关于电脑剪贴板被劫持,请问如何排查及解决办法

2021-03-04 16:20:12 +08:00
 zoughan

前两天发现 ETH 、BTC 的钱包地址复制粘贴后会被替换,

ETH 被强制替换为:0xe2B7a0c7bC21E000B8327713513b9D4d2620A414

BTC 被强制替换为:36GSG5ZRMGoLFCGmFCSFYEow3QrT5Bjwdv

其它类型钱包地址暂未测试

4624 次点击
所在节点    信息安全
13 条回复
brader
2021-03-04 16:22:16 +08:00
我觉得这是个很严重的问题,即使你当时解决了,也担心留下隐患,我建议你还是狠狠心,格盘后,重装系统吧,这是最保守的做法了。
7654
2021-03-04 16:31:00 +08:00
你是哪里复制的,也许你在网页上看到的和复制的不一样,在复制时已经替换了,实际系统剪切板并没有修改过 https://v2ex.com/static/img/doge.gif
zoughan
2021-03-04 16:33:32 +08:00
@brader 这个办法只能是没办法的办法了
@7654 只要是对应的字符数就会被替换,不管在哪
brader
2021-03-04 16:41:32 +08:00
@7654 不关网页的事,这个是一个木马软件,已经出来好几年了,你可以去搜相关新闻,前几年数字货币大火,一些黑客想方设法盗取数字币,其中一种方式就是出了这样一款恶意程序,检测到用户复制的是数字货币地址,就替换成自己的地址导致用户转错帐。
kop1989
2021-03-04 16:44:36 +08:00
这病毒还算是有点过去病毒的艺术遗风。

比那种全盘加密勒索摊手要钱的强多了😂
Jirajine
2021-03-04 16:48:16 +08:00
Windows 上好像没有太好的办法,尝试 trace 一下 win32 api ?
先把非官方的、非开源的软件排查一下吧。
tankren
2021-03-04 16:55:22 +08:00
https://cloud.tencent.com/developer/article/1171133
eason1874
2021-03-04 17:00:36 +08:00
想起以前的网址劫持,网址导航全部强制跳转到带推广尾巴的,HTTP 劫持,软件劫持,注册表劫持,DLL 劫持,甚至替换 explorer.exe

这方面的奇技淫巧太多了,很难排查,有一些会埋定时器,你现在排查到改正了,过一段时间定时器触发又会给你改回来

重装系统吧
zhyl
2021-03-04 17:07:49 +08:00
windows 可以试试火绒剑监听系统事件
realpg
2021-03-04 23:03:32 +08:00
如果你有不依赖杀毒软件的手动杀毒能力,那直接硬排查异常就行了
如果没有,就别研究了,老老实实重装系统,不装来源不明的软件,打好补丁就完事
no1xsyzy
2021-03-05 15:46:41 +08:00
Clipboard Format Spy 似乎可以看到 Owner
赞同 #8 的同时,我认为排除目前已知的问题,避免被带到下一个系统也是必要的
no1xsyzy
2021-03-05 15:47:08 +08:00
别的地方的图突然看到:
https://files.catbox.moe/z1f53b.png
https://files.catbox.moe/699snu.png
echome
2021-03-08 23:28:32 +08:00
windows 内核版本低的话 可试试一些常见的 ark 软件,看看 hook 就行 。
或者简单的是 process hacker 看下监控

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/758479

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX