V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
billytv
V2EX  ›  宽带症候群

[警告] 这种劫持真的很贱, 完全防不胜防

  •  1
     
  •   billytv · 2016-12-12 20:18:23 +08:00 · 5386 次点击
    这是一个创建于 2904 天前的主题,其中的信息可能已经有所发展或是发生改变。
    现在很多游戏 /软件安装时都要求安装各种 VC/net.运行库存. 通常都是安装程序自动连到微软官网下载. 这时安装程序带的肯定是管理员权限.

    如果这时遇上劫持....



    (vcredist_x86_2010_sp1_x86.exe 运行库已经被劫持了)

    由于国内流氓软件都自带证书, 我安装的毛豆默认设置下都没有运行许可弹窗, 只弹了防火墙联网的窗, 弹了两个, 第二个才看出来是 QQ 管家的联网, 恶心死了. 这种劫持 UAC 完全防不住.

    PS: ISP 是广州联通
    25 条回复    2016-12-21 08:19:27 +08:00
    h4x3rotab
        1
    h4x3rotab  
       2016-12-12 20:34:06 +08:00 via iPhone
    肉翻可破
    raincious
        2
    raincious  
       2016-12-12 20:40:32 +08:00
    如果我打包的话一般会自己带好,安装的时候解压出来。直接下载安装既不安全,也不鲁棒。

    另外这种确实比较恐怖,甚至于如果 ARP 可以可以玩起来的话,基本上目标可能毫无防备的就中招了。
    lxy
        3
    lxy  
       2016-12-12 20:54:36 +08:00
    路过,顺便一提。
    我这里微博也是被劫持到 cb.9mtd.com/** 下的推广,最烦的还是随机出现劫持,而且微博还没有 https 。查了一下服务器部署在 linode 日本节点,也是厉害。推广参数 c=spr_sinamkt_buy_yinsu_weibo_****,搜索这个参数可以找到一大堆受害者,而且都不知道自己已经被劫持的,都是在今年下半年才出现。如果有在微博工作的朋友希望能 ban 一下这个推广者。
    bclerdx
        4
    bclerdx  
       2016-12-12 22:23:29 +08:00
    怎么看出是被劫持了的?
    xbb7766
        5
    xbb7766  
       2016-12-12 22:24:41 +08:00
    @bclerdx 第三个图标和大小明显不对
    terence4444
        6
    terence4444  
       2016-12-12 22:41:00 +08:00   ❤️ 1
    本来以为自己小心一点是不会装上的,但是现在看来,还是必须把国内厂商的这些证书拉黑。
    xfspace
        7
    xfspace  
       2016-12-12 22:53:44 +08:00 via Android
    建议先用 Wireshark/Finder 抓包看看是不是从 Microsoft 下载,单从文件名这个证据无法成立。
    中立,勿喷。
    xfspace
        8
    xfspace  
       2016-12-12 22:56:07 +08:00 via Android
    @xfspace Finder->Fiddler
    billytv
        9
    billytv  
    OP
       2016-12-13 08:59:00 +08:00
    @xfspace 我安装的是国外游戏, 具体从哪里下载我也不知道. 10G 的游戏懒得重新安装再抓包, 已经直接将证书拉黑
    ragnaroks
        10
    ragnaroks  
       2016-12-13 09:19:11 +08:00   ❤️ 1
    @billytv 用 Steam 吧,Steam 上发行的游戏一定会自带运行库,没有运行库的游戏且被报告无法正常运行会直接被下架处理
    ZRS
        11
    ZRS  
       2016-12-13 09:45:30 +08:00 via iPhone
    我一直以为劫持 apk 就已经够无耻了…看来还是高估了下限
    Jasmine2016
        12
    Jasmine2016  
       2016-12-13 16:12:01 +08:00
    我低估了国内厂商的流氓能力。。。惭愧
    rhen
        13
    rhen  
       2016-12-13 21:37:21 +08:00 via Android
    @Jasmine2016 是运营商劫持的,厂商只是帮凶
    rhen
        14
    rhen  
       2016-12-13 21:44:38 +08:00 via Android
    刚才去微软的下载中心逛了下,发现已经全 HTTPS 下载了,开发者也改成 HTTPS 链接的话应该就解决了。主要还是运营商的问题。现在各大应用商店被逼的都做了反劫持,网页直接加上为了避免劫持请下载客户端,也是 6 。
    rhen
        15
    rhen  
       2016-12-13 21:50:43 +08:00 via Android
    @terence4444 运营商劫持的东西万一不是各大流氓了怎么办,毕竟一次就一个流氓,要是搞个集合全家桶换首页安装器就。。
    Khlieb
        16
    Khlieb  
       2016-12-13 21:54:13 +08:00 via Android
    @Jasmine2016 运营商跟某些巨头企业拉上了关系,用💰牵线的
    lslqtz
        17
    lslqtz  
       2016-12-14 12:34:44 +08:00
    默认开启 UAC ,不用杀毒,每次启动我都看一下数字证书才许可。
    nighteagle
        18
    nighteagle  
       2016-12-14 17:16:20 +08:00
    以前用过 Comodo 防火墙,是自带证书(包括国内的证书),现在不知道什么情况,把自带证书都删了,这下每个联网程序都该弹窗了,但这属于事后弥补,安装包都下好了 : (
    liaoyaoheng
        19
    liaoyaoheng  
       2016-12-17 10:52:56 +08:00
    @raincious 解压 exe 有什么好方法?

    ps : winrar 解,很多解不出,有些解出了还不能用。
    raincious
        20
    raincious  
       2016-12-17 17:33:16 +08:00
    @liaoyaoheng

    我上面说的“打包”是打包在安装包里,比如 InnoSetup 、 MSI 或者 InstallShield 之类,然后自动解压出来用脚本执行,不是打包成压缩文件啊。
    liaoyaoheng
        21
    liaoyaoheng  
       2016-12-17 18:06:00 +08:00
    @raincious 我就是问的是如何解压 exe ,不用安装,直接做成绿色版的方法。

    解压方法分享下吗?
    raincious
        22
    raincious  
       2016-12-17 18:38:03 +08:00
    @liaoyaoheng 这要看安装程序是用什么打包的。一些程序需要专门的解包程序才能解开安装包。你可能需要看看文件详情或者看看文件的二进制数据。

    不过,如果那个程序使用安装程序来为它自己注册一些系统项(比如改注册表或者添加服务之类),而运行的时候需要这些系统项的话,就算解压出来也是无法正常运行的。

    如果是上述情况,你可以要求软件的作者来做一个绿色版,而不是想办法来自己写脚本注册。(一些 EULA 的软件是不允许自行修改软件的任何部分的,作者在其中加了坑也说不定)
    woyaojizhu8
        23
    woyaojizhu8  
       2016-12-19 19:02:26 +08:00
    我还从来没有遇到过能自动从微软官网下载运行库的非微软软件,都是报个错,我得手动搜索报错信息,再去寻找运行库并下载
    vonsis
        24
    vonsis  
       2016-12-20 23:53:54 +08:00
    拉黑国内证书,沃桶之类的,蹦 UAC 的时候仔细看看。
    如果一些网站被误伤,考虑一下是否一定要上,一定要上的话再开 firefox ……毕竟它是独立证书。
    billytv
        25
    billytv  
    OP
       2016-12-21 08:19:27 +08:00
    @vonsis 我上面的情况完全不弹 UAC
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2966 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 13:09 · PVG 21:09 · LAX 05:09 · JFK 08:09
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.