域名預(yù)訂/競價，好“米”不錯過

每次回家總是聽到爸媽念叨，“電腦越來越卡”、“桌面上莫名其妙多了一堆快捷方式”，再問問前因后果，好像是因?yàn)橄螺d一個播放器，要么是安裝某程序時一直點(diǎn)下一步造成的，其實(shí)是中了“流氓推廣程序”。

什么是流氓推廣?顧名思義——性質(zhì)是“流氓”，目的是“推廣”。他們會想盡一切辦法把合作廠商的程序安裝到你的電腦上，以此賺取豐厚的“推廣費(fèi)用”，其實(shí)用技術(shù)的角度來看也就是下載軟件，然后通過“靜默安裝”偷偷給用戶裝上去。

流程分析

首先，只有當(dāng)你下載并打開這類程序才會引發(fā)后續(xù)一系列的“流氓行為”，此類程序的下載頁面通常……

有這樣的：

這樣的：

還有……這樣的……(為了本文能順利發(fā)出而不至于收到有關(guān)部門的快遞，對圖像做了一些必要的處理，且處理范圍略大……)

我想大家也都明白，這種網(wǎng)站小朋友看了根本把持不住啊……結(jié)果當(dāng)然是言聽計從的人家讓干什么就干什么，讓裝個播放器還不痛快?但你只要裝了——就中招了!

其實(shí)這個網(wǎng)站根本就是一個假的，哪怕你裝了所謂的“播放器”回到這個網(wǎng)站，它還是依然會再彈出來，類似的網(wǎng)站還有讓你發(fā)鏈接給好朋友，滿多少人才可以訪問蕓蕓。

分析

此類程序大多是NSIS安裝包，直接解壓即可看到里面的程序。但玄機(jī)卻在NSIS腳本中。每個NSIS包都帶有一個安裝腳本，NSIS安裝包除了釋放包里的文件之外，還會根據(jù)這個腳本的內(nèi)容做一些額外的工作。問題就在于此：

一個163的博客是怎么回事?懷著好奇的心情打開了這個鏈接。

呵呵呵一看到這個就明白了，是軟件利用163博客隱藏下載地址，直接右鍵查看源代碼：

果然是和我猜想的一樣(弱爆了有沒有，哥玩剩下的)，接著咱們用虛擬機(jī)抓包看看：

以下是我虛擬機(jī)測試中的一個進(jìn)程截圖，圈出來的進(jìn)程全都是正在推廣的程序安裝進(jìn)程：

很可惜，居然連360防護(hù)都過不去，開啟360的情況下會被無情的閹割(果然還是太蠢了，難道不會利用360快盤做中介嗎?)

原文地址：

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！