阿里云優(yōu)惠券 先領券再下單

每次回家總是聽到爸媽念叨，“電腦越來越卡”、“桌面上莫名其妙多了一堆快捷方式”，再問問前因后果，好像是因為下載一個播放器，要么是安裝某程序時一直點下一步造成的，其實是中了“流氓推廣程序”。

什么是流氓推廣?顧名思義——性質是“流氓”，目的是“推廣”。他們會想盡一切辦法把合作廠商的程序安裝到你的電腦上，以此賺取豐厚的“推廣費用”，其實用技術的角度來看也就是下載軟件，然后通過“靜默安裝”偷偷給用戶裝上去。

流程分析

首先，只有當你下載并打開這類程序才會引發(fā)后續(xù)一系列的“流氓行為”，此類程序的下載頁面通常……

有這樣的：

這樣的：

還有……這樣的……(為了本文能順利發(fā)出而不至于收到有關部門的快遞，對圖像做了一些必要的處理，且處理范圍略大……)

我想大家也都明白，這種網站小朋友看了根本把持不住啊……結果當然是言聽計從的人家讓干什么就干什么，讓裝個播放器還不痛快?但你只要裝了——就中招了!

其實這個網站根本就是一個假的，哪怕你裝了所謂的“播放器”回到這個網站，它還是依然會再彈出來，類似的網站還有讓你發(fā)鏈接給好朋友，滿多少人才可以訪問蕓蕓。

分析

此類程序大多是NSIS安裝包，直接解壓即可看到里面的程序。但玄機卻在NSIS腳本中。每個NSIS包都帶有一個安裝腳本，NSIS安裝包除了釋放包里的文件之外，還會根據這個腳本的內容做一些額外的工作。問題就在于此：

一個163的博客是怎么回事?懷著好奇的心情打開了這個鏈接。

呵呵呵一看到這個就明白了，是軟件利用163博客隱藏下載地址，直接右鍵查看源代碼：

果然是和我猜想的一樣(弱爆了有沒有，哥玩剩下的)，接著咱們用虛擬機抓包看看：

以下是我虛擬機測試中的一個進程截圖，圈出來的進程全都是正在推廣的程序安裝進程：

很可惜，居然連360防護都過不去，開啟360的情況下會被無情的閹割(果然還是太蠢了，難道不會利用360快盤做中介嗎?)

原文地址：

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！