V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
hhacker
V2EX  ›  Google

Chrome 会发送奇怪的 DNS 请求到 2345、hao123、baidu 和 sogou

  •  7
     
  •   hhacker · 2020-04-12 17:22:16 +08:00 · 15093 次点击
    这是一个创建于 1722 天前的主题,其中的信息可能已经有所发展或是发生改变。

    每过 1 分钟的样子,Chrome 就会发送一个 DNS 请求,同时请求:

    1. www.baidu.com
    2. www.2345.com
    3. www.hao123.com
    4. www.sogou.com

    Chrome 版本号为 81.0.4044.92 Chrome 的这个操作是正常的吗?仔细检查了一下电脑,应该是没有中流氓软件 /病毒的。

    https://i.imgur.com/PUhGY8B.png

    第 1 条附言  ·  2020-04-12 19:08:36 +08:00
    尝试把 chrome.exe 改成 cc.exe 再运行,就没有那些请求了,是外部有什么程序在监控 chrome.exe 进程吗?
    查了一圈,发现 windows 下没有办法可以查到发起 dns 请求的程序
    第 2 条附言  ·  2020-04-13 12:33:15 +08:00
    给大佬们汇报下蜜罐情况

    1. 本机 www.2345.com host 指向 127.0.0.1
    2. 自签了 www.2345.com 的 ssl 证书并配好了 nginx conf
    3. access_log /home/wwwlogs/honeypot.log

    手动访问能收到相应的日志,观察一段时间后并没有任何标准端口( 80/443 )的访问进来,这一点也和 fiddler 没截获到可疑访问的表现相一致。

    巨大的疑问号
    第 3 条附言  ·  2020-04-13 15:21:43 +08:00
    已确认中招了,但这个流氓具体藏在哪里还没找到,现在又发现了以下几点:
    1. 打开 ie 或 edge 也会触发
    2. firefox 不会触发
    3. firefox.exe 改名成 chrome.exe 运行会触发
    第 4 条附言  ·  2020-04-13 15:31:14 +08:00
    把 firefox.exe 改成
    MicrosoftEdgeCP.exe 或 chrome.exe 或 iexplore.exe 100%复现
    第 5 条附言  ·  2020-04-13 15:33:19 +08:00
    这些 dns 请求无视本机的 hosts,目前的情况看是针对 chrome 、ie 、和 edge 进行了监控
    第 6 条附言  ·  2020-04-13 16:00:59 +08:00
    安全模式无法复现,正常启动可复现
    第 7 条附言  ·  2020-04-13 16:35:17 +08:00
    用 Process Monitor 看所有的进程都是合法签名过的,没有可疑注入。
    干到这里觉得这事儿可能有点超纲了,难道是 win10 自己干的,单就绕过 hosts 这一层就有点不太能 get 到
    第 8 条附言  ·  2020-04-13 17:06:32 +08:00
    补充一个复现的条件:
    改名成 chrome.exe/iexplore.exe/MicrosoftEdgeCP.exe 的程序必须自身是会联网的,纯单机的 exe 不会触发
    超纲了超纲了,今天就这样了,有思路了再搞
    第 9 条附言  ·  2020-04-13 18:55:32 +08:00
    最新进展:
    autoruns 把非微软家的服务 /启动项全关了
    重启进不去系统,跳自动修复然后修复失败,安全模式都进不去了,强行修复了一波结果 chrome 坏了,vs code 也坏了
    第 10 条附言  ·  2020-04-14 01:01:16 +08:00
    系统是 thinkpad t480s 原装的 win10 家庭版,开箱附带了一些联想的软件。
    没有重装过系统,开了 secure boot,如果有 bootkit 。。。也是 oem 自带的了。。。
    108 条回复    2021-05-13 17:18:09 +08:00
    1  2  
    hhacker
        1
    hhacker  
    OP
       2020-04-12 17:25:03 +08:00


