日韩啪啪啪小视频免费,啊视频中文字幕免费播放,亚洲激情四射久久久久久

卡飯網(wǎng)友爆料：主頁被鎖，原來是騰訊管家被流氓網(wǎng)站利用

2015-10-23 13:22:40 來源：卡飯論壇搶沙發(fā)

2015-10-23 13:22:40 來源：卡飯論壇

摘要：近日有卡飯網(wǎng)友發(fā)帖，爆料稱瀏覽器主頁被鎖且無法更改，在對可疑程序程序進行深入分析后，找到了問題根源。以下為論壇原文及詳情分析：
關(guān)鍵詞：騰訊管家

近日有卡飯網(wǎng)友發(fā)帖，爆料稱瀏覽器主頁被鎖且無法更改，在對可疑程序程序進行深入分析后，找到了問題根源。以下為論壇原文及詳情分析：

昨天群里有人說起主頁被木馬鎖了，怎么改都改不回來。問了下，是裝了“神器青蛙PC版”被搞的。要來下載地址自己安裝分析了下，元兇竟然是騰訊管家。。它的主頁鎖定功能可以通過安裝參數(shù)任意設(shè)置利用，被流氓網(wǎng)站用來搶主頁。我自己寫了個腳本驗證了下，發(fā)現(xiàn)這是個比較嚴重的問題，希望騰訊的官人能夠重視下！

1、中招過程

“神奇青蛙PC版”軟件下載頁面，廣告圖片過于露骨特別處理了下：

找到正確的下載位置：

將這個壓縮包下載回來后，解壓。我不知道有多少人和我的第一反應(yīng)一樣——下回來之后先setup一下：

如果誰也習(xí)慣性手賤的點了setup.exe，那么你就悲劇了：

那位中招小伙伴的遭遇在我的測試機器上重演：主頁變?yōu)閣ww.987.com/?gj的導(dǎo)航網(wǎng)站。再看電腦，同時也裝上了騰訊電腦管家，“瀏覽器保護”功能的設(shè)置自動設(shè)定為這個導(dǎo)航網(wǎng)站。

2、深入分析

這個神奇青蛙和騰訊管家究竟有啥關(guān)系呢？右鍵查看setup.exe的文件屬性，結(jié)果竟然是…

原來，所謂的神奇青蛙，其實就是騰訊管家的安裝包，它在安裝時有個命令行頗有意思，已經(jīng)設(shè)定了DefaultIE參數(shù)。

我專門把完整命令行復(fù)制出來給大家鑒賞：

/S ##supply=70540&qqpcmgr=0&recommand=3&DefaultIE="http://www.987.com/?gj"

“/S”想必就是silent（靜默）的意思了，而后面的supply顯然是推廣ID，qqpcmgr和recommand兩個參數(shù)雖然字面意思很明顯，但數(shù)值的含義并不清楚，也不必太糾結(jié)。最后的DefaultIE是個URL，看字面，難道IE默認主頁？

安裝完成后，最終結(jié)果顯而易見，主頁就這么被鎖定了。

而當(dāng)我試圖對主頁進行修改的時候，騰訊電腦管家非常敬業(yè)的阻止了我的操作：

那么問題來了，運行安裝包時通過命令行參數(shù)指定要修改并鎖定主頁，這個舉措合乎規(guī)矩嗎？

3、隨意利用

完全不需要用戶手動設(shè)置，僅憑安裝時的一個參數(shù)，就決定了安裝后要修改并鎖定的網(wǎng)址是什么。這種做法看似簡單易行，但對于一款具有很高底層權(quán)限的安全軟件來說，似乎有一些草率。

那是不是給出任意的參數(shù)，安裝包都會乖乖執(zhí)行呢？我特意寫了個腳本自己驗證了一下，利用騰訊管家把主頁鎖定360.com。驗證時還特意選擇了從騰訊官網(wǎng)下載的最新安裝包，結(jié)果大功告成。

測試腳本如下：

腳本運行之后，騰訊電腦管家果然把360.com鎖定成了系統(tǒng)首頁，無限和諧~

也就是說，修改參數(shù)后，騰訊電腦管家依舊會將私自設(shè)定的鏈接鎖定為首頁。這種簡單易行的手法，不要說高端黑客，我等小菜也能輕松實現(xiàn)。作為一款“安全軟件”，騰訊電腦管家未免太大意了。

鎖定主頁本來是為了防流氓的，現(xiàn)在看來，卻成了耍流氓的利器。希望騰訊官人務(wù)必重視，千萬被給流氓網(wǎng)站當(dāng)了幫兇。

第四十一屆CIO班招生
國際CIO認證培訓(xùn)
首席數(shù)據(jù)官（CDO）認證培訓(xùn)

責(zé)編：fanwei

免責(zé)聲明：本網(wǎng)站（http://www.www.gypb.net/）內(nèi)容主要來自原創(chuàng)、合作媒體供稿和第三方投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。
本網(wǎng)站刊載的所有內(nèi)容（包括但不僅限文字、圖片、LOGO、音頻、視頻、軟件、程序等）版權(quán)歸原作者所有。任何單位或個人認為本網(wǎng)站中的內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，請及時通知本站，予以刪除。