大家好，我是究極工具人老貓。實(shí)不相瞞，過(guò)去的兩周內(nèi)，我的電腦瀏覽器被劫持了十多次，心態(tài)被徹底搞崩的同時(shí)，我也被動(dòng)學(xué)會(huì)了很多破解主頁(yè)劫持的方法。

在又一次跟某毒霸主頁(yè)戰(zhàn)斗了一整天并艱難取勝后，我覺(jué)得是時(shí)候?qū)懸黄鶕?jù)自身經(jīng)驗(yàn)總結(jié)的的主頁(yè)搶救教程了。接下來(lái)，我會(huì)盡量以簡(jiǎn)潔的語(yǔ)言、使用易于操作的工具講述幾種經(jīng)典的劫持套路和應(yīng)對(duì)方法，希望能幫助您挽回干凈清爽的主頁(yè)。

1.必要的準(zhǔn)備工作

假設(shè)現(xiàn)在我們面前有一臺(tái)被劫持主頁(yè)的電腦，在開(kāi)始之前，我們需要做一些必要的準(zhǔn)備工作。

核實(shí)電腦上的殺毒軟件/安全衛(wèi)士有沒(méi)有開(kāi)啟瀏覽器保護(hù)功能。

這一步是至關(guān)重要的——攘外必先安內(nèi)，一定要核實(shí)主頁(yè)是不是被你所掌管的殺毒軟件“壟斷”了。如果是，請(qǐng)?jiān)谥黜?yè)鎖定工具中更改網(wǎng)址或取消鎖定。不同的殺毒軟件操作流程大同小異，下面我以毒霸為例給出示范：

核實(shí)瀏覽器自身主頁(yè)設(shè)置和實(shí)際顯示是否一致

在排除了瀏覽器劫持是“內(nèi)鬼所為”的可能性后，接下來(lái)需要核實(shí)當(dāng)前瀏覽器內(nèi)部的設(shè)置狀態(tài)——如果瀏覽器內(nèi)部主頁(yè)設(shè)定和實(shí)際顯示一致，說(shuō)明你的電腦并沒(méi)有真正“中毒”，或者說(shuō)“病毒”對(duì)主頁(yè)的篡改方式是用戶(hù)級(jí)別的。這就很好解決了，直接按常規(guī)方法將主頁(yè)修改即可，方法同下面這個(gè)被篡改主頁(yè)的Chrome瀏覽器類(lèi)似：

OK，如果排除了殺毒軟件“監(jiān)守自盜”和中了“假病毒”的可能，接下來(lái)就可以開(kāi)始?xì)⒍玖恕?/p>

2.靜態(tài)主頁(yè)劫持

首先來(lái)介紹第一種常見(jiàn)的劫持——靜態(tài)主頁(yè)劫持，其實(shí)這個(gè)名字是我自己瞎起的，作為一個(gè)被劫多了的普通用戶(hù)，如果定義不嚴(yán)謹(jǐn)還請(qǐng)專(zhuān)業(yè)大佬勿怪。

那啥叫靜態(tài)主頁(yè)劫持呢？通俗點(diǎn)講，就是在你的瀏覽器快捷方式屬性欄中.exe后增添了一個(gè)固定不變的網(wǎng)址后綴，比如www.2x45.com、www.hao12x.com。

無(wú)論你設(shè)置的主頁(yè)是什么，只要你雙擊打開(kāi)這個(gè)快捷方式，瀏覽器的第一個(gè)網(wǎng)頁(yè)永遠(yuǎn)是這個(gè)不變的網(wǎng)址。下面我以這個(gè)Chrome為例作出示范：

這個(gè)有點(diǎn)“燈下黑”的意思——只要你沒(méi)有留意或者見(jiàn)到過(guò)類(lèi)似的套路，就算裝十個(gè)殺毒軟件，掃描一百次磁盤(pán)也解決不了。所以如果看到你的瀏覽器主頁(yè)有類(lèi)似后綴，直接刪除.exe后邊的網(wǎng)址，然后重啟瀏覽器就OK了。

如果過(guò)幾天后綴網(wǎng)址又被加回來(lái)了，那就回憶一下最近有沒(méi)有安裝相關(guān)的軟件，如果被劫持到2345，就回憶一下有沒(méi)有裝全家桶的成員；如果被劫持到毒霸網(wǎng)址大全，就回憶一下有沒(méi)有裝金山系的軟件；最后，回憶一下最近有沒(méi)有安裝破解工具、高速下載器之類(lèi)的。如果有，請(qǐng)卸載，因?yàn)槎〞r(shí)篡改主頁(yè)文件一定在最近安裝的軟件中。