    奇怪 为什么图床不显示
    eason1874
        2
    eason1874  
       2020-04-12 17:28:13 +08:00
    应该是书签里有这些网址吧? Chrome 会先解析好这些域名,提升访问体验,至于 1 分钟解析一次,应该是这些域名解析记录 TTL 只有 1 分钟。
    ClericPy
        3
    ClericPy  
       2020-04-12 17:34:46 +08:00   ❤️ 1
    一般是正常的... 考虑用 incognito 模式启动再看看? 有书签的时候好像就老请求

    我最服的一点是, 没完没了的请求 favicon.ico... 各个网站都默认请求一次, 默认还 Cache-Control: no-cache......
    hhacker
        4
    hhacker  
    OP
       2020-04-12 17:40:31 +08:00
    @eason1874 书签里没有这些网址,一个也没有
    clague
        5
    clague  
       2020-04-12 17:42:34 +08:00 via Android
    chrome 会自动加载你可能访问的页面提高加载速度,会不会是这个原因。
    hhacker
        6
    hhacker  
    OP
       2020-04-12 17:44:17 +08:00
    @clague 这个我也想过,但是我一直是用 google 的,没用过百度,什么 2345 我都不知道是啥
    hhacker
        7
    hhacker  
    OP
       2020-04-12 17:45:01 +08:00
    有没有得闲的,做一下 dns sniff 看能复现不?
    xuroid
        8
    xuroid  
       2020-04-12 17:45:41 +08:00
    这是用什么工具看的,我看看我的有没有
    kyoro
        9
    kyoro  
       2020-04-12 17:49:53 +08:00
    下一个 [Adware Removal Tool by TSA] 扫扫,之前自动跳转 hao123 等就是用这个修好的
    xuroid
        10
    xuroid  
       2020-04-12 18:00:31 +08:00
    @xuroid 用 DNSQuerySniffer 工具查看了下,除了打开新网页时有相应网页的 DNS 解析,别的就只有微软的 DNS 解析。其中 windowsupdate 大概 2 分钟请求一次。我书签有 200 多个。
    hhacker
        11
    hhacker  
    OP
       2020-04-12 18:23:23 +08:00
    @xuroid 不能复现的话我可能是中招什么东西了
    @kyoro 感谢 我下个试试
    mengyx
        12
    mengyx  
       2020-04-12 18:30:28 +08:00
    可能是你的 新标签页的最常访问 里面有这些网站
    Lentin
        13
    Lentin  
       2020-04-12 18:30:42 +08:00
    是不是装了什么扩展插件?
    hhacker
        14
    hhacker  
    OP
       2020-04-12 18:32:14 +08:00
    @Lentin 扩展插件只有 IDM 的扩展,删除掉之后仍然会有那些 DNS 请求
    hhacker
        15
    hhacker  
    OP
       2020-04-12 18:32:52 +08:00
    @mengyx 我没有访问过这些网站 除了 baidu 可能无意中被劫持进入过
    mengyx
        16
    mengyx  
       2020-04-12 18:37:26 +08:00
    @hhacker 那就很诡异了,可以开个 MITM 代理看看到底访问了什么内容
    hhacker
        17
    hhacker  
    OP
       2020-04-12 18:38:54 +08:00
    | 2020/4/12 18:33:27 127.0.0.1 : www.2345.com. | A
    |- CacheContains : www.2345.com. | Count : 62
    | 2020/4/12 18:33:27 127.0.0.1 : www.baidu.com. | A
    |- CacheContains : www.baidu.com. | Count : 62
    | 2020/4/12 18:33:27 127.0.0.1 : www.hao123.com. | A
    |- CacheContains : www.hao123.com. | Count : 62
    | 2020/4/12 18:33:27 127.0.0.1 : www.sogou.com. | A
    |- CacheContains : www.sogou.com. | Count : 62

    奇怪的是用 fiddler 看不到相关的 https/http 请求,如果是被流氓软件刷量的话 应该是可以看到请求的吧 还是现在流氓软件隐藏得太好了?
    hhacker
        18
    hhacker  
    OP
       2020-04-12 18:40:00 +08:00
    @mengyx 我用 fiddler 看过了 没有请求,用 wireshark 也没过滤出个有用的包,只能看到 DNS 的请求
    cquyf
        19
    cquyf  
       2020-04-12 20:50:19 +08:00
    暂时没遇到过
    syuraking
        20
    syuraking  
       2020-04-12 21:11:08 +08:00
    检查 WMI 事件
    tenwx
        21
    tenwx  
       2020-04-12 21:13:18 +08:00
    我之前遇到过楼主一样的问题,后来发现原因是安装过 99 宿舍软件,那玩意儿会劫持 winsock,netsh winsock show catalog 可以看到流氓软件的 dll 文件,netsh winsock reset 后解决
    muzuiget
        22
    muzuiget  
       2020-04-12 21:15:06 +08:00
    楼主怎么判断这些 DNS 是 Chrome 发出的?
    hhacker
        23
    hhacker  
    OP
       2020-04-12 22:27:01 +08:00 via Android
    @muzuiget 不知道是哪里发出的,只能判断和 chrome 有关,因为关掉就没那些请求了
    dot2017
        24
    dot2017  
       2020-04-12 22:37:44 +08:00
    有试过把 chrome 扩展都关了么
    hhacker
        25
    hhacker  
    OP
       2020-04-12 22:39:57 +08:00
    @syuraking autoruns 看了 wmi 事件 是空的
    @tenwx 没有异常 winsock

    hhacker
        26
    hhacker  
    OP
       2020-04-12 22:40:21 +08:00
    @dot2017 都关掉了的 只有一个 IDM 扩展 已经关掉了
    dot2017
        27
    dot2017  
       2020-04-12 22:46:34 +08:00
    单从发送请求的域名来看,感觉是对方想拦截这些域名去刷 referrer,类似于那种广告联盟的行为。
    你可以试一下在隐身模式手动打开其中的一个网站,看打开后地址栏 URL 后面有没有加奇怪的后缀,比如?xxxx
    另外你是通过快捷方式启动 chrome 的么,看看快捷方式的地址后面是不是加了启动参数
    hhacker
        28
    hhacker  
    OP
       2020-04-12 22:48:09 +08:00
    @dot2017 没有启动参数的,是否在隐身模式也不影响这个 dns 请求重现,不需要访问网站它也会自动请求,只要 chrome.exe 进程在
    hhacker
        29
    hhacker  
    OP
       2020-04-12 22:58:15 +08:00 via Android
    明天做个蜜罐,拦一下这几个网站的访问看看,如果是刷量请求的话这也隐藏得太好了,hold 住连接,应该就能看到打开的端口
    wclebb
        30
    wclebb  
       2020-04-12 23:44:03 +08:00
    最烦的就是这样,因为这样我才把系统重装了。在公司的时候,那时候好像是因为弹广告、网页劫持,唯一怀疑只有自己装看图王( 2345 出品)。

    那时候强迫症,查了半天找不出来哪里发起。360 也没用(?)
    后来就是重装系统了,再后来我也不用看图王,从此以后安静多了。
    HEROic
        31
    HEROic  
       2020-04-13 00:26:58 +08:00 via Android
    硬核查问题~ 大佬 np
    elfive
        32
    elfive  
       2020-04-13 06:19:52 +08:00 via iPhone
    试试用火绒查一下病毒。
    hhacker
        33
    hhacker  
    OP
       2020-04-13 06:41:12 +08:00 via Android
    @elfive
    火绒已查过 无问题
    yulihao
        34
    yulihao  
       2020-04-13 08:08:10 +08:00
    楼主直接 chrome://version 看看启动命令行,与快捷方式的对比,确认是 chrome 问题还是 LoadProcess 函数被劫持
    hhacker
        35
    hhacker  
    OP
       2020-04-13 08:59:32 +08:00
    @yulihao
    命令行 "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --flag-switches-begin --flag-switches-end --enable-audio-service-sandbox
    未见异常
    2joe
        36
    2joe  
       2020-04-13 09:01:17 +08:00 via iPhone
    硬核,等待后续结果
    lincolnhuang
        37
    lincolnhuang  
       2020-04-13 09:12:44 +08:00
    前排围观
    doveyoung
        38
    doveyoung  
       2020-04-13 09:43:26 +08:00
    这种问题一般不好查,先 netsh winsock reset 简单粗暴,如果不能解决再慢慢查……emmmmm
    1462326016
        39
    1462326016  
       2020-04-13 09:52:49 +08:00
    有没有可能是搜狗的 dll 注入到了 Chrome,我记得输入法打开了就会注入到对应进程去。可以尝试卸载搜狗输入法尝试下还有没有。
    Les1ie
        40
    Les1ie  
       2020-04-13 10:08:48 +08:00
    试试火绒剑?猜测可能是有第三方的程序在检测 chrome 的进程是否存在
    1.选择系统,设定过滤,路径过滤,输入 chrome,
    2. 找不是 chrome 发起的,但是指向了 chrome 的文件夹的动作

    日志比较长可以到处日志,在文本编辑器里面分析。
    另外可以看看本机有没有奇怪的启动项,不正常的网络连接
    https://i.loli.net/2020/04/13/YP3JcV9EfxFouTq.png
    https://i.loli.net/2020/04/13/MiOga9xJhdwP4pr.png
    yulihao
        41
    yulihao  
       2020-04-13 10:11:12 +08:00
    @hhacker 目测是内核劫持,可以 PCHunter 查一下
    hhacker
        42
    hhacker  
    OP
       2020-04-13 10:28:31 +08:00
    @1462326016 未安装搜狗输入法
    @Les1ie 火绒剑和 procmon 都分析过 dns 请求前后的日志 未见异常(如果不是隐藏得太好,那就是没有后续操作,但是单一请求个 dns 有啥用捏)
    @yulihao 已经火绒剑看过了
    hhacker
        43
    hhacker  
    OP
       2020-04-13 10:29:20 +08:00
    @doveyoung winsock 的确是重灾区,但是这里没有异常注入
    realpg
        44
    realpg  
       2020-04-13 11:26:13 +08:00
    装个 360 扫一遍 狗头
    Cursor1st
        45
    Cursor1st  
       2020-04-13 11:26:18 +08:00
    试试,备份插件和书签后,清空 chrome 。甚至重装 chrome 试试?
    先排除其本身的原因。
    littleylv
        46
    littleylv  
       2020-04-13 11:28:38 +08:00
    好奇,等结果
    Itwillbeok
        47
    Itwillbeok  
       2020-04-13 11:33:20 +08:00
    持续关注。另,这个 chrome,是原版 chrome 么?
    redsonic
        48
    redsonic  
       2020-04-13 11:58:13 +08:00
    先判断是不是 chrome 自己发出的。

    新开进程观察
    chrome://net-internals/#dns
    chrome://net-internals/#sockets

    也可以记录 log
    chrome://net-export
    hhacker
        49
    hhacker  
    OP
       2020-04-13 12:23:24 +08:00
    @Itwillbeok 原版 chrome v 81.0.4044.92
    hhacker
        50
    hhacker  
    OP
       2020-04-13 12:23:55 +08:00
    @Cursor1st chrome 已彻底卸载并重装过
    hhacker
        51
    hhacker  
    OP
       2020-04-13 12:26:09 +08:00
    @redsonic
    The net-internals events viewer and related functionality has been removed.
    我用 chrome://net-export 记录 log 试试
    augustheart
        52
    augustheart  
       2020-04-13 12:43:02 +08:00
    1.查看计划任务
    2.查看当前运行的进程(以及它们的模块),尝试关闭那些有问题的。

