耍流氓谁最强，搜狗输入法偷偷安装最流氓！

爱过你的人

　　不知道从什么时候开始，上网变成了搜狗浏览器。卸载后，过几天又莫名其妙安装上，话说我从来没安装过这东西啊。今天看到了技术牛人的这个分析文章才知道咋回事。搜狗，你牛，都开始模仿用户点击偷偷安装浏览器了，下一步是不是代替我控制电脑？
　　
　　——————————————————————————————————————————————————————
　　
　　搜狗输入法彻底沦为流氓软件了，竟然模拟用户点击安装浏览器！
　　
　　[交流]搜狗输入法彻底沦为流氓软件了，竟然模拟用户点击安装浏览器！电梯直达跳转到指定楼层复制
　　笑呵兔
　　
　　Rank:1
　　UID636023帖子16PB币122贡献0技术0活跃2
　　楼主
　　发表于2014-10-2820:42:30|只看该作者|倒序浏览|取消回复通知
　　分享到：新浪微博腾讯微博开心网人人网网易微博更多6
　　
　　用搜狗输入法很多年，搜狗浏览器也试用过，毕竟不如chrome原版就卸掉了。
　　
　　对于搜狗各种弹窗推广浏览器，我一向是比较小心的，没想到还是中招了。更没想到的是，搜狗也算是名门正派，竟然会用模拟用户点击这么恶劣的手段！这么做跟病毒有什么区别？！
　　
　　专门花时间重现了搜狗流氓推广的手段，顺手看到搜狗还有一个调试信息输出开关，只要增加一个注册表值，如果有这个键值就会把调试信息打出来，开着debugview就能监控到搜狗在搞什么小动作：
　　WindowsRegistryEditorVersion5.00
　　[HKEY_CURRENT_USER\Software\SogouInput]
　　"lotusdebug"=dword:00000001

　　如果电脑没有装360，搜狗输入法直接就去服务器下载运行一个推广程序，这个地址就是搜狗服务器上的一个静默推广包：h ttp://download.ie.sogou.com/se/semini/SEMini_3.0.0.571_7805.exe
　　
　　如果电脑有360，搜狗输入法推广浏览器的云控代码都在内存里，大概过程是这样的：
　　
　　第一步，静默下载。sogoucloud.exe和云端通信，根据云端指令把搜狗浏览器的安装包下载回来。云控数据域名请求是下面抓包的内容：

　　第二步，经过请求内容解密出代码，代码功能里有从搜狗官网下载安装包，创建随机目录把安装包放进去，都是一些常见下载工具的目录，比如把搜狗浏览器安装包放到360、百度或者迅雷的下载目录里，不管你电脑里有没有装这些软件：

　　搜狗浏览器的安装包还会被放到以下固定的地方，都是搜狗输入法的目录，省的下次再去下载了。大家可以到下图中标红的路径里找找，类似sgim_sehelper.bin之类的文件都是搜狗浏览器的安装包：

　　第三步，模拟用户点击来安装搜狗浏览器。explorer里的sogou.ime会下载运控的shellcode执行后选择时机去推广浏览器，通过PostMessageW发消息自动模拟点击下载好的浏览器，这个浏览器安装包也通过进程间通信隐藏了安装界面，所以莫名其妙就装上了。如果一直盯着，全过程只会看到电脑上突然打开一个文件夹，又被关掉，然后就多了个搜狗浏览器。

　　PostMessageW模拟点击这都是我以前写外挂时最常用的，不过我是用来操作游戏，搜狗用来搞流氓推广。
　　我是出差时碰到的这情况，目测搜狗不敢在北上广一线城市搞这些无底线的小动作。大家可以挂外地代理试试。