你可能不知道黑料每日——真正靠的是浏览器劫持的常见迹象 · 我整理了证据链

你可能不知道黑料每日——真正靠的是浏览器劫持的常见迹象 · 我整理了证据链

简介 很多人以为“黑料每日”“今日头条之类”的广告流量靠内容或社交传播，但背后常常有更直接的推手：浏览器劫持（Browser Hijacking）。本文把常见表现、如何取证、清除与预防方法，一条条整理成可操作的证据链，帮你判断网站或流量是否来自劫持而非自然传播。

一、常见的浏览器劫持表现（快速识别）

• 主页/新标签页被篡改：浏览器打开主页或新标签页后并非你设定的页面。
• 默认搜索引擎被替换：搜索结果先跳转到其它搜索/广告聚合页面，再重定向到目标。
• 自动重定向或频繁跳转：访问任意站点会被重定向到特定广告/色情/博彩页面。
• 弹窗、插页广告异常多：广告形式非正常，页面加载时大量第三方广告脚本。
• 未授权安装的扩展：浏览器扩展栏出现你没有安装或不认识的扩展。
• 浏览器设置被锁定或灰显：主页、搜索、扩展管理等无法修改或恢复。
• 可疑快捷方式：桌面/任务栏的浏览器快捷方式 Target 字段被追加参数（比如 --proxy-server=、--app=）。
• HTTPS/证书异常：访问本应安全的网站出现证书错误或被替换为自签名证书。
• DNS/代理被篡改：系统或路由器的 DNS 指向陌生解析；系统代理被设置为第三方服务器。
• 性能问题与异常进程：CPU、网络占用增加，出现与浏览器相关的可疑进程或服务。

二、如何收集证据（从易到深） 目标是把“异常现象”串成可复现、可证明的链条。

1) 浏览器内核证据

• 扩展列表：打开浏览器扩展页（Chrome 输入 chrome://extensions/，Edge 输入 edge://extensions/），截图或记录可疑扩展名、ID、安装时间、来源（是否来自 Chrome Web Store）。
• 扩展文件夹：在 Windows 上查看 %LOCALAPPDATA%\Google\Chrome\User Data\Default\Extensions（或 Edge 的对应路径），记录扩展文件夹和 manifest.json 中的 update_url、permissions。
• 搜索/主页设置与策略：检查 chrome://settings/searchEngines、chrome://settings/onStartup 及 chrome://policy；若策略页显示由管理员强制设置，说明存在注册表/策略下发。

2) 快捷方式与启动参数

• 右键浏览器快捷方式 → 属性 → 目标（Target），检查是否有额外参数（例如 --proxy-server=、--host-resolver-rules=、--load-extension= 等）。截图保存。
• 检查“运行时”是否被特定参数劫持（这会在每次启动时加载恶意模块）。

3) 系统级证据

• Hosts 文件：打开 C:\Windows\System32\drivers\etc\hosts，搜索异常条目（将常见搜索引擎/常用网站指向陌生 IP）。
• 代理设置：Windows 设置 → 网络 → 代理，或命令 netsh winhttp show proxy。记录代理地址。
• DNS 配置：读取 ipconfig /all 的 DNS 服务器条目；若是路由器被篡改，DNS 可能是局域网网关或陌生 IP。
• 系统启动项与注册表：检查 HKCU\Software\Microsoft\Windows\CurrentVersion\Run 和 HKLM...\Run 及 Scheduled Tasks（计划任务），寻找可疑的启动脚本或程序名。使用 Autoruns 工具能一次性查看和导出清单。
• 证书：运行 certmgr.msc 或 mmc → 添加证书，检查“受信任的根证书颁发机构”下是否存在陌生 CA。

4) 网络与流量证据

• netstat -ano / 协议查看：找出浏览器或可疑进程与哪些 IP/域有长时间连接。
• 抓包：用 Wireshark 或 Fiddler 抓取请求，观察请求是否被重写、被注入脚本、或重定向到广告聚合域。导出 PCAP 或会话记录作为证据。
• 浏览器网络面板：打开开发者工具（F12）→ Network，重现跳转/广告，保存 HAR 文件，查看 3xx 重定向链、Referer、请求头中是否携带可疑参数。

