在下一步網上搜索,查找后發現也不是WMI腳本劫持,前后弄了2小時也沒解決問題。都在想是不是直接重裝系統得了,但是自己在同事中
算是比較懂電腦的,又是程序員,為了這個重裝系統還不得被笑死。
后來搜到了這篇帖子http://wangpai.2345.cn/thread.php?fid=12&pid=3460264
從而發現了知乎上的這篇帖子http://www.zhihu.com/question/21883209/answer/19617109
使用Process Explorer查看屬性發現了命令行后面多了網址參數
實驗了下瀏覽器改名就不會被劫持了,從任務管理器或命令行運行也不會被劫持,基本上根知乎上的回答描述的一樣,是資源管理器(explorer)
被Hook,改變了CreateProcess的正常執行流程。下了個火絨安全軟件,擴展工具里有個火絨劍的工具,用它掃描了Exporer的鈎子
umastershell64.dll,果然是先前下載的u大師搞的鬼。