使用 sysinternal suits 一般能揪出来。真的是大开眼界啊:
一般干法:锁定 ie 注册表键值不让修改,修改 ie 快捷方式并设置权限禁止修改。
暴力干法,留个进程什么 safelock.exe 的,很容易分辨
混淆干法:rundll 执行,进程名称是 rundll,障眼法
高阶干法:给 explorer 注入 dll 的
注册服务,监视 explorer 的动作,有启动浏览器的操作给劫持了,替换成 iexplorer
http://xyz.com 类似的
还有注册驱动程序的,够狠
添加计划任务定期修改的
文艺型的:开机自启时释放自己到%Temp%,然后退出,查杀软件把%temp%的干掉了,下次开机还有
几个进程互相“守护”,任务管理器杀不死,一兄有难,几兄相帮。都不知道是 android 向 win 学习的还是 win 向 android 学习的
。。。总之,数不胜数,许多方法互相配合起来真心头疼。
autoruns 可以看看有哪些奇怪的服务、bho、计划任务和系统驱动开机自启
procexp 看看进程都载入了哪些 dll
procmon 配合看看浏览器启动的时候系统到底干了些什么