雙劍合璧　揪出主頁劫持的幕后黑手

平淡

使用Process Monitor找出創建快捷方式的進程

該問題的主要表現是瀏覽器打開后被劫持到其他的網頁，因此我們先要找到被劫持的原因。在桌面上右擊該快捷方式并依次選擇“屬性一快捷方式”，在“目標”框中可以看到在瀏覽器程序之后被添加了“http：∥hao.ttmmt.com/？v=1030”參數，正是這個參數對瀏覽器進行了劫持（圖1）。

接下來我們再分析快捷方式為什么會“再生”。因為上述的快捷方式在每次刪除后都會被自動恢復，所以顯然在后臺有個特定的進程在重新生成這個快捷方式。切換到圖1所示界面中的“常規”選項卡，看到快捷方式的位置是“C：＼Users＼Public＼Desktop”，即后臺進程每次創建的快捷方式是“C：＼Users＼Public＼Desktop＼Microsoft Edge.Ink”。

那么到底是哪個后臺進程在創建快捷方式？我們可以使用Process Monitor（https：∥docs.microsoft.com/zh-cn/sysinternals/downloads/procmon）進行監控。啟動該軟件后點擊菜單欄中的“Filter”，并勾選“Drop Filtered Events”，再點擊“Filter…”（圖2）。隨后，在打開的窗口中去除所有進程前的監控勾選，在“Display entries matching these condtions”下依次選擇“Path”和“is”，在其后的文本框中輸入“C：＼Users＼Public＼Desktop＼MicrosoftEdge.Ink”，即監控指定路徑下文件的創建事件，用來查看創建上述快捷方式的進程（圖3）。

現在返回到桌面，按提示先刪除該快捷方式，在快捷方式重新出現后返回Process Monitor窗口，可以看到一個名為“scrcons.exe”的進程創建了上述的快捷方式，而且根據生成時間的提示，該進程每隔1個小時就會再次執行創建操作，正是“scrcons.exe”進程的存在才導致了快捷方式不斷地復活（圖4）。

繼續在圖4所示的窗口中選擇“scrcons.exe”進程，右擊并選擇“屬性”，在打開的窗口中切換到“Drocess”選項，可以看到該進程對應“C：＼Windows＼System32＼wbam＼scrcons.exe”。按提示在資源管理器中找到該文件后右擊并選擇“屬性”，在“詳細信息”選項卡下，可以看到這其實是一個系統文件，經過查詢微軟文檔幫助，便可以知道它的主要作用是運行WMI腳本（圖5）。

使用WMI Tools找出后臺運行的WMI腳本

通過上述的方法我們知道了“scrcons.exe”進程并不是病毒文件，那么它為何會不斷地創建上述的快捷方式呢？結合“scrcons.exe”文件作用的描述，現在可以基本判定本次問題很可能是一個WMI腳本劫持所導致的。對于WMI腳本的查看可以通過WMI Tools（https：∥www.adremsoft.com/netcrunch.tools/wmi-tools/）來實現。

完成WMI Tools的安裝后，以管理員身份啟動“WMI Event Viewer”，在程序窗口中點擊第一個筆形圖標打開“WMI Event Registration Editor”窗口，在彈出的“Connect to namespace”框中下拉并選擇“root＼CIMV2”，點擊“OK”（圖6）。

繼續在打開的窗口中展開“EventFiter”，在右側的窗格中可以看到本機正在運行一個名為“VBScriptLKKids_consumer”的活動腳本（圖7）。

現在按提示雙擊該腳本打開其屬性窗口，在“Script Text”選項的“Value”項下可以看到運行的腳本代碼。代碼的內容較多，可以全選復制，然后粘貼到記事本的新建文檔中查看。在代碼中可以看到“http：∥hao.ttmmt.com/？v=1030”（它和圖1顯示的劫持參數是一致的），并且很多常見的瀏覽器都會中招。正是這段代碼創建了快捷方式，并在瀏覽器后添加了劫持參數，它通過“scrcons.exe”在后臺定時加載該腳本，這也正是快捷方式被刪除后會不斷“復活”的真正原因（圖8）。

知道問題出現的原因后，解決的方法就是刪除腳本。返回圖7所示的窗口中，選中“VBSScriptLKKDSfilter”并右擊，然后選擇“Deletel instance”，最后將桌面上的快捷方式的尾巴參數刪除，至此問題得到順利地解決。