你可能不知道91网,真正靠的是浏览器劫持的常见迹象 · 我整理了证据链
引言 很多人访问网站时只看页面内容,很少注意背后是否有流量劫持或浏览器设置被篡改的痕迹。本文不是简单的指控,而是把一套可复现的检测方法、常见迹象和证据链整理出来,帮助你判断某个站点(例如“91网”这类目标)是否通过劫持浏览器获得流量或植入广告/插件。最后给出清理与自检步骤,以及如何负责任地上报线索供安全研究者核验。
什么是浏览器劫持(简述) 浏览器劫持通常指主页、默认搜索引擎、标签页、新建页或广告行为被未经用户同意更改。实现手段多样:捆绑安装、恶意或被滥用的浏览器扩展、中间人注入、修改系统代理或 DNS、以及劣质广告网络的脚本注入等。劫持目标通常是导流、展示广告、窃取搜索数据或植入更多广告软件。
常见迹象(用户层面容易发现的)
- 主页或新标签页被替换为陌生页面,且无法恢复到原设定。
- 默认搜索引擎被替换,搜索结果重定向到不熟悉的站点或充斥广告。
- 访问特定网站时频繁出现强制跳转、弹窗或新标签页打开广告;跳转路径中出现短链或中转域名。
- 浏览器出现陌生工具栏、扩展或插件,且无法直接删除或反复被恢复。
- 浏览器加载速度大幅下降、标签页随机崩溃或高频CPU/网络使用。
- 系统网络设置(代理、DNS)被更改,或 hosts 文件中有异常条目。
- 在不同设备或不同网络下访问同一目标,出现一致的被劫持行为(说明问题在服务器端或第三方广告链)。
如何构建证据链(可复现、可核验的线索) 要把“可疑”变成“有价值的线索”,需要收集可复现的证据并按时间/类型组织。下面是一个实用流程及需要保存的证据类型:
1) 现场记录(保留原始现场数据)
- 截屏/录像:记录劫持发生的完整过程(从访问 URL、跳转、弹窗到最终页面)。保存带有时间戳的视频或多张截图。
- URL 与请求路径:记录初始 URL、跳转链(中间域名、跳转参数)、最终着陆页。建议复制浏览器地址栏完整 URL 并保存。
2) 浏览器与扩展信息
- 扩展列表:导出/截图扩展页(含扩展 ID、版本、来源、权限)。Chrome 可通过 chrome://extensions 查看,并保存开发者模式下的扩展 ID。
- 搜索引擎/主页设置:截图设置页,记录被替换的值。
3) 网络层证据
- HAR 文件:在 DevTools 的 Network 面板中保存 HAR(含请求/响应头、重定向链)。HAR 能展示跳转链、Referer、Set-Cookie、脚本加载来源等关键证据。
- pcap(若熟悉):使用 Wireshark 捕获访问流量,保存 DNS 查询、HTTP 重定向和可疑连接记录。
4) 二进制/安装程序证据
- 安装程序或插件包:若访问过程包含下载,保存原始安装包并算 SHA256。上传到 VirusTotal 验证检测率。
- 可疑可执行文件:保存样本并隔离环境分析。
5) 系统痕迹
- hosts、代理、DNS 设置截图或导出。
- 注册表或 autorun(Windows)中可疑条目截图(用 Autoruns 或 RegShot 导出并保存)。
- 计划任务、启动项、服务等列表导出。
6) 第三方检测与历史记录
- VirusTotal/URLScan:把可疑 URL、文件提交到 VirusTotal 和 URLScan,保存检测报告(截图与链接)。
- Chrome/Firefox WOT 等信誉评级、社交媒体或安全论坛的讨论截取。
- CT(证书透明度)或 WHOIS:保存证书信息、域名注册信息、历史 DNS 记录(例如通过 SecurityTrails、Wayback 或 DNSDumpster)。
如何把这些证据组织成链条(示例结构)
- 起点:访问 http://example-91site.com(截图+HAR)
- 跳转链:example-91site.com → mid-track.com/?id=XXX → search-themed.com(HAR/请求头+Referer)
- 注入点:在 mid-track 的响应中包含
最新留言