每过 1 分钟的样子,Chrome 就会发送一个 DNS 请求,同时请求:
Chrome 版本号为 81.0.4044.92 Chrome 的这个操作是正常的吗?仔细检查了一下电脑,应该是没有中流氓软件 /病毒的。
1
hhacker OP |
2
eason1874 2020-04-12 17:28:13 +08:00
应该是书签里有这些网址吧? Chrome 会先解析好这些域名,提升访问体验,至于 1 分钟解析一次,应该是这些域名解析记录 TTL 只有 1 分钟。
|
3
ClericPy 2020-04-12 17:34:46 +08:00 1
一般是正常的... 考虑用 incognito 模式启动再看看? 有书签的时候好像就老请求
我最服的一点是, 没完没了的请求 favicon.ico... 各个网站都默认请求一次, 默认还 Cache-Control: no-cache...... |
5
clague 2020-04-12 17:42:34 +08:00 via Android
chrome 会自动加载你可能访问的页面提高加载速度,会不会是这个原因。
|
7
hhacker OP 有没有得闲的,做一下 dns sniff 看能复现不?
|
8
xuroid 2020-04-12 17:45:41 +08:00
这是用什么工具看的,我看看我的有没有
|
9
kyoro 2020-04-12 17:49:53 +08:00
下一个 [Adware Removal Tool by TSA] 扫扫,之前自动跳转 hao123 等就是用这个修好的
|
10
xuroid 2020-04-12 18:00:31 +08:00
@xuroid 用 DNSQuerySniffer 工具查看了下,除了打开新网页时有相应网页的 DNS 解析,别的就只有微软的 DNS 解析。其中 windowsupdate 大概 2 分钟请求一次。我书签有 200 多个。
|
12
mengyx 2020-04-12 18:30:28 +08:00
可能是你的 新标签页的最常访问 里面有这些网站
|
13
Lentin 2020-04-12 18:30:42 +08:00
是不是装了什么扩展插件?
|
17
hhacker OP | 2020/4/12 18:33:27 127.0.0.1 : www.2345.com. | A
|- CacheContains : www.2345.com. | Count : 62 | 2020/4/12 18:33:27 127.0.0.1 : www.baidu.com. | A |- CacheContains : www.baidu.com. | Count : 62 | 2020/4/12 18:33:27 127.0.0.1 : www.hao123.com. | A |- CacheContains : www.hao123.com. | Count : 62 | 2020/4/12 18:33:27 127.0.0.1 : www.sogou.com. | A |- CacheContains : www.sogou.com. | Count : 62 奇怪的是用 fiddler 看不到相关的 https/http 请求,如果是被流氓软件刷量的话 应该是可以看到请求的吧 还是现在流氓软件隐藏得太好了? |
18
hhacker OP @mengyx 我用 fiddler 看过了 没有请求,用 wireshark 也没过滤出个有用的包,只能看到 DNS 的请求
|
19
cquyf 2020-04-12 20:50:19 +08:00
暂时没遇到过
|
20
syuraking 2020-04-12 21:11:08 +08:00
检查 WMI 事件
|
21
tenwx 2020-04-12 21:13:18 +08:00
我之前遇到过楼主一样的问题,后来发现原因是安装过 99 宿舍软件,那玩意儿会劫持 winsock,netsh winsock show catalog 可以看到流氓软件的 dll 文件,netsh winsock reset 后解决
|
22
muzuiget 2020-04-12 21:15:06 +08:00
楼主怎么判断这些 DNS 是 Chrome 发出的?
