zoukankan      html  css  js  c++  java
  • 捆绑安装浏览器:技术剖析搜狗输入法中的猫腻

    不知道从什么时候开始,上网变成了搜狗浏览器。卸载后,过几天又莫名其妙安装上。搜狗也算是名门正派,竟然会用这么恶劣的手段捆绑软件!这么做跟病毒有什么区别?!

    专门花时间重现了搜狗推广的手段,顺手看到搜狗还有一个调试信息输出开关,只要增加一个注册表值,如果有这个键值就会把调试信息打出来,开着debugview就能监控到搜狗在搞什么小动作:

    Windows Registry Editor Version 5.00
    [HKEY_CURRENT_USER\Software\SogouInput]
    "lotusdebug"=dword:00000001

     

    如果电脑没有装360,搜狗输入法直接就去服务器下载运行一个推广程序,这个地址就是搜狗服务器上的一个静默推广包:

    http://download.ie.sogou.com/se/semini/SEMini_3.0.0.571_7805.exe

    如果电脑有360,搜狗输入法推广浏览器的云控代码都在内存里,大概过程是这样的:

    第一步,静默下载。sogoucloud.exe和云端通信,根据云端指令把搜狗浏览器的安装包下载回来。云控数据域名请求是下面抓包的内容:

    第二步经过请求内容解密出代码,代码功能里有从搜狗官网下载安装包,创建随机目录把安装包放进去,都是一些常见下载工具的目录,比如把搜狗浏览器安装包放到360、百度或者迅雷的下载目录里,不管你电脑里有没有装这些软件:

    搜狗浏览器的安装包还会被放到以下固定的地方,都是搜狗输入法的目录,省的下次再去下载了。大家可以到下图中标红的路径里找找,类似sgim_sehelper.bin之类的文件都是搜狗浏览器的安装包:

    第三步,模拟用户点击来安装搜狗浏览器。explorer里的sogou.ime会下载远控的shellcode执行后选择时机去推广浏览器,通过PostMessageW发消息自动模拟点击下载好的浏览器,这个浏览器安装包也通过进程间通信隐藏了安装界面,所以莫名其妙就装上了。如果一直盯着,全过程只会看到电脑上突然打开一个文件夹,又被关掉,然后就多了个搜狗浏览器。

    PostMessageW模拟点击这都是我以前写外挂时最常用的,不过我是用来操作游戏,搜狗用来搞流氓推广。

    文章转载出自:FreebuF.COM   

  • 相关阅读:
    ZOJ 3818 Pretty Poem
    HDU 4597 Play Game
    HDU 4497 GCD and LCM
    CSU 1335 高桥和低桥
    UVA 10791 Minimum Sum LCM
    CSU 1119 Collecting Coins
    CSU 1120 病毒
    UVA 12169 Disgruntled Judge
    HDU 1301 Jungle Roads
    POJ 1258 Agri-Net
  • 原文地址:https://www.cnblogs.com/dvbbs2012/p/4070206.html
Copyright © 2011-2022 走看看