惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

美团技术团队
D
DataBreaches.Net
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
D
Docker
N
Netflix TechBlog - Medium
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
C
Check Point Blog
腾讯CDC
Stack Overflow Blog
Stack Overflow Blog
V
Visual Studio Blog
IT之家
IT之家
月光博客
月光博客
U
Unit 42
K
Kaspersky official blog
T
Threatpost
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
GbyAI
GbyAI
P
Proofpoint News Feed
Last Week in AI
Last Week in AI
云风的 BLOG
云风的 BLOG
酷 壳 – CoolShell
酷 壳 – CoolShell
I
InfoQ
Engineering at Meta
Engineering at Meta
Recorded Future
Recorded Future
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
S
Security @ Cisco Blogs
MyScale Blog
MyScale Blog
大猫的无限游戏
大猫的无限游戏
Security Archives - TechRepublic
Security Archives - TechRepublic
Webroot Blog
Webroot Blog
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
Hacker News - Newest:
Hacker News - Newest: "LLM"
S
Schneier on Security
S
Secure Thoughts
The Register - Security
The Register - Security
B
Blog RSS Feed
The Last Watchdog
The Last Watchdog
P
Palo Alto Networks Blog
爱范儿
爱范儿
B
Blog
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
N
News and Events Feed by Topic
阮一峰的网络日志
阮一峰的网络日志
L
LINUX DO - 热门话题
C
Cisco Blogs
Spread Privacy
Spread Privacy
F
Full Disclosure
博客园 - 聂微东
T
The Blog of Author Tim Ferriss

博客园 - r1ch4rd_L

RAX3000Z路由器开启telnet功能并在互联网侧实现持久化控制 内网搭建KMS激活windows与office “Chrome139.0.7258.128版本GPU硬件加速错误导致UI加载失败”问题临时解决方案 明源相关漏洞自查清单(2025) 用友相关漏洞自查表(2025年) 亿邮相关漏洞总结 突发,广东广州电信把github地址解析成为127.0.0.1 分析一个Steam钓鱼骗局,附带相关恶意样本 分析一个steam假入库行为,附带相关恶意样本 辣鸡CSDN 捕获挖矿脚本分析 apache2.4.49RCE漏洞抓鸡(CVE-2021-41773_CVE-2021-42013) 多种shiro利用方式总结 【钓鱼可用】文件名反转字符串 SonicWALL SSL-VPN Web Server Vulnerable Exploit - r1ch4rd_L ES文件浏览器4.1.9.7.4任意文件浏览漏洞 SUID提权之python的os.setuid(0)提权 PHP-8.1.0-dev 后门命令执行 windows命令行工具导出系统日志——wevtutil 金蝶EAS接口未授权 (蓝队4月10日捕捉疑似0day)
Sysmon立大功,分析短进程,阻止右下角芒果TV弹框
r1ch4rd_L · 2025-04-18 · via 博客园 - r1ch4rd_L

一、缘起

今天正在愉快地玩着坦克世界,正式紧张时刻,突然右下角弹出芒果TV的推广弹框,导致鼠标键盘失焦,结结实实得挨了4005一发。

二、解构

 作为网络安全工程师,我的电脑我做主,什么阿猫阿狗都随随便便来弹框肯定是不能接受的。

明明右下角没有运行芒果TV,为什么芒果TV什么进程能够弹框?于是打开任务管理器,结果芒果TV相关进程完全不存在。

坏了,遇到“短进程”了。(注:短进程,短暂运行的进程,运行完立刻中断,不长期存在后台。)

于是打开windows日志,审计日志,查看到底是什么东西拉起的这个推广弹框。

这里推荐使用微软官方的Sysmon日志工具。

Sysmon包括以下功能: 记录当前进程和父进程中使用完整命令行创建的进程。 记录使用 SHA1(默认)、MD5、SHA256 或 IMPHASH 的进程映像文件的哈希。

