novobo

@MossFox 平时手机只用内置的 safari 偶尔用 firefox ，手机地区切换到了台湾，早已经忘记国产浏览器拿手的安全拦截了。我还是觉得这个人没必要只限定 qq 类的浏览器。昨天用 safari 打开的时候直接跳转到了 qq 网站我还担心是不是有什么跨站攻击窃取啥的，（不太懂，见笑了，嘿嘿嘿。
另外翻了深蓝保的网站，没有任何登录注册的互动板块，好奇怎么传的文件。

@yuaotian 原来如此，搞这么复杂就是骗过 QQ 内置浏览器的安全提醒♂

@gcod 这个 767 kb 文件有毒就有毒吧（该程序是法宣在线的代学习软件，充值包年收费软件，未发现向系统目录及注册表乱动手脚）主要是从那个 124.117.238.230 运营商处下的 1.45 MB 的文件捆绑的其他程序到底是干什么的我很好奇。

@mokecc 下载的文件两个大小完全不一样，劫持后的文件被夹带了私货，多了 700 多 kb。请仔细阅读我的帖子。

@mytsing520 我之前没有发现它被劫持了，等我发现时候就晚了没有对数据抓包。

下载的文件两个大小完全不一样，劫持后的文件被夹带了私货，多了 700 多 kb。请仔细阅读我的帖子。

@miaomiao888 也许迟早全国都会一样……也许这里只是试点特区呢。都是瞎说，请勿当真。

@oIMOo 你看的那三个文件都没有什么问题。原下载地址的 700 多 k 的 rar 压缩包是正常文件，124.117.238.230 下载下来的文件是 1.4MB ……正常的 700 多 k 的压缩包解压后有三个文件：- yzmsb.dll ，- zjspfz.tqs ，- 法宣在线学习助手 3.7.exe 是正确压缩包的文件 xf.faxuan.net 网站也是无问题，1.45MB 的那个文件才是问题所在。

我在虚拟机里运行了，将劫持下载的 1.45MB 的文件后缀名为 exe 可执行程序后压缩包可以正常打开，但是可以发现它先创建了一个名为“ 51xuele-fxzx3.7_s.exe ”的程序，该程序又创建了一个 8 为数字的批处理文件，以上两个文件运行后都会自我删除。

@xiaopc 无法显示详细信息，释放后的文件什么也检测出来，捆绑后的程序检测出除创建检索文件修改注册表等还有如下操作。
创建互斥体
枚举网络共享资源
创建事件对象
查找指定窗口
获取 User 基本信息
调整进程 token 权限
打开事件
可执行文件签名信息
隐藏指定窗口
可执行文件 MD5
打开互斥体