请选择 进入手机版 | 继续访问电脑版

死性不改BBS - 网维行业自由、中立的技术与信息交流平台

 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

搜索
热搜: 万能包 GHO
绝地求生(外服)公告 | 绝地求生(腾讯)公告英雄联盟-官网公告 | 官方论坛 | 服务器状态穿越火线-官网公告 | 官方论坛地下城与勇士-官网公告 | 官方论坛
查看: 1348|回复: 6

[求助] 关于QQ偷偷发广告的问题

[复制链接]

1

主题

8

帖子

0

精华

级别:幼儿园

人气
0
精华
0
金币
48
经验
39
注册时间
2019-6-9
发表于 2019-6-9 23:46:47 | 显示全部楼层 |阅读模式

别装深沉了,赶快来凑凑热闹吧!

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
离开网吧工作很多年了

最近一些事情,在家用移动的网络一直做不了事情,就去网咖做点事情(也就很无聊的一些网页看看)

这间网咖白天我也去过,做同样的事情但没发生这情况(都是开浏览器用隐身模式看网页,开2个QQ,一个微信,一个技术员自己添加的红警2)

但深夜2点半去上机之后,4点多,有人AT我说我发广告

我一脸懵逼我什么时候发广告了?

结果我看了下QQ

发现QQ发了很多相同的内容到群里面

QQ截图20190608042628.png

但我一个QQ窗口都没打开过

???我的马也~

我立即打开任务管理器看了下情况

立即跟网吧网管说了下情况

而网吧网管见到之后也说:他也遇到这情况,而且不止一次,但总找不到问题在哪里

我查看了很久,排除是网吧自己带病毒的问题(因为如果是带病毒的话,早上我上机也应该出现这情况)

用死性不改系统自带的mySP工具箱看了下也没发现什么奇怪的东西(这个网咖用得是16年的死性不改WIN7系统)

剩下只怀疑是收费系统的问题了?

不知道有谁也出现过这情况呢?

QQ图片20190608042525.png

QQ图片20190608042242.png

QQ图片20190608042246.png

如果你想回报坛友,最好的方法是为其加【人气】积分,为他人加人气积分不会扣除自己的积分,去做一个懂得回报的人吧!

[这是默认签名,更换签名点这里!]

34

主题

717

帖子

0

精华

级别:管理员

人气
49
精华
0
金币
1543
经验
5310
注册时间
2017-5-24

优秀会员宣传达人突出贡献优秀版主

QQ
发表于 2019-6-10 09:25:33 | 显示全部楼层
1、可能是利用某个漏洞下发的木马,比如flash漏洞;
2、可能是某些网吧软件主动下发的广告附带的
如果你想回报坛友,最好的方法是为其加【人气】积分,为他人加人气积分不会扣除自己的积分,去做一个懂得回报的人吧!

[这是默认签名,更换签名点这里!]

0

主题

4

帖子

0

精华

级别:小学

人气
0
精华
0
金币
38
经验
372
注册时间
2017-8-14
发表于 2019-6-10 11:23:20 | 显示全部楼层
前两年上网这情况特别多,现在基本遇不到
如果你想回报坛友,最好的方法是为其加【人气】积分,为他人加人气积分不会扣除自己的积分,去做一个懂得回报的人吧!

[这是默认签名,更换签名点这里!]

10

主题

90

帖子

0

精华

级别:小学

人气
0
精华
0
金币
39
经验
836
注册时间
2018-5-11
发表于 2019-6-10 12:51:57 | 显示全部楼层
这算投毒啊 这个可以报案的 黑产
如果你想回报坛友,最好的方法是为其加【人气】积分,为他人加人气积分不会扣除自己的积分,去做一个懂得回报的人吧!

[这是默认签名,更换签名点这里!]

