V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  hhacker  ›  全部回复第 22 页 / 共 35 页
回复总数  690
1 ... 18  19  20  21  22  23  24  25  26  27 ... 35  
2020-04-16 00:32:00 +08:00
回复了 hhacker 创建的主题 Google Chrome 会发送奇怪的 DNS 请求到 2345、hao123、baidu 和 sogou
1. dns request from C:\WINDOWS\system32\svchost.exe -k NetworkService -p -s Dnscache
2. disable dnscache REG add "HKLM\SYSTEM\CurrentControlSet\services\Dnscache" /v Start /t REG_DWORD /d 4 /f
3. source to C:\WINDOWS\System32\svchost.exe -k LocalSystemNetworkRestricted -p -s NcbService
4. NcbService (Network Connection Broker 允许 Windows 应用商店应用从 Internet 接收通知的代理连接。) ncbservice.dl
5. NcbService 依赖 连接设备平台服务(此服务用于连接设备平台方案)
6. 禁用 Network Connection Broker 服务
7. MsMpEng.exe ( Antimalware Service Executable )发出 dns 请求( C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2003.8-0\MsMpEng.exe )
8. 关闭 windows defender ( reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender" /v "DisableAntiSpyware" /d 1 /t REG_DWORD /f )
9. C:\WINDOWS\system32\svchost.exe -k netsvcs -p -s Winmgmt(Windows Management Instrumentation) WMI 服务
10. wmi 相关文档 url https://www.freebuf.com/articles/system/187792.html
11. wmi 检测工具 https://www.slideshare.net/Hackerhurricane/detecting-wmi-exploitation-v11

_______________________
以上是今天的进度,初步缩小范围至 wmi
2020-04-15 16:53:00 +08:00
回复了 hhacker 创建的主题 Google Chrome 会发送奇怪的 DNS 请求到 2345、hao123、baidu 和 sogou
我是这样想的,既然安全模式是干净的,那现在肯定是有流氓在
2020-04-15 16:52:10 +08:00
回复了 hhacker 创建的主题 Google Chrome 会发送奇怪的 DNS 请求到 2345、hao123、baidu 和 sogou
append 数量满了,后续内容更新到回复里
2020-04-15 16:51:15 +08:00
回复了 hhacker 创建的主题 Google Chrome 会发送奇怪的 DNS 请求到 2345、hao123、baidu 和 sogou
@yulihao 现在恢复了系统备份,还在一月份的备份里就已经有这些可疑请求了
可惜我开箱的时候没做全盘备份,不然这锅就好扔了
我打算有空的时候再处理了,感谢各位关注
2020-04-15 10:51:17 +08:00
回复了 hhacker 创建的主题 Google Chrome 会发送奇怪的 DNS 请求到 2345、hao123、baidu 和 sogou
@bfdh 没能定到源头,进程里只看到 Windows 的 DNS 系统服务发出的
2020-04-15 08:52:48 +08:00
回复了 hhacker 创建的主题 Google Chrome 会发送奇怪的 DNS 请求到 2345、hao123、baidu 和 sogou
@9yu 各种环境设置不想再重做一遍了,无法重装,只能忍了
2020-04-14 17:07:30 +08:00
回复了 hhacker 创建的主题 Google Chrome 会发送奇怪的 DNS 请求到 2345、hao123、baidu 和 sogou
@amazingrise 我没法重装系统。。。重度使用,不想重配各种环境了。
当初开箱没重装主要是想着正版 OEM win10 和 office 家庭版也还是有价值的
2020-04-14 17:05:43 +08:00
回复了 hhacker 创建的主题 Google Chrome 会发送奇怪的 DNS 请求到 2345、hao123、baidu 和 sogou
@Itwillbeok 所以这个行为很让人费解,主要是怎么样也没抓到可疑的网站访问流量,光请求个 DNS 有啥用?
