隐藏助手？隐藏浏览器助手对象

大家好，感谢邀请，今天来为大家分享一下隐藏助手的问题，以及和隐藏浏览器助手对象的一些困惑，大家要是还不太明白的话，也没有关系，因为接下来将为大家分享，希望可以帮助到大家，解决大家的问题，下面就开始吧！

1、浏览器助手对象或BHO是一个DLL模块，它被设计为Microsoft的InternetExplorer网络浏览器的附件，以提供附加功能。当您的系统上安装BHO时，每次启动InternetExplorer时都会自动加载插件。黑客通过安装恶意BHO窃取用户的在线银行密码并执行各种其他恶意活动来滥用此功能。

2、在分析McAfee检测到的特定恶意软件“convite.exe”为“PWS-Banker！dtl”时，我注意到一些非常有趣的事情，因此决定发布我的发现。在被恶意软件丢弃的各种文件中，一个文件特别感兴趣，称为“flashcpx.dll”，它被安装为BHO。

3、当BHO注册到系统上时，它会在注册表中添加各种密钥。当InternetExplorer启动时，它会读取下面的注册表位置，告诉InternetExplorer需要加载哪个BHO。我们来看看安装在我的机器“AcroIEHelperShim.dll”上的AdobeBHO的例子。

4、[HKLM\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Explorer\\\\BrowserHelperObjects]

5、{18DF081C-E8AD-4283-A596-FA578C2EBDC3}

6、在这个关键位置列出了BHO的16字节CLSID字符串。然后使用该字符串指向注册表中的另一个位置，告诉InternetExplorer加载哪个DLL模块。

7、[HKLM\\\\SOFTWARE\\\\Classes\\\\CLSID\\\\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}\\\\InprocServer32]

8、C：\\\\ProgramFiles\\\\CommonFiles\\\\Adobe\\\\Acrobat\\\\ActiveX\\\\AcroIEHelperShim.dll

9、现在，当恶意的“flashcpx.dll”BHO被安装时，它会巧妙地隐藏它的存在，但仍然可以加载。正如你在下面看到的，CLSID字符串比平常长。即使InternetExplorer加载BHO，添加的字符也会导致大多数工具不列出BHO。

10、[HKLM\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Explorer\\\\BrowserHelperObjects]

11、{399BFACE-3ADA-4DAE-80D8-E221812243A9}80D8-E221812243A9}

12、当InternetExplorer加载BHO时，浏览器只读取16字节的CLSID格式{399BFACE-3ADA-4DAE-80D8-E221812243A9}，然后通过正常进程加载BHO。所以任何添加的字符都会被InternetExplorer忽略。

13、[HKLM\\\\SOFTWARE\\\\Classes\\\\CLSID\\\\{399BFACE-3ADA-4DAE-80D8-E221812243A9}\\\\InprocServer32]

14、C：\\\\WINDOWS\\\\system32\\\\flashcpx.dll

15、例如，如果我们想看看安装了什么BHO，我们可以使用InternetExplorer的管理加载项或使用SysInternalsAutoruns.exe。两者都不显示安装的恶意BHO，因为这些工具读取的是整个字符串，而不是InternetExplorer的16字节CLSID格式。

16、由于在[HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Classes\\\\CLSID]中找到CLSID键时字符串比推荐时间更长，因此未找到该键，因此DLL模块未列出。很奇怪的是，“管理加载项”是InternetExplorer的一部分，但没有列出它，但很高兴加载BHO:)。

关于隐藏助手和隐藏浏览器助手对象的介绍到此就结束了，不知道你从中找到你需要的信息了吗 ？如果你还想了解更多这方面的信息，记得收藏关注本站。