筛选近15分钟的日志导出,分析发现事件ID1、5是进程相关,于是筛选事件ID。

迅速定位到对应进程,发现 bubble.exe这个应用是拉取远端OSS的图片,并本地生成弹框。

"C:\Program Files (x86)\MGTVPCC\bubble.exe" {"id":9488818,"msg_type":88005,"data":{"alertConf":{"screen":1,"sound":1,"vibrate":1},"biTag":"6b0fb05f55249c453098a6853ab2b41a","content":"陈德容三公加入侯佩岑队!王珞丹祝绪丹双向奔赴组队,宋妍霏想选李晟当队友?叶童挑战唱跳女团\u003e\u003e","id":142980759,"image":"https://ossimg.hitv.com/platform_oss/A66DDEB0A79347F4A83975EF013A2939.jpg?x-oss-process=image/resize,m_fixed,w_320,h_179","jumpSchema":"","jumpType":1,"msgTtl":39391,"payload":"{\"showTime\":8,\"channel\":24,\"messageId\":142980759,\"videoId\":\"22740352\",\"title\":\"\",\"type\":\"23\",\"content\":\"mgtvpcclient://video?videoId=22740352\u0026clipId=\u0026plid=\u0026source=60cfbk6kp\u0026pos=pushmessage\",\"tid\":\"MG-0418_124_142980759\",\"thread-id\":\"notifications-recommend\"}","pushTime":0,"styleType":1,"title":"《乘风2025》二公个人排名公布!"},"rd_time":0}

于是想到了一个奇怪的用法,弹一个我最爱的车出来,哈哈哈。(图为8金TD天蝎)

继续排查是哪个父进程创建的该子进程。

立刻定位到"C:\Program Files (x86)\MGTVPCC\UpdateService.exe"

注意到这里进程权限相当高,使用的是 “NT AUTHORITY\SYSTEM”权限,windows系统的最高权限。

跟着进程C:\Program Files (x86)\MGTVPCC\UpdateService.exe,看到推送域名解析push.log.mgtv.com

看看后续还进行了什么操作,立刻定位到bubble的子进程进程: C:\Program Files (x86)\MGTVPCC\upload.exe。

访问地址https://pcc-v1.log.mgtv.com/dispatcher.do,后边携带的参数应该是该API收集的用户信息。

  • 收集的数据

    • 设备信息(diduuidmacpix 屏幕分辨率)。

    • 系统信息(sver=Windows 10termid=8)。

    • 用户行为(logtype=pv 页面访问统计、sessionid 会话ID)。

    • 客户端版本(ver=6.8.3_1.1.50)。

    • 网络信息(abroad=0 国内/外标识)。

 继续分析竟然还发现一个奇怪的事情

芒果TV你干嘛拉起我的搜狗输入法?

三、掠影

既然我们最终目的是阻止其弹框,给出几种阻止弹框的方式。

1、生成替代文件法

重命名 bubble.exe为bubble.exe.bak,新建文本文件并命名为bubble.exe,并设置只读,可以使bubble.exe无法再后台拉起。

小概率可能会在下次软件更新时应用更换名字被纠正。(他们绝对不会因为我一个用户修改应用名,所以这种概率不大)

这种手法比较古老,远古时期阻止U盘蠕虫病毒时就是这个办法。

2、防火墙出入站阻止法

 防火墙设置阻止应用联网。

考虑到bubble.exe只是生成弹框,而非联网拉取信息的应用,可能这种方法并不奏效。

3、火绒弹窗拦截大法

 在火绒里边添加对应应用的弹窗拦截。

此方法会导致弹窗闪出闪没,属于两个应用之间互相battle,效果一般般。

4、阻止推送服务运行

 在服务中禁用该服务

5、阻止对应域名解析

把push.log.mgtv.com域名解析ban掉

四、启示

各种做应用推广的产品经理们,求求你们动动你们的脑子好么,真是什么阿猫阿狗都能做产品经理了,根本不考虑用户体验的?你怎么敢在游戏期间弹广告的?

我打着游戏你给我退出全屏弹个广告,这能忍?这应用要不是我平时还看,我必然直接卸载。