5) 可重复的行为 任何一次劫持行为都要能被再次触发并记录：如每次访问某站点都会被重定向到相同广告页面；记录时间戳、触发页面、重定向目标。保留下载历史（浏览器下载记录和系统临时文件夹），对比安装/更新时间可确认是哪次安装或软件引发了劫持。

三、典型劫持手法与证据对应

• 恶意扩展：证据——扩展 ID、manifest 中权限（tabs、webRequest、webRequestBlocking）、update_url 指向外部服务器、扩展文件夹中新添加的脚本注入点。
• 劫持快捷方式/启动参数：证据——目标参数、文件修改时间、安装程序日志。
• 修改 Hosts/DNS：证据——hosts 文件条目、ipconfig /all 记录、路由器管理页面（需要截图或备份配置）。
• 使用本地代理或中间服务（MITM）：证据——系统代理地址、未知本地进程监听端口（netstat 显示 127.0.0.1:端口）、自签名证书出现在可信根。
• 利用系统策略强制安装（企业策略或伪造策略）：证据——chrome://policy 页面、Windows 注册表下的 Policies 键。
• 打包到免费软件安装器（PUPs）：证据——安装包名称、安装日志、安装时的复选项快照、文件创建时间。

四、快速清除步骤（先手动、再工具） 按先易后难、先记录后修改的顺序操作，以免破坏证据链：

1) 记录与备份

• 对可疑现象进行截图（扩展页、快捷方式目标、代理设置页面、hosts 文件、chrome://policy 页面、开发者工具的网络抓包）。
• 导出扩展清单、HAR/PCAP、netstat 输出、Autoruns 导出。

2) 浏览器层面清理

• 禁用/卸载可疑扩展；若扩展受策略控制需先删除相关注册表策略或使用企业策略移除方法。
• 重置浏览器设置（Chrome：设置 → 重置并清理 → 恢复设置为原始默认值）。
• 检查并修正快捷方式 Target 字段，确保没有额外参数。
• 清除浏览器缓存和Cookie，导出必要书签。

3) 系统与网络修复

• 检查并恢复 hosts 文件（用可信备份或清空非注释行）。
• 恢复 DNS（设回 运营商或可靠公共 DNS，如 1.1.1.1/8.8.8.8，根据需要）。
• 取消系统代理设置（Windows：设置→网络→代理，或 netsh winhttp reset）。
• 用 netsh winsock reset 和 ipconfig /flushdns 清理网络堆栈。
• 删除可疑启动项、计划任务和服务。使用 Autoruns 或通过任务计划程序手动删除。
• 卸载与劫持时间点一致的陌生软件。

4) 病毒与恶意软件扫描

• 使用可信杀毒引擎（Windows Defender）与专用清理工具（Malwarebytes、AdwCleaner、HitmanPro）进行全面扫描与清除。
• 若怀疑深度篡改（证书、内核级驱动），在安全模式或离线环境下扫描，必要时使用应急引导盘或重装系统。

5) 路由器检查

• 登录路由器管理界面，检查 DNS、固件版本、已启用的远程管理、端口转发。若路由器被篡改，恢复出厂并更新固件、设置强密码。

五、防护与长期对策（让劫持难以再来）

• 安装扩展前先看评分、评论和开发者主页。尽量只用官方扩展商店评分高且长期维护的扩展。
• 安装软件时选择“自定义安装”，取消捆绑的安装项；避免点击“下一步”直到看清选项。
• 保持系统、浏览器和扩展更新，关闭不必要的插件（Flash、Java 已过时的插件要卸载）。
• 使用标准化的密码、启用两步验证，避免在受劫持网络中登录重要帐号。
• 定期检查浏览器扩展、快捷方式与代理设置，保持敏感性。
• 路由器设置强密码、禁止远程管理，定期更新固件并检查 DNS 设置。

六、如果你要展示证据给别人看（例如举报/投诉）

• 按时间线整理证据：何时出现、访问哪个页面、如何重定向、被重定向到哪儿、附件（HAR、PCAP、截图）。
• 标注关键证据点：扩展 ID、hosts 条目、注册表键、代理地址、可疑 IP（并反查域名、WHOIS 信息）。
• 保留原始文件（日志、导出文件），并做只读备份以备调查。