作者為：http://www.zhihu.com/people/xiang-liao-hao-jiu

前幾天，突然發現預設瀏覽器的Chrome的主頁被篡改為了hao123。每次第一次開啟，都自動跳轉到http://www.hao123.com/?tn=29065018_59_hao_pg這個網址。自己到網上搜了一下，試了各種方法最終還是無果，本著屌絲懂技術，神都難不住的精神決定自己破掉它。(*^__^*) 嘻嘻……
<一> 縮小包圍圈

1、chrome設定？

2、快捷方式中添加了引數？

3、chrome.exe被篡改或者chrome配置檔案被修改?

將chrome的配置檔案和可執行檔案一同拷貝到虛擬機器中，擦，在虛擬機器中就沒問題。說明問題不在chrome身上。

那會是什麼問題呢？山重水複疑無路，柳暗花明又一村。轉折來了，將chrome.exe重新命名後，再開啟瀏覽器，主頁就是設定的www.google.com.hk，這樣就沒問題了。測試一下，將firxfox.exe重新命名位chrome.exe後，主頁也被篡改位流氓導航頁。看來chrome.exe是個關鍵詞啊！一個解決方案就這樣誕生了，太easy了吧。但是這裡面到底隱藏著什麼奧祕呢？繼續整！

<二>我要看程式碼

1． 先上第一個利刃，microsoft旗下的Process Explorer。

小夥伴們一定看到了Command line下面的編輯框裡有我們久違的流氓url吧。這個Comand line是什麼東東？

現在的問題就是這個command line是誰傳遞給chrome.exe程序的？弄清楚這個問題之前，先要搞清楚，windows下，雙擊或者右鍵開啟應用程式時，該應用程式程序是誰建立的？查閱資料發現，通過雙擊或者右鍵開啟的應用程式程序都是由explorer.exe這個程序呼叫CreateProcess建立的。那麼，我們的流氓url Command line 就一定是explorer.exe傳遞給chrome.exe。看來explorer.exe有問題了。測試一下，通過工作管理員中的建立新任務的方式啟動chrome就沒有流氓導航了。但是通過和虛擬機器中的explorer.exe檔案對比，發現主機和虛擬機器中的兩個檔案完全相同。Exe執行時不光要載入自身的.exe程式檔案，還要依賴一些動態庫dll。是不是dll有問題。利刃2上場。

2、ollydbg閃亮上場。

看到有幾個可疑的非系統dll，QvodExtend.dll, QvodWebBase.dll,按理說explorer.exe是不會依賴非系統dll的。想起來，網上說的解除安裝Qvod可以解決問題。這個怎麼能說卸就卸呢？萬萬不可以的。

問題肯定是在呼叫CreateProcess之前出現的，在當前模組中查詢呼叫CreateProcess的地方，一共有四個點，全部設定斷點，然後除錯explorer.exe程序？當然時除錯失敗了。~~~~（>_<）~~~~

但是重新載入explorer.exe執行，然後檢視kernel32.dll的CreateProcess的程式碼發現了重要的問題。

<三>深入巢穴

QvodWeb如何隨explorer.exe載入，QvodExtend.dll, QvodWebBase.dll到底都做了些什麼？先mark，後面接著整。

1.先看看QvodExtend.dll, QvodWebBase.dll都匯出了些什麼函式。

下面是QvodWebBase.dll匯出的函式。可以看到有InstallWindowsHook鉤子函式。

同時，用IceSword掃描時發現，QvodExtend.dll還是個BHO。

同時，測試發現如果將QvodExtend.dll重新命名後，就不會出現主頁被篡改，同時explorer.exe也不會有QvodExtend.dll和QvodWebBase.dll模組。由此可以推斷，QvodExtend.dll隨explorer.exe或者ieplorer.exe啟動時，會向系統註冊QvodWebBase.dll中的鉤子函式，接著再是載入QvodWebBase.dll時，該dll的DLLMain入口函式會向當前程序注入Jmp指令。

反彙編QvodExtend.dll程式碼可以發現，註冊QvodWebBase.dll中的鉤子函式的程式碼