這幾天老是碰到奇怪的莫名其妙的首頁劫持發生，於是今天抽時間看了一下，首頁被劫持到 2345 導航。

首先拿 PCHunter 掃了一下 網路相關的介面，並沒有發現什麼異常發生，看了一下驅動模組，也沒發現特別奇怪的模組。

接著檢查了一下 程序通知回撥，也沒發現什麼特別的東西。

於是進一步檢查 是不是 explorer程序被hook了。

果然鉤子一掃就出來了。。

被掛鉤的地方是 RtlCreateProcessParametersEx。這個函式。

這個函式用於建立程序過程中被呼叫來建立一個程序環境變數塊。

關於這個函式可以看看 看雪的分析帖 http://www.pediy.com/kssd/pediy11/114611.html  不多說。

由於hook掉它可以 看到程序的  imagepath 以及 commandline 等引數，，修改掉 commanline 就可以帶引數開啟瀏覽器，於是就可以實現鎖首了。

進一步開啟 windbg_x64 。附加到 explorer上面 對這個函式下斷點，跟入 就可以找到它的模組，由於模組 放在了 system32 目錄下，且 加了vmp保護，所以這裡不再進一步分析了，刪掉模組，恢復鉤子就行了。

本文主要是展示一種現行可用的鎖首思路。