|
23
hhacker OP @muzuiget 不知道是哪里发出的,只能判断和 chrome 有关,因为关掉就没那些请求了
|
24
dot2017 2020-04-12 22:37:44 +08:00
有试过把 chrome 扩展都关了么
|
27
dot2017 2020-04-12 22:46:34 +08:00
单从发送请求的域名来看,感觉是对方想拦截这些域名去刷 referrer,类似于那种广告联盟的行为。
你可以试一下在隐身模式手动打开其中的一个网站,看打开后地址栏 URL 后面有没有加奇怪的后缀,比如?xxxx 另外你是通过快捷方式启动 chrome 的么,看看快捷方式的地址后面是不是加了启动参数 |
28
hhacker OP @dot2017 没有启动参数的,是否在隐身模式也不影响这个 dns 请求重现,不需要访问网站它也会自动请求,只要 chrome.exe 进程在
|
29
hhacker OP 明天做个蜜罐,拦一下这几个网站的访问看看,如果是刷量请求的话这也隐藏得太好了,hold 住连接,应该就能看到打开的端口
|
30
wclebb 2020-04-12 23:44:03 +08:00
最烦的就是这样,因为这样我才把系统重装了。在公司的时候,那时候好像是因为弹广告、网页劫持,唯一怀疑只有自己装看图王( 2345 出品)。
那时候强迫症,查了半天找不出来哪里发起。360 也没用(?) 后来就是重装系统了,再后来我也不用看图王,从此以后安静多了。 |
31
HEROic 2020-04-13 00:26:58 +08:00 via Android
硬核查问题~ 大佬 np
|
32
elfive 2020-04-13 06:19:52 +08:00 via iPhone
试试用火绒查一下病毒。
|
34
yulihao 2020-04-13 08:08:10 +08:00
楼主直接 chrome://version 看看启动命令行,与快捷方式的对比,确认是 chrome 问题还是 LoadProcess 函数被劫持
|
35
hhacker OP @yulihao
命令行 "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --flag-switches-begin --flag-switches-end --enable-audio-service-sandbox 未见异常 |
36
2joe 2020-04-13 09:01:17 +08:00 via iPhone
硬核,等待后续结果
|
37
lincolnhuang 2020-04-13 09:12:44 +08:00
前排围观
|
38
doveyoung 2020-04-13 09:43:26 +08:00
这种问题一般不好查,先 netsh winsock reset 简单粗暴,如果不能解决再慢慢查……emmmmm
|
39
1462326016 2020-04-13 09:52:49 +08:00
有没有可能是搜狗的 dll 注入到了 Chrome,我记得输入法打开了就会注入到对应进程去。可以尝试卸载搜狗输入法尝试下还有没有。
|
40
Les1ie 2020-04-13 10:08:48 +08:00
试试火绒剑?猜测可能是有第三方的程序在检测 chrome 的进程是否存在
1.选择系统,设定过滤,路径过滤,输入 chrome, 2. 找不是 chrome 发起的,但是指向了 chrome 的文件夹的动作 日志比较长可以到处日志,在文本编辑器里面分析。 另外可以看看本机有没有奇怪的启动项,不正常的网络连接 https://i.loli.net/2020/04/13/YP3JcV9EfxFouTq.png https://i.loli.net/2020/04/13/MiOga9xJhdwP4pr.png |
42
hhacker OP @1462326016 未安装搜狗输入法
@Les1ie 火绒剑和 procmon 都分析过 dns 请求前后的日志 未见异常(如果不是隐藏得太好,那就是没有后续操作,但是单一请求个 dns 有啥用捏) @yulihao 已经火绒剑看过了 |
44
realpg 2020-04-13 11:26:13 +08:00
装个 360 扫一遍 狗头
|
45
Cursor1st 2020-04-13 11:26:18 +08:00
试试,备份插件和书签后,清空 chrome 。甚至重装 chrome 试试?
先排除其本身的原因。 |
46
littleylv 2020-04-13 11:28:38 +08:00
好奇,等结果
|
47
Itwillbeok 2020-04-13 11:33:20 +08:00
持续关注。另,这个 chrome,是原版 chrome 么?
|
48
redsonic 2020-04-13 11:58:13 +08:00
先判断是不是 chrome 自己发出的。
新开进程观察 chrome://net-internals/#dns chrome://net-internals/#sockets 也可以记录 log chrome://net-export |
49
hhacker OP @Itwillbeok 原版 chrome v 81.0.4044.92
|
51
hhacker OP @redsonic
The net-internals events viewer and related functionality has been removed. 我用 chrome://net-export 记录 log 试试 |
52
augustheart 2020-04-13 12:43:02 +08:00
1.查看计划任务
2.查看当前运行的进程(以及它们的模块),尝试关闭那些有问题的。 既然改名能解决,绝对是有东西在查找 chrome.exe 。 在内核中的可能性不高。基本上就是在 r3 层。现在的系统进内核要签名的,拿个签名做坏事划不来。 至于杀毒软件的结果不要完全相信,我亲眼见到它和我电脑里面的挖矿病毒谈笑风生。 |
53
hhacker OP @redsonic net-export 分析过了,没有相应的访问和 DNS 请求,应该可以排除 chrome 了,我也仔细对比过 chrome 的签名和 checksum,是没有问题的
|
54
ddup 2020-04-13 12:48:19 +08:00
hosts 里面 把这些域名全部指向 0.0.0.0
|
55
songpengf117 2020-04-13 13:15:39 +08:00 via iPhone
判断联网状态?
|
56
hhacker OP |
57
hhacker OP @songpengf117 你是指 chrome 用这些网站的 DNS 来判断联网状态?这个能否从 chrome 的源码里查到?
|
58
littleylv 2020-04-13 14:52:45 +08:00
|
60
jerrytom0007 2020-04-13 15:38:53 +08:00 via Android
最近安装了某讯手游模拟器,发现 edge 首页添加了百度,默认搜索劫持到百度,搜索框有 tn=的推广信息。手动修复后再次运行该模拟器可重现。最后卸载解决。
|
61
hhacker OP @jerrytom0007 这个我也遇到了,但奇怪的是,ie 或 edge 跳转的初始链接是在 go.microsoft.com 下,网上搜了下跳转后的小尾巴,发现很久以前就有了,有人说是百度给了微软钱?真是没能理解,微软要跳也应该是自家的必应啊。
有种可能性是 go.microsoft.com 被外部利用了 |
62
hhacker OP 已经切到 Windows 的安全模式下调试了,有进展马上更新到帖子里
|
63
est 2020-04-13 15:46:00 +08:00
|
64
jerrytom0007 2020-04-13 15:47:11 +08:00 via Android
@hhacker 我的卸载后已经彻底解决。至于原理,我是外行,真的不懂。
|
65
fonlan 2020-04-13 15:50:04 +08:00
装个 cFosSpeed 监控下连接试试?他能看到当前活动的 TCP 和 UDP 连接以及对应的程序和端口。
|
66
hhacker OP @est 应该不是注入到 chrome.exe 了,而是其它什么进程
安全模式无法重现这些奇怪的 DNS 请求,确认是中招了 |
67
xmt328 2020-04-13 15:54:13 +08:00
赶上了直播查问题
|
69
nnnToTnnn 2020-04-13 16:06:26 +08:00
可以用 glasswire 来分析以下到底是哪个进程。
|
70
Sekai 2020-04-13 16:15:46 +08:00
是不是 win10 自带的那些小程序……
|
71
V4Exp 2020-04-13 16:17:09 +08:00
Wireshark 抓包,看 DNS 请求源端口。
然后在命令行运行 netstat -anop udp 看本地监听 UDP 端口的进程列表,对比确定发送 DNS 请求的进程。 |
72
cydian 2020-04-13 16:20:20 +08:00
跟进。
|
73
yujiang 2020-04-13 16:20:42 +08:00 via Android
我的 chrome 也有一些奇怪的请求...看描述跟我原来挺相似的,后来直接重装好了
|
74
hhacker OP @V4Exp 用 procmon 能看到 dns 请求,但是是 windows 服务 dnscache 发出的。。。。
|
75
wwbfred 2020-04-13 16:51:46 +08:00
要是系统组件的 dll 被挂了钩子了这种情况太难找了.
先检查检查进程命令行和服务吧,看看有没有什么可疑的. |
76
ChangeTheWorld 2020-04-13 17:25:41 +08:00
微软的 Background Intelligent Transfer Service 被利用?
