解密后数据
所执行恶意行为:
(1)篡改浏览器配置文件
如果rs等于2,则通过篡改配置文件设置首页(如搜狗浏览器config.xml文件,2345浏览器page_fileV2.dat文件)。查找搜狗浏览器配置关键字位置,调用写配置文件方法代码如下图所示:
查找搜狗浏览器配置关键字位置
调用写配置文件方法
(2)通过快捷键篡改主页
如果rs值不等于2,启动浏览器进程,向其发送一系列快捷键打开浏览器主页设置页面,设置剪贴板数据为json的hp字段内容,之后CTRL-V粘贴。启动浏览器进程,调用发送快捷键的函数如下图所示:
启动浏览器进程
