[警告] 这种劫持真的很贱, 完全防不胜防

2016-12-12 20:18:23 +08:00
 billytv
现在很多游戏 /软件安装时都要求安装各种 VC/net.运行库存. 通常都是安装程序自动连到微软官网下载. 这时安装程序带的肯定是管理员权限.

如果这时遇上劫持....



(vcredist_x86_2010_sp1_x86.exe 运行库已经被劫持了)

由于国内流氓软件都自带证书, 我安装的毛豆默认设置下都没有运行许可弹窗, 只弹了防火墙联网的窗, 弹了两个, 第二个才看出来是 QQ 管家的联网, 恶心死了. 这种劫持 UAC 完全防不住.

PS: ISP 是广州联通
5231 次点击
所在节点    宽带症候群
25 条回复
h4x3rotab
2016-12-12 20:34:06 +08:00
肉翻可破
raincious
2016-12-12 20:40:32 +08:00
如果我打包的话一般会自己带好,安装的时候解压出来。直接下载安装既不安全,也不鲁棒。

另外这种确实比较恐怖,甚至于如果 ARP 可以可以玩起来的话,基本上目标可能毫无防备的就中招了。
lxy
2016-12-12 20:54:36 +08:00
路过,顺便一提。
我这里微博也是被劫持到 cb.9mtd.com/** 下的推广,最烦的还是随机出现劫持,而且微博还没有 https 。查了一下服务器部署在 linode 日本节点,也是厉害。推广参数 c=spr_sinamkt_buy_yinsu_weibo_****,搜索这个参数可以找到一大堆受害者,而且都不知道自己已经被劫持的,都是在今年下半年才出现。如果有在微博工作的朋友希望能 ban 一下这个推广者。
bclerdx
2016-12-12 22:23:29 +08:00
怎么看出是被劫持了的?
xbb7766
2016-12-12 22:24:41 +08:00
@bclerdx 第三个图标和大小明显不对
terence4444
2016-12-12 22:41:00 +08:00
本来以为自己小心一点是不会装上的,但是现在看来,还是必须把国内厂商的这些证书拉黑。
xfspace
2016-12-12 22:53:44 +08:00
建议先用 Wireshark/Finder 抓包看看是不是从 Microsoft 下载,单从文件名这个证据无法成立。
中立,勿喷。
xfspace
2016-12-12 22:56:07 +08:00
@xfspace Finder->Fiddler
billytv
2016-12-13 08:59:00 +08:00
@xfspace 我安装的是国外游戏, 具体从哪里下载我也不知道. 10G 的游戏懒得重新安装再抓包, 已经直接将证书拉黑
ragnaroks
2016-12-13 09:19:11 +08:00
@billytv 用 Steam 吧,Steam 上发行的游戏一定会自带运行库,没有运行库的游戏且被报告无法正常运行会直接被下架处理
ZRS
2016-12-13 09:45:30 +08:00
我一直以为劫持 apk 就已经够无耻了…看来还是高估了下限
Jasmine2016
2016-12-13 16:12:01 +08:00
我低估了国内厂商的流氓能力。。。惭愧
rhen
2016-12-13 21:37:21 +08:00
@Jasmine2016 是运营商劫持的,厂商只是帮凶
rhen
2016-12-13 21:44:38 +08:00
刚才去微软的下载中心逛了下,发现已经全 HTTPS 下载了,开发者也改成 HTTPS 链接的话应该就解决了。主要还是运营商的问题。现在各大应用商店被逼的都做了反劫持,网页直接加上为了避免劫持请下载客户端,也是 6 。
rhen
2016-12-13 21:50:43 +08:00
@terence4444 运营商劫持的东西万一不是各大流氓了怎么办,毕竟一次就一个流氓,要是搞个集合全家桶换首页安装器就。。
Khlieb
2016-12-13 21:54:13 +08:00
@Jasmine2016 运营商跟某些巨头企业拉上了关系,用💰牵线的
lslqtz
2016-12-14 12:34:44 +08:00
默认开启 UAC ,不用杀毒,每次启动我都看一下数字证书才许可。
nighteagle
2016-12-14 17:16:20 +08:00
以前用过 Comodo 防火墙,是自带证书(包括国内的证书),现在不知道什么情况,把自带证书都删了,这下每个联网程序都该弹窗了,但这属于事后弥补,安装包都下好了 : (
liaoyaoheng
2016-12-17 10:52:56 +08:00
@raincious 解压 exe 有什么好方法?

ps : winrar 解,很多解不出,有些解出了还不能用。
raincious
2016-12-17 17:33:16 +08:00
@liaoyaoheng

我上面说的“打包”是打包在安装包里,比如 InnoSetup 、 MSI 或者 InstallShield 之类,然后自动解压出来用脚本执行,不是打包成压缩文件啊。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/327153

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX