V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zoughan
V2EX  ›  信息安全

关于电脑剪贴板被劫持,请问如何排查及解决办法

  •  2
     
  •   zoughan · 2021-03-04 16:20:12 +08:00 · 5084 次点击
    这是一个创建于 1344 天前的主题,其中的信息可能已经有所发展或是发生改变。

    前两天发现 ETH 、BTC 的钱包地址复制粘贴后会被替换,

    ETH 被强制替换为:0xe2B7a0c7bC21E000B8327713513b9D4d2620A414

    BTC 被强制替换为:36GSG5ZRMGoLFCGmFCSFYEow3QrT5Bjwdv

    其它类型钱包地址暂未测试

    13 条回复    2021-03-08 23:28:32 +08:00
    brader
        1
    brader  
       2021-03-04 16:22:16 +08:00
    我觉得这是个很严重的问题,即使你当时解决了,也担心留下隐患,我建议你还是狠狠心,格盘后,重装系统吧,这是最保守的做法了。
    7654
        2
    7654  
       2021-03-04 16:31:00 +08:00
    你是哪里复制的,也许你在网页上看到的和复制的不一样,在复制时已经替换了,实际系统剪切板并没有修改过 https://v2ex.com/static/img/doge.gif
    zoughan
        3
    zoughan  
    OP
       2021-03-04 16:33:32 +08:00
    @brader 这个办法只能是没办法的办法了
    @7654 只要是对应的字符数就会被替换,不管在哪
    brader
        4
    brader  
       2021-03-04 16:41:32 +08:00   ❤️ 2
    @7654 不关网页的事,这个是一个木马软件,已经出来好几年了,你可以去搜相关新闻,前几年数字货币大火,一些黑客想方设法盗取数字币,其中一种方式就是出了这样一款恶意程序,检测到用户复制的是数字货币地址,就替换成自己的地址导致用户转错帐。
    kop1989
        5
    kop1989  
       2021-03-04 16:44:36 +08:00   ❤️ 1
    这病毒还算是有点过去病毒的艺术遗风。

    比那种全盘加密勒索摊手要钱的强多了😂
    Jirajine
        6
    Jirajine  
       2021-03-04 16:48:16 +08:00 via Android   ❤️ 1
    Windows 上好像没有太好的办法,尝试 trace 一下 win32 api ?
    先把非官方的、非开源的软件排查一下吧。
    tankren
        7
    tankren  
       2021-03-04 16:55:22 +08:00
    eason1874
        8
    eason1874  
       2021-03-04 17:00:36 +08:00   ❤️ 2
    想起以前的网址劫持,网址导航全部强制跳转到带推广尾巴的,HTTP 劫持,软件劫持,注册表劫持,DLL 劫持,甚至替换 explorer.exe

    这方面的奇技淫巧太多了,很难排查,有一些会埋定时器,你现在排查到改正了,过一段时间定时器触发又会给你改回来

    重装系统吧
    zhyl
        9
    zhyl  
       2021-03-04 17:07:49 +08:00   ❤️ 1
    windows 可以试试火绒剑监听系统事件
    realpg
        10
    realpg  
       2021-03-04 23:03:32 +08:00   ❤️ 1
    如果你有不依赖杀毒软件的手动杀毒能力,那直接硬排查异常就行了
    如果没有,就别研究了,老老实实重装系统,不装来源不明的软件,打好补丁就完事
    no1xsyzy
        11
    no1xsyzy  
       2021-03-05 15:46:41 +08:00
    Clipboard Format Spy 似乎可以看到 Owner
    赞同 #8 的同时,我认为排除目前已知的问题,避免被带到下一个系统也是必要的
    no1xsyzy
        12
    no1xsyzy  
       2021-03-05 15:47:08 +08:00
    echome
        13
    echome  
       2021-03-08 23:28:32 +08:00
    windows 内核版本低的话 可试试一些常见的 ark 软件,看看 hook 就行 。
    或者简单的是 process hacker 看下监控
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5383 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 46ms · UTC 07:40 · PVG 15:40 · LAX 23:40 · JFK 02:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.