    既然改名能解决,绝对是有东西在查找 chrome.exe 。
    在内核中的可能性不高。基本上就是在 r3 层。现在的系统进内核要签名的,拿个签名做坏事划不来。
    至于杀毒软件的结果不要完全相信,我亲眼见到它和我电脑里面的挖矿病毒谈笑风生。
    hhacker
        53
    hhacker  
    OP
       2020-04-13 12:45:52 +08:00
    @redsonic net-export 分析过了,没有相应的访问和 DNS 请求,应该可以排除 chrome 了,我也仔细对比过 chrome 的签名和 checksum,是没有问题的
    ddup
        54
    ddup  
       2020-04-13 12:48:19 +08:00
    hosts 里面 把这些域名全部指向 0.0.0.0
    songpengf117
        55
    songpengf117  
       2020-04-13 13:15:39 +08:00 via iPhone
    判断联网状态?
    hhacker
        56
    hhacker  
    OP
       2020-04-13 13:27:48 +08:00
    @augustheart
    1. 计划任务排查过无异常
    2. 已经关掉了所有明面上打开的 exe,最奇怪的是没有实际的网页请求,我多观察一段时间看看
    hhacker
        57
    hhacker  
    OP
       2020-04-13 13:31:33 +08:00
    @songpengf117 你是指 chrome 用这些网站的 DNS 来判断联网状态?这个能否从 chrome 的源码里查到?
    littleylv
        58
    littleylv  
       2020-04-13 14:52:45 +08:00
    楼主看看能不能从这个地方入手找找相似点:

    hhacker
        59
    hhacker  
    OP
       2020-04-13 15:19:48 +08:00
    @littleylv chrome 的这里有百度、搜狗、360,默认是 google,这些都是安装的时候自己带的
    jerrytom0007
        60
    jerrytom0007  
       2020-04-13 15:38:53 +08:00 via Android
    最近安装了某讯手游模拟器,发现 edge 首页添加了百度,默认搜索劫持到百度,搜索框有 tn=的推广信息。手动修复后再次运行该模拟器可重现。最后卸载解决。
    hhacker
        61
    hhacker  
    OP
       2020-04-13 15:42:18 +08:00 via Android
    @jerrytom0007 这个我也遇到了,但奇怪的是,ie 或 edge 跳转的初始链接是在 go.microsoft.com 下,网上搜了下跳转后的小尾巴,发现很久以前就有了,有人说是百度给了微软钱?真是没能理解,微软要跳也应该是自家的必应啊。
    有种可能性是 go.microsoft.com 被外部利用了
    hhacker
        62
    hhacker  
    OP
       2020-04-13 15:43:28 +08:00 via Android
    已经切到 Windows 的安全模式下调试了,有进展马上更新到帖子里
    est
        63
    est  
       2020-04-13 15:46:00 +08:00
    @hhacker

