最近碰上了个邪乎事情,win10系统代理老是被自动修改。因为之前用过ss,ssr所以以为是他们的问题,还有可能是中马的问题。
原来一开始主机装的是360,采用了最高的监控模式,心想应该能看住到底是什么程序在修改,期间也用过autorun,processhacker排查服务、进程、等操作,均未发现有明显异常。后来实在没办法,卸载360之后用火绒,关注了一下注册表表项,经过定位最后发现是的问题。会不定期对系统代理进行更改。
PO上日志
操作进程:E:\app\wechat\WeChat.exe 命令行:"E:\app\wechat\WeChat.exe" 防护项目:自定义规则 操作目标:【写入】 HKEY_USERS\S-1-5-21----1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable 操作结果:已阻止这里附上火绒规则,有相同遭遇的伙伴可以也试试这个方法
{ "ver":"5.0", "tag":"hipsuser", "data":[ { "id":1, "power":1, "name":"自定义规则", "procname":"*", "treatment":1, "policies":[ { "montype":2, "action_type":4, "res_path":"HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\ProxyServer" }, { "montype":2, "action_type":4, "res_path":"HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\ProxyOverride" }, { "montype":2, "action_type":4, "res_path":"HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\ProxyEnable" } ] } ] }主要规则主要是,其他可以忽略
"montype":2, "action_type":4, "res_path":"HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\ProxyEnable"或者可以使用process monitor进行观察到底是谁修改了proxyenable这个注册表表项的值。