【Windows】流氓软件是如何锁定你的浏览器主页的？

盘点锁定浏览器主页的方法，其中总有你不知道的。

浏览器主页被锁定这个问题，在各个社区论坛一直有人讨论，也有很多热心网友给出排查方法，但还总是有部分人无法消除该问题。
为此，我专门写了本篇文章，来揭露浏览器主页是如何被锁定的。知己知彼方能对症下药

常规的锁定方式

在之前，锁定浏览器主页最常见的方式就是直接修改浏览器配置文件并锁定该文件禁止写入。
比如火狐浏览器的主页配置位于:

C:\Users\<your Windows login username>\AppData\Roaming\Mozilla\FirefoxProfiles\..\pres.js
配置项：user_pref("browser.startup.homepage", "https://www.sumver.cn/321");

有些浏览器的部分配置是存在注册表，需要对应去搜索引擎查找。

这种修改方式需要有一个服务或者程序在持续运行，以便它能反复修改主页，排查方法可参考上一篇：https://sumver.cn/archives/1641/

除此之外的下列方法，无需借助外部程序就能达到反复修改主页的目的，这才是用户常常遇到“已经把软件都卸载干净了，但主页还是反复被修改”的问题

快捷方式

大部分用户会把浏览器快捷图标放在桌面上，而流氓软件就会在桌面的浏览器快捷图标上，增加跳转的网站，使得你一旦双击该图标，浏览器就会自动打开目标网站

伪装的快捷方式

可能有小伙伴知道，快捷图标的目标程序只能有一个，也就是无法在点击快捷图标时，启动程序A同时启动程序B。
但实际上这是可以实现的。
流氓APP首先把浏览器快捷图标的目标改为

C:\Windows\System32\cmd.exe /c start "" "C:\Program FilesMozilla Firefox\firefox.exe" & start "" "浏览软件程序路径"

这么改会导致图标变为CMD，再修改图标为%ProgramFiles%\Mozilla Firefox\firefox.exe。
这样，你看到的是火狐浏览器快捷图标，实际这是个批处理命令，你只要双击，就会打开浏览器，同时打开流氓软件。而流氓软件可以通过参数实现无界面启动。从而再进一步去通过注册表、计划任务去保活。

开始菜单

开始菜单的快捷图标一样是可以添加参数的
开始菜单的快捷图标位置：

C:\ProgramData\Microsoft\Windows\Start Menu\Programs

任务栏快捷方式

无论是exe文件还是快捷图标，都可以通过单击鼠标右键订到任务栏上，对于绝大部分用户来说，往往是直接把桌面快捷图标订上去（而不是去找真实的应用程序exe文件），这就导致：如果桌面快捷图标本身以被篡改，那么钉上去的图标一样是有问题的。
并且删除桌面图标对任务栏的图标不影响（钉上去相当于一个复制操作）。
所以当你发现单独的任务栏图标打开总是会打开网站或启动其他程序等诡异问题，你只需要把图标取消固定，再订一个即可

注册表

在注册表两个自启的地方，一个是当前登录的用户自启管理：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionRun

一个是所有用户的登录自启管理：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionRun

这两个地方可以配置浏览器自启并且启动指定网站

计划任务

计划任务里，能够通过调用cmd给注册表run项添加打开指定网站命令。

cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v lonelylizard /t REG_SZ /d "cmd.exe /c start www.sumver.cn"

实际上对于计划任务，能做的太多了。能定时也能开机时启动软件、服务，而且如果对方把计划任务名称和描述改成常规软件比如ChromeUpdate，普通用户也很难一眼看出来问题所在。

组策略配置

严格来说这个并不是流氓软件主要的修改途径，因为组策略通常是提供给企业统一部署用的，通过组策略，可以同时配置成百上千台电脑。但是如果流氓软件诱导你导入他的组策略并成功了，那电脑的很多东西修改权限都会被锁定，无法修改。
其中就包含启动浏览器要打开的网站

以上是常见的不常见的篡改主页、锁定主页方式，如果你为此困扰，希望看完对你排查问题有所帮助