1

主题

8

帖子

0

精华

级别:幼儿园

人气
0
精华
0
金币
48
经验
39
注册时间
2019-6-9
 楼主| 发表于 2019-6-11 00:14:17 | 显示全部楼层
维护大师技术A 发表于 2019-6-10 09:25
1、可能是利用某个漏洞下发的木马,比如flash漏洞;
2、可能是某些网吧软件主动下发的广告附带的

所以原因不是很清楚,因为开机之后pubwin产生的文件很多,有些文件我复制出来之后扔到在线病毒扫描网站提示有毒(病毒类型都是木马下载类)所以就怀疑是不是pubwin在晚上搞什么鬼(因为我早上也上过,没发现有这个问题)

关于广告的网页内容是这样的
https://mp.weixin.qq.com/s/pBn8cWcZ1VifJC98bLblwA?m=1559938493

点击最下面跳转之后产生2个网页地址,最后跳到百度(可能是用浏览器打开吧,检测不是微信打开的所以就跳到百度)
fufum.com
http://uqj.shancha9131.cn/

所以不清楚到底是什么原因导致了
如果你想回报坛友,最好的方法是为其加【人气】积分,为他人加人气积分不会扣除自己的积分,去做一个懂得回报的人吧!

[这是默认签名,更换签名点这里!]

2

主题

18

帖子

0

精华

级别:幼儿园

人气
0
精华
0
金币
48
经验
195
注册时间
2018-10-7
发表于 2019-6-12 11:00:17 | 显示全部楼层
跟我一样,我这个把星期也出现了这个问题,我这是 安网+龙管家+营销大师+顺网无线+小白浏览器+特权网吧  , 你查出是什么问题没有
QQ截图20190612105808.png
如果你想回报坛友,最好的方法是为其加【人气】积分,为他人加人气积分不会扣除自己的积分,去做一个懂得回报的人吧!

[这是默认签名,更换签名点这里!]

16

主题

128

帖子

0

精华

级别:初中

人气
1
精华
0
金币
34
经验
919
注册时间
2017-7-9
发表于 2019-6-12 13:39:25 | 显示全部楼层
实现偷发消息这种功能呢我认为有2种途径,一种是外部进程获取QQ的进程句柄,然后远线程或插入文件实现发消息的功能。
另一种则是QQ进程加载的模块里面包含了偷发消息的模块。
针对第一种途径我个人的看法是向每一个进程都插一个文件拦截openprocess,看是哪些进程获取了QQ进程的句柄。
第二种途径的应对方式比较难,因为模块如果是有问题的,加载后有可能会隐藏自身,使得正常的模块查询方法无法看到它。
(如果那个模块没有隐藏,直接找到它“暴揍一顿”)
但也不是没办法,这类模块会随着QQ的启动而加载,并且加载后发消息功能无法立马使用,因为QQ可能还没登录完成。
那么要等登录完成后再去偷发消息就必然需要一个线程来循环检查是否登录完成。这个时候查看QQ内所有的线程。
剩下的就看个人的经验了。我会这么做,先查看每个线程的起始地址,然后在内存中定位到线程起始地址看内存是否属于某模块。
如果该内存块只属于QQ则用汇编工具打开QQ主程序搜索内存块中的某段代码,如果能搜到,那就是正常的内存块。搜不到,那就是模块加载后隐藏后的结果,我的处理方法是定位这块内存的特征,然后QQ启动后检查每个线程的起始地址,对比它们地址所在内存块的特征是否是那个偷发广告的特征,如果是则结束该线程或者将该线程挂起,并在线程的头部汇编“ret”
但这只是下策,上策还是想办法找到那个幕后黑手程序。
如果你想回报坛友,最好的方法是为其加【人气】积分,为他人加人气积分不会扣除自己的积分,去做一个懂得回报的人吧!

[这是默认签名,更换签名点这里!]
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|死性不改BBS - 网维行业自由、中立的技术与信息交流平台 ( 浙ICP备14029261号 )

浙公网安备 33010302001723号

GMT+8, 2019-9-21 15:39 , Processed in 0.080018 second(s), 29 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表