不知道从什么时候开始,上网变成了搜狗浏览器。卸载后,过几天又莫名其妙安装上。搜狗也算是名门正派,竟然会用这么恶劣的手段捆绑软件!这么做跟病毒有什么区别?!

专门花时间重现了搜狗推广的手段,顺手看到搜狗还有一个调试信息输出开关,只要增加一个注册表值,如果有这个键值就会把调试信息打出来,开着debugview就能监控到搜狗在搞什么小动作:

windowsRegistryEditorVersion5.00
[HKEY_CURRENT_USER\Software\SogouInput]
"lotusdebug"=dword:00000001
捆绑安装浏览器:技术剖析搜狗输入法中的猫腻

捆绑安装浏览器:技术剖析搜狗输入法中的猫腻

如果电脑没有装360,搜狗输入法直接就去服务器下载运行一个推广程序,这个地址就是搜狗服务器上的一个静默推广包:

http://download.ie.sogou.com/se/semini/SEMini_3.0.0.571_7805.exe

如果电脑有360,搜狗输入法推广浏览器的云控代码都在内存里,大概过程是这样的:

第一步,静默下载。sogoucloud.exe和云端通信,根据云端指令把搜狗浏览器的安装包下载回来。云控数据域名请求是下面抓包的内容:


捆绑安装浏览器:技术剖析搜狗输入法中的猫腻

捆绑安装浏览器:技术剖析搜狗输入法中的猫腻

第二步,经过请求内容解密出代码,代码功能里有从搜狗官网下载安装包,创建随机目录把安装包放进去,都是一些常见下载工具的目录,比如把搜狗浏览器安装包放到360、百度或者迅雷的下载目录里,不管你电脑里有没有装这些软件:


捆绑安装浏览器:技术剖析搜狗输入法中的猫腻

捆绑安装浏览器:技术剖析搜狗输入法中的猫腻

搜狗浏览器的安装包还会被放到以下固定的地方,都是搜狗输入法的目录,省的下次再去下载了。大家可以到下图中标红的路径里找找,类似sgim_sehelper.bin之类的文件都是搜狗浏览器的安装包:


捆绑安装浏览器:技术剖析搜狗输入法中的猫腻

捆绑安装浏览器:技术剖析搜狗输入法中的猫腻

第三步,模拟用户点击来安装搜狗浏览器。explorer里的sogou.ime会下载远控的shellcode执行后选择时机去推广浏览器,通过PostMessageW发消息自动模拟点击下载好的浏览器,这个浏览器安装包也通过进程间通信隐藏了安装界面,所以莫名其妙就装上了。如果一直盯着,全过程只会看到电脑上突然打开一个文件夹,又被关掉,然后就多了个搜狗浏览器。


捆绑安装浏览器:技术剖析搜狗输入法中的猫腻

捆绑安装浏览器:技术剖析搜狗输入法中的猫腻

PostMessageW模拟点击这都是我以前写外挂时最常用的,不过我是用来操作游戏,搜狗用来搞流氓推广。

[本文系作者投稿,不代表本站观点]
tags: 搜狗,浏览器,安装,下载,输入法,推广,电脑,目录,PostMessageW,sogou,云控,exe,点击,模拟
分页:12
转载请注明
本文标题:捆绑安装浏览器:技术剖析搜狗输入法中的猫腻
本站链接:http://www.codesec.net/view/56516.html
分享请点击:


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 工具软件 | 评论(0) | 阅读(368)