你可能不知道91在线|真正靠的是浏览器劫持的常见迹象:我整理了证据链

你可能不知道91在线|真正靠的是浏览器劫持的常见迹象:我整理了证据链

简介 如果浏览器开始频繁跳转到带有“91在线”或类似关键词的页面,或者默认搜索引擎、首页、工具栏被篡改,很可能不是“巧合”。下面把辨别浏览器劫持的常见迹象、如何系统化收集证据(形成可复现的证据链)以及清理、防范步骤整理成一套实用指南,方便直接用于自查、维权或提交给技术支持。

一、常见迹象(快速判断)

  • 首页或新标签页被替换为陌生网站(例如含“91在线”的页面)。
  • 默认搜索引擎被改成陌生或不受信任的搜索提供商;搜索结果带大量广告或重定向。
  • 浏览器频繁弹出广告窗口或自动跳转到广告/推广页面。
  • 浏览器工具栏、扩展或主页快捷按钮突然出现不认识的条目。
  • 输入地址后被重定向到其他域名(URL栏显示的地址与页面内容不一致)。
  • 浏览器启动时自动打开一组不需要的网站或标签。
  • 无法修改扩展、主页或搜索设置(设置被自动重置或权限被锁定)。
  • 频繁出现证书警告或 HTTPS 被降级(HTTP 页面或伪造证书)。
  • 系统层面表现异常:hosts 文件被修改、代理设置被劫持、DNS 被篡改、系统启动项增加可疑程序。

二、如何收集证据——把“怀疑”变成“证据链” 证据链的目标是:记录可复现的变化、捕获关联进程/文件/网络流量、导出设置与时间戳,便于比对与提交。

1) 基本截图与时间记录

  • 截图异常页面、地址栏、弹窗、被篡改的设置页(如 chrome://settings、edge://settings)。
  • 记录发生时间、浏览器版本、操作系统版本。

2) 导出浏览器信息

  • 扩展:chrome://extensions(或 edge、Firefox)逐项截图并列出扩展名称与来源;在 Chrome 可使用“导出扩展列表”的扩展或手动记录。
  • 搜索引擎与主页:在设置页面截图“默认搜索引擎”“启动时打开的页面”部分。
  • 浏览历史:导出或截取近期的跳转记录,显示跳转链条。

3) 操作系统层面的证据 Windows:

  • hosts 文件(C:\Windows\System32\drivers\etc\hosts)截取或复制其内容。
  • 代理设置:运行 netsh winhttp show proxy 或在“Internet 选项→连接→局域网设置”截图。
  • DNS 缓存:ipconfig /displaydns > dnslog.txt 并保存。
  • 启动项与计划任务:使用 Autoruns 导出并保存列表,或在任务计划程序中导出可疑项。
  • 注册表相关键:导出 Run、RunOnce 等键(HKEYCURRENTUSER\Software\Microsoft\Windows\CurrentVersion\Run)并保存为 .reg 文件。
  • 进程与服务:在任务管理器或 Process Explorer 中截取可疑进程、路径和签名信息。
  • 已安装程序:控制面板→程序和功能,截取列表;命令行:wmic product get name,version > installed.txt。

macOS:

  • /etc/hosts 内容保存;检查 ~/Library/LaunchAgents、/Library/LaunchDaemons 是否有可疑文件。
  • 在“系统偏好设置→用户与群组→登录项”截取可疑登录项。

Linux:

  • /etc/hosts、systemd 服务(systemctl list-units)和 crontab 列表保存。

4) 网络流量与域名证据

  • 使用抓包工具(Wireshark 或 Fiddler)抓取证据流量,过滤出与可疑域名(如含“91在线”的域名)相关的请求,导出 pcap。
  • 解析 DNS 请求(DNS 解析时间戳、返回 IP);记录是否有异常的 DNS 解析或被重定向到广告/资源服务器。
  • 通过 whois、nslookup 等查域名归属:nslookup suspicious-domain.com;whois 保存输出。

5) 文件与二进制证据

  • 在进程中定位可疑可执行文件路径,保留原始文件副本做哈希(sha256sum 或 certUtil -hashfile file SHA256),记录哈希值以供比对。
  • 对可疑扩展/插件包也保存其 CRX/扩展目录并计算哈希。

6) 日志与系统事件

  • Windows 事件查看器(Application、System、安全)筛选相关时间段的事件并导出日志。
  • 浏览器的内部日志(如 Chrome 的 user-data 目录下的日志或扩展日志)保存。

三、证据呈现格式(便于提交)

  • 时间轴(按时间排序列出事件、截图、日志文件名与描述)。
  • 证据目录:列出文件名、生成方法、哈希值、简短说明(例如:2026-01-1014-23screenshot_homepage.png,显示首页被改为 91online)。
  • 网络证据摘要:域名→解析 IP→whois→抓包 pcap 的索引。
  • 可复现步骤(如何触发劫持,重现条件)。

四、排查与清除步骤(由简到深) 先做最小入侵的清理,再逐步深入,以免丢失证据。

1) 立刻动作(保留证据前提下)

  • 断网(拔掉网线或禁用 Wi‑Fi),以防证据被远程更新或销毁。
  • 用手机或另一台设备拍照/截图,保存当前屏幕证据。

2) 浏览器层面

  • 禁用并删除陌生扩展;截留扩展页面信息作为证据(名称、ID、来源)。
  • 重置浏览器设置或创建新用户配置文件测试是否仍被劫持。
  • 清理浏览器缓存、Cookie、历史记录(在做取证时先导出历史再清理)。

3) 系统层面

  • 恢复 hosts 文件到默认内容。
  • 取消代理设置(Windows:Internet 选项→连接→局域网设置,或 netsh winhttp reset proxy)。
  • 使用 Autoruns 禁用和删除可疑启动项;删除对应文件并保存备份。
  • 删除可疑计划任务和服务;记录原始设置与删除时间。
  • 卸载近期安装的不明软件;保留安装包和日志。

4) 杀毒与专用清除工具

  • 使用多款著名安全软件扫描(Malwarebytes、ESET、Kaspersky、Windows Defender 等),并保存扫描日志与发现列表。
  • 使用 AdwCleaner、RogueKiller 等专门清理劫持/广告软件的工具,导出清理报告。

5) 深度取证(有技术能力或准备上报时)

  • 提取可疑可执行文件并上传到 VirusTotal,保存报告。
  • 使用 Process Monitor 持续记录系统行为,得到文件/注册表/网络调用链路。
  • 恢复到干净快照或使用系统还原(若有),在虚拟机中复现攻击以供分析。

五、预防与长期防护(简洁清单)

  • 下载软件只从官方网站或可信应用商店。
  • 安装浏览器扩展前查看评分、来源与权限;定期审查扩展列表。
  • 定期更新操作系统与浏览器。
  • 使用具备恶意网站拦截功能的安全软件与广告拦截器。
  • 对关键设置(hosts、代理、默认搜索引擎)养成定期检查习惯。
  • 遇到异常不要随意点击弹窗或下载安装来历不明的“修复工具”。

六、如何上报与保留记录

  • 向浏览器厂商或扩展商店提交扩展滥用报告(附上截图、扩展 ID、复现步骤)。
  • 若涉及钓鱼或伪造证书,可向 CERT/安全机构或域名注册商投诉并提供 whois、抓包、日志。
  • 保留所有证据压缩包,并保存在不同介质(外部硬盘、云盘),以便需要时提交给专业取证机构或法律顾问。