Potentially terrifying
OMG!!! It was #Tuesdaythe17th !!!
How come I didn't realize it😭
It definitely, completely, 100%-ly deserved a Psych rewatch!!!
@board #万能的长毛象
晚上好~亲爱的象友们
在这里求助大家一个小问题
同学的电脑今天打不开www.baidu.com 显示证书过期
目标系统 Windows 7 + Edge 100
然后查看了一下发现了惊天大秘密
过期的证书确实是今天刚过期的,但是CA是GlobalSlgn(i→l)很明显是假的CA 如下图
这说明不知道在什么时候安装了一个自签发的根证书……而且解析到的地址也不对
然后在DevTools里发现,系统绑定了代理 127.0.0.1:60000 (6万以上端口,重启会随机分配)
资源管理器发现监听的是 C:/Windows/System32/services.exe 微软数字签名 修改日期 2009年
PID就是最父进程services.exe 且没有找到启动服务的参数 服务也有排查过 没有特别可疑的 并且排除了QProtect、火绒(其余都是系统进程和驱动程序) 并没有释放端口占用
戏剧性的一幕即将发生
当打开Internet Options想要查看代理服务器配置时 这个代理就会被奇妙的解除 网络也恢复正常(用PowerShell指令可以看到系统代理是127.0.0.1:60000+)
当关掉Internet Options之后又会在不知名条件下重新绑定上……简直是离谱
关掉火绒也没有什么用
(关掉火绒之后进程只能看到腾讯会议(大概率也不是)和其他系统进程,当然还有services.exe)
请问一下各位象友有没有遇到同样的问题w
以及 如何在Windows下看到具体是哪个进程占用的端口 或者services启动的是哪个进程呢?
并且提醒一下大家,看看会不会有root CA不合规以及被莫名其妙代理系统流量的情况
提前感谢大家的帮助
669电台撰稿人 | Island 岛屿运维 | 灵异妙探真爱粉
中文✔️ English ✔️