域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

每次回家總是聽(tīng)到爸媽念叨，“電腦越來(lái)越卡”、“桌面上莫名其妙多了一堆快捷方式”，再問(wèn)問(wèn)前因后果，好像是因?yàn)橄螺d一個(gè)播放器，要么是安裝某程序時(shí)一直點(diǎn)下一步造成的，其實(shí)是中了“流氓推廣程序”。

什么是流氓推廣?顧名思義——性質(zhì)是“流氓”，目的是“推廣”。他們會(huì)想盡一切辦法把合作廠商的程序安裝到你的電腦上，以此賺取豐厚的“推廣費(fèi)用”，其實(shí)用技術(shù)的角度來(lái)看也就是下載軟件，然后通過(guò)“靜默安裝”偷偷給用戶裝上去。

流程分析

首先，只有當(dāng)你下載并打開(kāi)這類程序才會(huì)引發(fā)后續(xù)一系列的“流氓行為”，此類程序的下載頁(yè)面通常……

有這樣的：

這樣的：

還有……這樣的……(為了本文能順利發(fā)出而不至于收到有關(guān)部門的快遞，對(duì)圖像做了一些必要的處理，且處理范圍略大……)

我想大家也都明白，這種網(wǎng)站小朋友看了根本把持不住啊……結(jié)果當(dāng)然是言聽(tīng)計(jì)從的人家讓干什么就干什么，讓裝個(gè)播放器還不痛快?但你只要裝了——就中招了!

其實(shí)這個(gè)網(wǎng)站根本就是一個(gè)假的，哪怕你裝了所謂的“播放器”回到這個(gè)網(wǎng)站，它還是依然會(huì)再?gòu)棾鰜?lái)，類似的網(wǎng)站還有讓你發(fā)鏈接給好朋友，滿多少人才可以訪問(wèn)蕓蕓。

分析

此類程序大多是NSIS安裝包，直接解壓即可看到里面的程序。但玄機(jī)卻在NSIS腳本中。每個(gè)NSIS包都帶有一個(gè)安裝腳本，NSIS安裝包除了釋放包里的文件之外，還會(huì)根據(jù)這個(gè)腳本的內(nèi)容做一些額外的工作。問(wèn)題就在于此：

一個(gè)163的博客是怎么回事?懷著好奇的心情打開(kāi)了這個(gè)鏈接。

呵呵呵一看到這個(gè)就明白了，是軟件利用163博客隱藏下載地址，直接右鍵查看源代碼：

果然是和我猜想的一樣(弱爆了有沒(méi)有，哥玩剩下的)，接著咱們用虛擬機(jī)抓包看看：

以下是我虛擬機(jī)測(cè)試中的一個(gè)進(jìn)程截圖，圈出來(lái)的進(jìn)程全都是正在推廣的程序安裝進(jìn)程：

很可惜，居然連360防護(hù)都過(guò)不去，開(kāi)啟360的情況下會(huì)被無(wú)情的閹割(果然還是太蠢了，難道不會(huì)利用360快盤做中介嗎?)

原文地址：

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！