平时一直使用微PE作为维护工具,不流氓无广告,但给领导装系统时PE识别不出M.2接口的SSD。于是准备给PE添加驱动,

但是不知道是不是精简太过,导致无法往wim镜像里添加驱动。然后下载了个u大师,生成ISO文件后把U大师卸载了,但是!!

悲剧发生了,chrome\firefox\ie主页都被劫持了。

  作为一个程序员,怎么可以忍受这个,于是开始了找解决办法。首先检查浏览器设置、快捷方式、注册表,但都没有找到问题所在。

在下一步网上搜索,查找后发现也不是WMI脚本劫持,前后弄了2小时也没解决问题。都在想是不是直接重装系统得了,但是自己在同事中

算是比较懂电脑的,又是程序员,为了这个重装系统还不得被笑死。

后来搜到了这篇帖子http://wangpai.2345.cn/thread.php?fid=12&pid=3460264

从而发现了知乎上的这篇帖子http://www.zhihu.com/question/21883209/answer/19617109

使用Process Explorer查看属性发现了命令行后面多了网址参数

实验了下浏览器改名就不会被劫持了,从任务管理器或命令行运行也不会被劫持,基本上根知乎上的回答描述的一样,是资源管理器(explorer)

被Hook,改变了CreateProcess的正常执行流程。下了个火绒安全软件,扩展工具里有个火绒剑的工具,用它扫描了Exporer的钩子

 

umastershell64.dll,果然是先前下载的u大师搞的鬼。

版权声明:本文为nkzhangkun原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://www.cnblogs.com/nkzhangkun/p/6061743.html