|
77
systemcall 2020-04-13 21:14:41 +08:00
怀疑是 bootkit,现在的广告投放技术越来越先进了。
如果没有特殊需求,不要关闭安全启动,一定要用微软官方的工具装,不要用 PE 安系统。 在 OS 的 bootloader 之前加载了 bootkit 的话,系统里面是看不出来的。不清楚是不是 bootkit 导致的系统启动出现问题。 |
78
azhi2007 2020-04-14 03:23:16 +08:00 via iPhone
等真相
|
79
hhacker OP 对不住支招的各位,目前的这个异常访问的情况超出我的处理能力了,无力反抗
|
80
hhacker OP 最后补充一个信息
在网关层面监控了流量,也没有访问到 2345 等网站 真真正正只是 DNS 请求而已,绕过 hosts 向系统设置的主 DNS/副 DNS 发起的请求,我只能以阿 Q 精神结束此事: 这是 ThinkPad OEM win10 的附带隐藏“福利” (没错!我一台新机器,这锅你就得背!) |
81
salmon5 2020-04-14 08:50:48 +08:00 via Android
重装原版 win10 看看,以前还有 rootkit,现在 w 这个时代还有吗?
|
83
jinliming2 2020-04-14 09:51:54 +08:00 via iPhone
如果是主程序重命名为 chrome.exe 可以复现的话,可以试试写个蜜罐程序命名为 chrome.exe 运行看看能不能抓出 hook 的程序?
|
84
hhacker OP @jinliming2 排查了一下 不是 hook,只是读了指定进程名是否存在
|
85
nrtEBH 2020-04-14 10:28:19 +08:00
神奇了 围观下
|
86
Itwillbeok 2020-04-14 13:33:00 +08:00
神奇了,这一溜看下来,难道真的说是 Lenovo 为了国内用户快速访问常用网站,“人性化贴心”的让 Microsoft 给 win10 定制了这么一个神奇的 Feature ???[捂脸]……
|
87
hhacker OP @Itwillbeok 最不可能的猜测可能就是答案,因为我真的排除到只剩下 win10 的系统服务了 也不在我可以解决的范围内了
|
88
LittleControl 2020-04-14 14:39:07 +08:00
mark 一下,等待问题的根源
|
89
Itwillbeok 2020-04-14 15:28:49 +08:00
@hhacker 我是 thinkpad t480,但买来后就重装了原版 win10,测了下无法复现这个现象。但我觉得联想不至于吧???这几个网站还怕 DNS 解析不及时???
|
90
amazingrise 2020-04-14 16:13:34 +08:00 via Android
很多年前遇到跟楼主差不多的情况,不过是一个 Windows 服务在不停发 DNS 请求(没错,就只有 DNS 请求),目标网站是一个小说网站。拿 PCHunter 查不到任何隐藏服务。后来重装系统问题解决。那时候懂的少,没法诊断。期待楼主后续。
|
91
amazingrise 2020-04-14 16:27:33 +08:00 via Android
补充:系统 Windows7,64 位,组装台式机。上网特别卡,发现是 svchost 在不停发 DNS 请求。这个 svchost.exe 是有签名的,没什么问题。查找不到对应的 Windows 服务。(估计是病毒自己给删掉了)卡巴斯基,小红伞,avast,dr.web 都没查出任何结果,最后重装系统。(大概是刚出 Windows10 那会的事情,很多年了)
|
92
hhacker OP @Itwillbeok 所以这个行为很让人费解,主要是怎么样也没抓到可疑的网站访问流量,光请求个 DNS 有啥用?
|
93
hhacker OP @amazingrise 我没法重装系统。。。重度使用,不想重配各种环境了。
当初开箱没重装主要是想着正版 OEM win10 和 office 家庭版也还是有价值的 |
95
amazingrise 2020-04-14 19:21:56 +08:00
@hhacker 如果绑定了微软帐号,重装 office 和 windows 的相同版本是不影响的(应该都是家庭版?),登录后自动重新激活。这件事跟 oem 应该没啥关系
|
97
bfdh 2020-04-15 09:55:15 +08:00
会不会是浏览器或者系统的联网状态检测?另外,楼主确认到了具体的发包程序了吗?
|
99
locoz 2020-04-15 14:11:39 +08:00
收藏了,持续关注,感觉又是一个大瓜
|
100
yulihao 2020-04-15 16:01:44 +08:00
lz 随便写一个程序,重命名为 chrome.exe 然后看看还有没有请求。推荐用火绒剑,然后过滤掉其他只剩网络,再过滤 tcp,只抓 UDP (非广)
|