这个“找找啦”导航网页www.zhaozhaola.com在很长一段时间内总是出现在家里的台式机里,不仅篡改IE主页,还添加了浏览器收藏夹、快速启动栏、桌面快捷方式等地方,每次清理完,过上一段时间就卷土重来,甚至有一段时间不得不把快捷方式加上只读属性来屏蔽。我始终没有找到根源在哪,开始还以为是家里老人上网误点了什么,直到昨天才发现原来它的窝点是千彩手写板程序HandWriting.exe。
发现的原因很偶然,是从火绒的日志中看到三个阻止,分别是主页、收藏夹、快速启动栏,只有快捷方式因没有在其系统防御中开启保护,而没有拦截,我想以前如果仔细查找日志的话,就算不是火绒,也应该能发现,主要是并不知道具体篡改的时间而不好查找吧,或者更可能的是修改主页的是正规的程序(手写板)而不被阻止。
上网查了下找找啦与千彩手写板HandWriting.exe,加上后面的这个限定词搜索范围就精确多了,果然多有反映,确实是官网驱动程序中就有带篡改功能,共4个地方,一是IE主页,通过注册表改的,二是收藏夹,三快速启动栏,四桌面添加IE快捷方式,在快捷方式里加上找找啦网址。其实反编译下程序还可以看到,不止IE,劫持的还有遨游、腾讯等浏览器。
如果一定还要用千彩,网上有个方法,就是用hex editor打开HandWriting.exe,把找找啦网址全用00替换,我做的更狠点,不光替换网址,连前后有关收藏夹、注册表等相关的都替换了,至于有没有什么问题,就再说了,反正保存完,手写功能还在,也能正常用,剩下的就是观察一段看看还有没有找找啦出来。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/1997.html