    从你的描述来看,估计是 dll 注入啊。你用 Process Explorer 看看是不是外挂了什么奇怪的 dll 到 chrome.exe 进程里去。。
    jerrytom0007
        64
    jerrytom0007  
       2020-04-13 15:47:11 +08:00 via Android
    @hhacker 我的卸载后已经彻底解决。至于原理,我是外行,真的不懂。
    fonlan
        65
    fonlan  
       2020-04-13 15:50:04 +08:00
    装个 cFosSpeed 监控下连接试试?他能看到当前活动的 TCP 和 UDP 连接以及对应的程序和端口。
    hhacker
        66
    hhacker  
    OP
       2020-04-13 15:50:39 +08:00
    @est 应该不是注入到 chrome.exe 了,而是其它什么进程
    安全模式无法重现这些奇怪的 DNS 请求,确认是中招了
    xmt328
        67
    xmt328  
       2020-04-13 15:54:13 +08:00
    赶上了直播查问题
    hhacker
        68
    hhacker  
    OP
       2020-04-13 15:59:31 +08:00
    @fonlan 我试试这个,排除法太难做了
    nnnToTnnn
        69
    nnnToTnnn  
       2020-04-13 16:06:26 +08:00
    可以用 glasswire 来分析以下到底是哪个进程。
    Sekai
        70
    Sekai  
       2020-04-13 16:15:46 +08:00
    是不是 win10 自带的那些小程序……
    V4Exp
        71
    V4Exp  
       2020-04-13 16:17:09 +08:00
    Wireshark 抓包,看 DNS 请求源端口。
    然后在命令行运行 netstat -anop udp 看本地监听 UDP 端口的进程列表,对比确定发送 DNS 请求的进程。
    cydian
        72
    cydian  
       2020-04-13 16:20:20 +08:00
    跟进。
    yujiang
        73
    yujiang  
       2020-04-13 16:20:42 +08:00 via Android
    我的 chrome 也有一些奇怪的请求...看描述跟我原来挺相似的,后来直接重装好了
    hhacker
        74
    hhacker  
    OP
       2020-04-13 16:31:56 +08:00
    @V4Exp 用 procmon 能看到 dns 请求,但是是 windows 服务 dnscache 发出的。。。。
    wwbfred
        75
    wwbfred  
       2020-04-13 16:51:46 +08:00
    要是系统组件的 dll 被挂了钩子了这种情况太难找了.
    先检查检查进程命令行和服务吧,看看有没有什么可疑的.
    ChangeTheWorld
        76
    ChangeTheWorld  
       2020-04-13 17:25:41 +08:00
    微软的 Background Intelligent Transfer Service 被利用?
    systemcall
        77
    systemcall  
       2020-04-13 21:14:41 +08:00
    怀疑是 bootkit,现在的广告投放技术越来越先进了。
    如果没有特殊需求,不要关闭安全启动,一定要用微软官方的工具装,不要用 PE 安系统。
    在 OS 的 bootloader 之前加载了 bootkit 的话,系统里面是看不出来的。不清楚是不是 bootkit 导致的系统启动出现问题。
    azhi2007
        78
    azhi2007  
       2020-04-14 03:23:16 +08:00 via iPhone
    等真相
    hhacker
        79
    hhacker  
    OP
       2020-04-14 08:23:44 +08:00 via Android
    对不住支招的各位,目前的这个异常访问的情况超出我的处理能力了,无力反抗
    hhacker
        80
    hhacker  
    OP
       2020-04-14 08:38:26 +08:00 via Android
    最后补充一个信息
    在网关层面监控了流量,也没有访问到 2345 等网站
    真真正正只是 DNS 请求而已,绕过 hosts 向系统设置的主 DNS/副 DNS 发起的请求,我只能以阿 Q 精神结束此事:
    这是 ThinkPad OEM win10 的附带隐藏“福利”
    (没错!我一台新机器,这锅你就得背!)
    salmon5
        81
    salmon5  
       2020-04-14 08:50:48 +08:00 via Android
    重装原版 win10 看看,以前还有 rootkit,现在 w 这个时代还有吗?
    hhacker
        82
    hhacker  
    OP
       2020-04-14 09:10:48 +08:00
    @salmon5 重装成本太高 现在没法做
    jinliming2
        83
    jinliming2  
       2020-04-14 09:51:54 +08:00 via iPhone
    如果是主程序重命名为 chrome.exe 可以复现的话,可以试试写个蜜罐程序命名为 chrome.exe 运行看看能不能抓出 hook 的程序?
