全部分类

这一刻我清醒了——91视频…我当场清醒:原来是浏览器劫持——我整理了证据链

V5IfhMOK8g2282026-01-16 00:04:02

这一刻我清醒了——91视频…我当场清醒:原来是浏览器劫持——我整理了证据链

这一刻我清醒了——91视频…我当场清醒:原来是浏览器劫持——我整理了证据链

前言 那天我像平常一样打开浏览器想看一段视频,结果页面频繁弹窗、搜索被劫持、新标签不断跳转到不明站点——其中一个频繁出现的域名包含“91视频”。当下有种“被操控”的感觉,恍然间意识到这不是普通广告,而是浏览器劫持。做为长期写作与自我品牌推广的人,我把这次遭遇当成一次案例,完整记录回溯过程并整理出证据链,既保护自己也希望帮助你一眼看清、快速处理。

我当场的直观表现

  • 浏览器首页和默认搜索引擎被替换为陌生页面;
  • 打开任意新标签页都会被重定向到带广告或推荐内容的页面(反复出现“91视频”相关跳转);
  • 浏览器工具栏出现不认识的扩展或插件图标;
  • 电脑性能下降、浏览器频繁卡顿且无法正常关闭弹窗;
  • 检查系统程序列表时发现近期安装过可疑软件或捆绑程序。

我如何收集证据(按时间线) 1) 浏览器内证据

  • chrome://extensions(或对应浏览器扩展页)中发现未经授权的扩展,记录扩展名称、ID、安装日期、权限;
  • chrome://settings/searchEngines 查看被劫持后的默认搜索引擎条目及对应URL;
  • 浏览器快捷方式右键属性中查看目标(Target)参数,劫持常通过在快捷方式后追加参数实现启动劫持。

2) 网络与请求日志

  • 使用浏览器开发者工具(Network)或抓包工具(Fiddler/Wireshark)记录跳转链路和向哪些域名发起请求,截取可疑请求的完整URL、Referer、响应头(尤其是重定向状态码 301/302);
  • netstat -ano 可查看与可疑域名建立连接的进程PID,便于对应进程进行进一步分析。

3) 操作系统层面

  • 检查“添加或删除程序”(或“应用和功能”)的最近安装记录,保存可疑软件名称与安装时间;
  • 检查启动项:Registry(HKCU\Software\Microsoft\Windows\CurrentVersion\Run 与 HKLM 对应项)、任务计划程序(schtasks /query)和启动文件夹中是否有异常条目;
  • 审查 hosts 文件(C:\Windows\System32\drivers\etc\hosts)是否被植入恶意重定向;
  • 用 Process Explorer/任务管理器定位占用网络/CPU 的可疑进程,导出进程信息与路径。

4) 设备与路由器

  • 若发现所有设备(手机、平板、其他电脑)都出现相同重定向,应怀疑路由器 DNS 被篡改,登录路由器管理页检查 DNS 配置与远程管理设置,并保存截图作为证据。

整理出来的证据链示例(简化)

  • 浏览器被替换的默认搜索引擎 URL 指向:xx.91video-redirect[.]com/search?q=%s
  • chrome extension “X插件” 的 manifest.json 显示有 tabs/host 权限,且后台脚本会注入 redirect.js(文件内容含有 302 跳转逻辑)
  • netstat 对应 PID 1234,Process Explorer 显示可执行文件位于 C:\Users\用户名\AppData\Roaming\svchost-helper.exe(可疑)
  • hosts 文件含有条目 127.0.0.1 original-search.com(被替换/注入)
  • 路由器 DNS 被设为 123.123.123.123(非 ISP 提供的地址),且管理员密码使用默认值

清理与修复步骤(可立即操作) 1) 断网与备份

  • 若怀疑路由器被篡改,先断开部分设备网络,避免凭证泄露。保存抓包与截图证据备查。

2) 浏览器层面

  • 卸载/移除所有不认识的扩展,恢复默认搜索引擎与首页,重设浏览器设置并清除缓存与 Cookie;
  • 检查并修正快捷方式目标,删除多余参数。

3) 系统层面

  • 卸载可疑程序(控制面板或设置内),并在卸载后再次检查启动项与任务计划;
  • 删除或修正 hosts 中可疑条目;
  • 用可信反恶意软件工具(例如 Malwarebytes、AdwCleaner、Windows Defender 离线扫描)进行全面扫描并清除威胁;
  • 若发现可疑进程文件,记录路径并在安全环境(可启动到安全模式)下删除,或提交给杀毒引擎分析。

4) 路由器与网络

  • 登录路由器管理后台,检查并修改 DNS 为可信值(例如自动或 8.8.8.8 / 1.1.1.1),更新路由器固件,修改默认管理员密码并关闭远程管理;
  • 若多台设备受影响,重启路由器并对所有设备重复清理步骤。

5) 密码与账号

  • 若在受影响期间曾输入过任何账号密码,应立即在干净设备上修改相关密码,并为重要账号开启双因素认证。

如何避免再次中招(实用建议)

  • 安装扩展时只选择可信来源和少量必要扩展,定期审查权限;
  • 下载软件走官网与官方渠道,安装过程选择自定义安装并取消捆绑项;
  • 浏览器与系统保持更新,启用内置安全防护功能(例如浏览器的安全浏览提示);
  • 使用广告屏蔽器(如 uBlock Origin)降低被恶意弹窗诱导的概率;
  • 定期备份重要资料,必要时使用独立的浏览器/用户配置来隔离工作环境。

  • 不喜欢(1

猜你喜欢

网站分类
最新文章
最近发表
热门文章
    随机文章
      热门标签
      标签列表