2.病毒文件劫持

這個(gè)名字也是我自己起的，高大上的理論我就不多說(shuō)了（因?yàn)槲乙彩莻€(gè)半吊子），就直接上實(shí)戰(zhàn)了。

首先，按“Ctrl+Alt+Del”組合鍵調(diào)出任務(wù)管理器，點(diǎn)擊“應(yīng)用程序——新任務(wù)”，在彈出的運(yùn)行窗口中輸入被劫持瀏覽器的進(jìn)程名。如果你不知道，就先通過(guò)桌面快捷方式打開(kāi)瀏覽器，然后在任務(wù)管理器中尋找對(duì)應(yīng)的名字：比如IE瀏覽器叫iexplore.exe、chrome瀏覽器叫chrome.exe。

我分別以這兩個(gè)被毒霸劫持的瀏覽器為例示范：

如果你的電腦通過(guò)任務(wù)管理器打開(kāi)主頁(yè)顯示正常，那恭喜你，已經(jīng)可以確診了。

右鍵單擊打開(kāi)瀏覽器屬性——選擇打開(kāi)文件位置——找到磁盤(pán)中的瀏覽器.exe文件——右鍵將其改名——發(fā)送到桌面快捷方式，也就是說(shuō)只需當(dāng)前瀏覽器的名字改掉，病毒文件就無(wú)法鎖定瀏覽器進(jìn)程，從而無(wú)法修改主頁(yè)。下面是示范：

如果您的目標(biāo)是搶回被篡改的主頁(yè)使瀏覽器正常使用，那么就不需要再往下看了。

如果想要刨根問(wèn)底將篡改主頁(yè)的元兇徹底剿滅的話(huà)，就需要用一些輔助工具了。

使用進(jìn)程分析工具Processexplorer，這是一款可以追蹤Windows進(jìn)程附加依賴(lài)項(xiàng)的分析工具，直接百度下載安裝即可。

以被劫持的Chrome.exe為例，首先將其打開(kāi)，在Processexplorer中尋找該進(jìn)程附加的依賴(lài)項(xiàng)。

具體過(guò)程如下圖：

第一步：在Chrome.exe的依賴(lài)項(xiàng)中尋找有無(wú)可疑.dll后綴項(xiàng)，如果有根據(jù)磁盤(pán)位置找到并刪除。

第二步：在Explorer.exe的依賴(lài)項(xiàng)中尋找有無(wú)可疑的.dll后綴項(xiàng)，這里幾乎是百分百有的，因?yàn)镋xplorer.exe就是Windows桌面程序，我們已經(jīng)試驗(yàn)過(guò)從桌面意外打開(kāi)瀏覽器是不會(huì)被劫持的，所以一定有.dll文件對(duì)桌面下手。

第三步：右鍵選中Explorer.exe，選擇“Restart”，也就是重啟桌面，然后重啟Chrome瀏覽器，打開(kāi)后發(fā)現(xiàn)主頁(yè)恢復(fù)正常。

怎么判斷可疑呢？很簡(jiǎn)單，凡是windows/win32中的dll文件都是系統(tǒng)庫(kù)文件，嫌疑較小可以排除。剩下的.dll文件都可以通過(guò)路徑判斷是屬于哪個(gè)軟件的，比如我的電腦上除了系統(tǒng)文件就是百度輸入法和kingsoft路徑下的文件，已知kinsoft文件夾下安裝的都是金山系的產(chǎn)品，直接在磁盤(pán)中刪除這幾個(gè)可疑dll，然后重啟桌面程序和瀏覽器，發(fā)現(xiàn)主頁(yè)恢復(fù)正常了。

其它瀏覽器的查找過(guò)程也類(lèi)似：打開(kāi)瀏覽器——找到瀏覽器進(jìn)程排查可疑項(xiàng)——排查桌面進(jìn)程Explorer.exe的可疑項(xiàng)——全部刪除——重啟桌面瀏覽器。

如果上述方法不能解決您的問(wèn)題還請(qǐng)?jiān)谠u(píng)論區(qū)留言，撓禿了頭也會(huì)盡力幫你解決。我是貓貓