    hhacker
        84
    hhacker  
    OP
       2020-04-14 10:18:02 +08:00
    @jinliming2 排查了一下 不是 hook,只是读了指定进程名是否存在
    nrtEBH
        85
    nrtEBH  
       2020-04-14 10:28:19 +08:00
    神奇了 围观下
    Itwillbeok
        86
    Itwillbeok  
       2020-04-14 13:33:00 +08:00
    神奇了,这一溜看下来,难道真的说是 Lenovo 为了国内用户快速访问常用网站,“人性化贴心”的让 Microsoft 给 win10 定制了这么一个神奇的 Feature ???[捂脸]……
    hhacker
        87
    hhacker  
    OP
       2020-04-14 14:02:52 +08:00 via Android
    @Itwillbeok 最不可能的猜测可能就是答案,因为我真的排除到只剩下 win10 的系统服务了 也不在我可以解决的范围内了
    LittleControl
        88
    LittleControl  
       2020-04-14 14:39:07 +08:00
    mark 一下,等待问题的根源
    Itwillbeok
        89
    Itwillbeok  
       2020-04-14 15:28:49 +08:00
    @hhacker 我是 thinkpad t480,但买来后就重装了原版 win10,测了下无法复现这个现象。但我觉得联想不至于吧???这几个网站还怕 DNS 解析不及时???
    amazingrise
        90
    amazingrise  
       2020-04-14 16:13:34 +08:00 via Android
    很多年前遇到跟楼主差不多的情况,不过是一个 Windows 服务在不停发 DNS 请求(没错,就只有 DNS 请求),目标网站是一个小说网站。拿 PCHunter 查不到任何隐藏服务。后来重装系统问题解决。那时候懂的少,没法诊断。期待楼主后续。
    amazingrise
        91
    amazingrise  
       2020-04-14 16:27:33 +08:00 via Android
    补充:系统 Windows7,64 位,组装台式机。上网特别卡,发现是 svchost 在不停发 DNS 请求。这个 svchost.exe 是有签名的,没什么问题。查找不到对应的 Windows 服务。(估计是病毒自己给删掉了)卡巴斯基,小红伞,avast,dr.web 都没查出任何结果,最后重装系统。(大概是刚出 Windows10 那会的事情,很多年了)
    hhacker
        92
    hhacker  
    OP
       2020-04-14 17:05:43 +08:00 via Android
    @Itwillbeok 所以这个行为很让人费解,主要是怎么样也没抓到可疑的网站访问流量,光请求个 DNS 有啥用?
    hhacker
        93
    hhacker  
    OP
       2020-04-14 17:07:30 +08:00 via Android
    @amazingrise 我没法重装系统。。。重度使用,不想重配各种环境了。
    当初开箱没重装主要是想着正版 OEM win10 和 office 家庭版也还是有价值的
    9yu
        94
    9yu  
       2020-04-14 19:00:38 +08:00 via Android
    @hhacker 重装一样有授权,多半是联想原装系统的原因。厂商原装系统就是屎。
    amazingrise
        95
    amazingrise  
       2020-04-14 19:21:56 +08:00
    @hhacker 如果绑定了微软帐号,重装 office 和 windows 的相同版本是不影响的(应该都是家庭版?),登录后自动重新激活。这件事跟 oem 应该没啥关系
    hhacker
        96
    hhacker  
    OP
       2020-04-15 08:52:48 +08:00
    @9yu 各种环境设置不想再重做一遍了,无法重装,只能忍了
    bfdh
        97
    bfdh  
       2020-04-15 09:55:15 +08:00
    会不会是浏览器或者系统的联网状态检测?另外,楼主确认到了具体的发包程序了吗?
    hhacker
        98
    hhacker  
    OP
       2020-04-15 10:51:17 +08:00 via Android
    @bfdh 没能定到源头,进程里只看到 Windows 的 DNS 系统服务发出的
    locoz
        99
    locoz  
       2020-04-15 14:11:39 +08:00
    收藏了,持续关注,感觉又是一个大瓜
    yulihao
        100
    yulihao  
       2020-04-15 16:01:44 +08:00
    lz 随便写一个程序,重命名为 chrome.exe 然后看看还有没有请求。推荐用火绒剑,然后过滤掉其他只剩网络,再过滤 tcp,只抓 UDP (非广)
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2792 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 12:31 · PVG 20:31 · LAX 04:31 · JFK 07:31
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.