近日接到用戶反饋，IE首頁總是被改。該現(xiàn)象一般是用戶不知情的情況下主動(dòng)或被動(dòng)地運(yùn)行了某些應(yīng)用程序后進(jìn)行的修改，可以是隨系統(tǒng)啟動(dòng)而啟動(dòng)，也可以是隨某個(gè)第三方應(yīng)用程序啟動(dòng)而啟動(dòng)，甚至是做一些簡(jiǎn)單的欺騙。

本文旨在介紹一種常見欺騙玩法。

在本案例中我們首先發(fā)現(xiàn)在Internet屬性中將首頁設(shè)置為空白頁后依然打開某導(dǎo)航頁面。

在本案例中出現(xiàn)該現(xiàn)象是由于一個(gè)注冊(cè)表鍵值定義導(dǎo)致，詳情參考：http://security.ccidnet.com/art/1099/20090513/1766611_1.html

之后手工清理注冊(cè)表或使用Papa的工具清理后便可以正常打開空白的IE首頁，但是每當(dāng)運(yùn)行桌面上的游戲后便又改回去了。

進(jìn)入游戲的目錄后以下兩個(gè)文件引起了我們的注意：

將d3dx10.dll文件改名后運(yùn)行Heroe.exe出現(xiàn)如下報(bào)錯(cuò)，并無條件彈出下載網(wǎng)站鏈接：

看到這個(gè)現(xiàn)象后基本原因上就很明朗了，以下是簡(jiǎn)單分析：

1.創(chuàng)建游戲快捷方式指向虛假的游戲主程序Heroe.exe；

2.而實(shí)際上d3dx10.dll為真實(shí)的游戲主程序；

3.當(dāng)Heroe.exe運(yùn)行后會(huì)修改IE首頁等設(shè)置，并將d3dx10.dll設(shè)置為隱藏屬性并改名為游戲文件名Hero.exe；

4.在Hero.exe正常結(jié)束(用戶在游戲中正常執(zhí)行的退出操作)后Heroe.exe會(huì)將Hero.exe改名回d3dx10.dll；

5.如Heroe.exe運(yùn)行后找不到真正的游戲主程序d3dx10.dll或Hero.exe時(shí)，彈出窗口要求用戶訪問單擊游戲下載網(wǎng)站hxxp://www.newyx.net

處理方案：

1.取消d3dx10.dll的隱藏屬性并改名為Hero.exe；

2.將桌面游戲快捷方式所指向的文件修改為真實(shí)的游戲主程序文件名Hero.exe；

3.只用Papa之前介紹過的方法處理IE首頁被改的問題，詳情觀看http://security.ccidnet.com/art/1099/20090513/1766611_1.html。

【注：基于安全考慮，文中部分網(wǎng)絡(luò)鏈接“http”被替換為“hxxp”，特此說明。】