有时候会去国外的网站上下载一些软件供测试学习,前几天下载了一个破解补丁,大家都知道,杀毒软件会对此类程序报毒,所以运行前还特意关闭了 MSE。当然,如果是一些恶意的广告插件而非病毒,杀毒软件也查杀不出。破解补丁没问题,可以有效使用,然而后面却发生了情况。

  我发现在浏览正常网站的时候,点击一些链接居然自动跳转到国外的网站,一看那网站是软件宣传页,让你点击下载。我就发现不对劲了,一开始还以为是 Chrome 的某个插件或脚本有问题,试着禁用一些小众扩展后,发现问题依旧,奇怪了…于是想到了 DNS 劫持。

  赶紧检查DNS,结果,果然被劫持了,如下图:

DNS 劫持

DNS 劫持

  我两个本地连接和无线网络连接都首选 DNS 地址都被篡改了:82.163.143.176 和 82.163.142.178,两个 DNS 一定有问题!查了一下,居然是以色列的。马上去设置IP的地方修改DNS地址,结果改了之后 cmd - ipconfig /all,显然的依然是那两个恶意的地址。怎么回事?当时我还是第一次遇到这样的问题,同事说是不是中了恶意程序,在进程中监视修改,还特意下了个 360 DNS劫持专杀工具,结果提示正常:

DNS劫持专杀工具

  后来一想,肯定不是以进程监视的方式,因为你再次打开IP设置页,DNS 并没有被篡改,但是你在CMD下通过 ipconfig /all 命令查看,你设置的 DNS 地址就是排在两个恶意的 DNS 下面,这还有优先级的。于是一下子反应过来了,在IP设置页,点击下方的“高级”,切换到DNS选项卡,果然,这里有个顺序问题,把前面的 82.163.143.176 和 82.163.142.178 删除即可。最后全面检查系统,看是否还存有隐患。