2020-04-14 14:02:52 +08:00
回复了 hhacker 创建的主题 Google Chrome 会发送奇怪的 DNS 请求到 2345、hao123、baidu 和 sogou
@Itwillbeok 最不可能的猜测可能就是答案,因为我真的排除到只剩下 win10 的系统服务了 也不在我可以解决的范围内了
2020-04-14 10:18:02 +08:00
回复了 hhacker 创建的主题 Google Chrome 会发送奇怪的 DNS 请求到 2345、hao123、baidu 和 sogou
@jinliming2 排查了一下 不是 hook,只是读了指定进程名是否存在
2020-04-14 09:10:48 +08:00
回复了 hhacker 创建的主题 Google Chrome 会发送奇怪的 DNS 请求到 2345、hao123、baidu 和 sogou
@salmon5 重装成本太高 现在没法做
2020-04-14 08:38:26 +08:00
回复了 hhacker 创建的主题 Google Chrome 会发送奇怪的 DNS 请求到 2345、hao123、baidu 和 sogou
最后补充一个信息
在网关层面监控了流量,也没有访问到 2345 等网站
真真正正只是 DNS 请求而已,绕过 hosts 向系统设置的主 DNS/副 DNS 发起的请求,我只能以阿 Q 精神结束此事:
这是 ThinkPad OEM win10 的附带隐藏“福利”
(没错!我一台新机器,这锅你就得背!)
2020-04-14 08:23:44 +08:00
回复了 hhacker 创建的主题 Google Chrome 会发送奇怪的 DNS 请求到 2345、hao123、baidu 和 sogou
对不住支招的各位,目前的这个异常访问的情况超出我的处理能力了,无力反抗
2020-04-13 16:31:56 +08:00
回复了 hhacker 创建的主题 Google Chrome 会发送奇怪的 DNS 请求到 2345、hao123、baidu 和 sogou
@V4Exp 用 procmon 能看到 dns 请求,但是是 windows 服务 dnscache 发出的。。。。
2020-04-13 15:59:31 +08:00
回复了 hhacker 创建的主题 Google Chrome 会发送奇怪的 DNS 请求到 2345、hao123、baidu 和 sogou
@fonlan 我试试这个,排除法太难做了
2020-04-13 15:50:39 +08:00
回复了 hhacker 创建的主题 Google Chrome 会发送奇怪的 DNS 请求到 2345、hao123、baidu 和 sogou
@est 应该不是注入到 chrome.exe 了,而是其它什么进程
安全模式无法重现这些奇怪的 DNS 请求,确认是中招了
2020-04-13 15:43:28 +08:00
回复了 hhacker 创建的主题 Google Chrome 会发送奇怪的 DNS 请求到 2345、hao123、baidu 和 sogou
已经切到 Windows 的安全模式下调试了,有进展马上更新到帖子里
2020-04-13 15:42:18 +08:00
回复了 hhacker 创建的主题 Google Chrome 会发送奇怪的 DNS 请求到 2345、hao123、baidu 和 sogou
@jerrytom0007 这个我也遇到了,但奇怪的是,ie 或 edge 跳转的初始链接是在 go.microsoft.com 下,网上搜了下跳转后的小尾巴,发现很久以前就有了,有人说是百度给了微软钱?真是没能理解,微软要跳也应该是自家的必应啊。
有种可能性是 go.microsoft.com 被外部利用了
2020-04-13 15:19:48 +08:00
回复了 hhacker 创建的主题 Google Chrome 会发送奇怪的 DNS 请求到 2345、hao123、baidu 和 sogou
@littleylv chrome 的这里有百度、搜狗、360,默认是 google,这些都是安装的时候自己带的
2020-04-13 13:31:33 +08:00
回复了 hhacker 创建的主题 Google Chrome 会发送奇怪的 DNS 请求到 2345、hao123、baidu 和 sogou
@songpengf117 你是指 chrome 用这些网站的 DNS 来判断联网状态?这个能否从 chrome 的源码里查到?
1 ... 18  19  20  21  22  23  24  25  26  27 ... 35  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1235 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 12ms · UTC 17:38 · PVG 01:38 · LAX 09:38 · JFK 12:38
Developed with CodeLauncher
♥ Do have faith in what you're doing.