找回密码
 加入网盟
分割线

有用户联系到我截图如下,问如何找到是谁下发的这个广告(图中红框的位置)。


▲图一


很多新手朋友遇到这个可能一脸懵逼。要不就是用排除法,把第三方软件比如营销活动、计费软件挨个去掉测试。这里我们来学习一下更加简单快速的方法。根据 Windows 系统基本知识,我们假设这些红框内的按钮是属于一个第三方程序创建的类似按钮一样的窗体,附加到了LOL客户端上,所以我们可以按照如下方法开始查。


1、我们先用任意一款窗口工具来查看上图红框内的按钮是属于哪个进程。
我这里使用的是维护大师窗口猎手。下载传送门:http://www.clxp.net.cn/thread-13969-1-1.html  

当然你也可以使用微软的 Pocess Explorer 这个好工具.
我们使用维护大师窗口猎手的标记功能,用鼠标单击这个瞄准器图标不松手: ,把瞄准器拖放到上图(图一)中红框内的按钮上再松手,这个时候我们会发现维护大师窗口猎手上如下信息:

▲图二


我们记住进程ID是4716,进程路径是“C:\Windows\SysWOW64\ipvcf.exe”,说明图一中的几个LOL上的广告按钮图标就是属于这个进程的。

2、我们来找下这个广告进程是谁下发的。
我选择使用维护大师自带的进程树功能,因为这个功能使用起来非常方便,是定位进程的神器,进程关系清晰完整,还能防止伪造父进程,一旦拥有,别无所求。值得注意的是,只有挂盘安装的维护大师客户端才能正常使用这个功能。
我们在安装了维护大师的服务器上打开维护大师控制台,找到客户机列表,我们现在使用的是 K-035 这个机器,右击 K-035 这个机器,选择“查看进程树”:



▲图三



我们等待进程树加载完成,看到如下信息:


▲图四


我们按下“Ctrl+F”来搜索进程ID4716。在图四中,我们可以清晰的看到进程ID为4716的这个进程的所有父进程关系,很明显这个进程是由一个叫“svchost.exe *32”的进程创建的,而他们最开始都是由一个叫“yeba**lient.exe”的进程启动的,为防止不必要的麻烦,图中进程名称已打码。
Winlogon.exe是系统进程,它启动了“yeba**lient.exe”,这个动作是正常的,因为“yeba**lient.exe”是一款计费软件客户端,我们在超管下安装计费时被写入了启动项,否则客户机开机是不会进入到计费界面的。
那么这个问题基本上可以下结论,该LOL客户端上的广告是这款计费软件下发的。

实际上 Windows 系统上存在着各种远程注入DLL或代码执行的行为,以及傀儡进程行为,在当下网吧系统环境无比复杂的场景下,单纯根据进程关系来判断问题,并不是100%准确,所以以上结论仅仅可以作为参考,排查方法也很简单,适合一般情况下使用,更高级的排查方法以后我们会再分享。



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?加入网盟

x
分享至 : QQ空间
收藏

0 个回复

您需要登录后才可以回帖 登录 | 加入网盟
关闭

华夏网盟推荐 上一条 /1 下一条