Chrome 会发送奇怪的 DNS 请求到 2345、hao123、baidu 和 sogou

奇怪 为什么图床不显示

应该是书签里有这些网址吧？ Chrome 会先解析好这些域名，提升访问体验，至于 1 分钟解析一次，应该是这些域名解析记录 TTL 只有 1 分钟。

一般是正常的... 考虑用 incognito 模式启动再看看? 有书签的时候好像就老请求

我最服的一点是, 没完没了的请求 favicon.ico... 各个网站都默认请求一次, 默认还 Cache-Control: no-cache......

@eason1874 书签里没有这些网址，一个也没有

chrome 会自动加载你可能访问的页面提高加载速度，会不会是这个原因。

@clague 这个我也想过，但是我一直是用 google 的，没用过百度，什么 2345 我都不知道是啥

有没有得闲的，做一下 dns sniff 看能复现不？

这是用什么工具看的，我看看我的有没有

下一个 [Adware Removal Tool by TSA] 扫扫，之前自动跳转 hao123 等就是用这个修好的

@xuroid 用 DNSQuerySniffer 工具查看了下，除了打开新网页时有相应网页的 DNS 解析，别的就只有微软的 DNS 解析。其中 windowsupdate 大概 2 分钟请求一次。我书签有 200 多个。

@xuroid 不能复现的话我可能是中招什么东西了
@kyoro 感谢 我下个试试

可能是你的 新标签页的最常访问 里面有这些网站

是不是装了什么扩展插件？

@Lentin 扩展插件只有 IDM 的扩展，删除掉之后仍然会有那些 DNS 请求

@mengyx 我没有访问过这些网站 除了 baidu 可能无意中被劫持进入过

@hhacker 那就很诡异了，可以开个 MITM 代理看看到底访问了什么内容

| 2020/4/12 18:33:27 127.0.0.1 : www.2345.com. | A
|- CacheContains : www.2345.com. | Count : 62
| 2020/4/12 18:33:27 127.0.0.1 : www.baidu.com. | A
|- CacheContains : www.baidu.com. | Count : 62
| 2020/4/12 18:33:27 127.0.0.1 : www.hao123.com. | A
|- CacheContains : www.hao123.com. | Count : 62
| 2020/4/12 18:33:27 127.0.0.1 : www.sogou.com. | A
|- CacheContains : www.sogou.com. | Count : 62

奇怪的是用 fiddler 看不到相关的 https/http 请求，如果是被流氓软件刷量的话 应该是可以看到请求的吧 还是现在流氓软件隐藏得太好了？

@mengyx 我用 fiddler 看过了 没有请求，用 wireshark 也没过滤出个有用的包，只能看到 DNS 的请求

暂时没遇到过

检查 WMI 事件

我之前遇到过楼主一样的问题，后来发现原因是安装过 99 宿舍软件，那玩意儿会劫持 winsock，netsh winsock show catalog 可以看到流氓软件的 dll 文件，netsh winsock reset 后解决

楼主怎么判断这些 DNS 是 Chrome 发出的？

@muzuiget 不知道是哪里发出的，只能判断和 chrome 有关，因为关掉就没那些请求了

有试过把 chrome 扩展都关了么

@syuraking autoruns 看了 wmi 事件 是空的
@tenwx 没有异常 winsock

@dot2017 都关掉了的 只有一个 IDM 扩展 已经关掉了

单从发送请求的域名来看，感觉是对方想拦截这些域名去刷 referrer，类似于那种广告联盟的行为。
你可以试一下在隐身模式手动打开其中的一个网站，看打开后地址栏 URL 后面有没有加奇怪的后缀，比如?xxxx
另外你是通过快捷方式启动 chrome 的么，看看快捷方式的地址后面是不是加了启动参数

@dot2017 没有启动参数的，是否在隐身模式也不影响这个 dns 请求重现，不需要访问网站它也会自动请求，只要 chrome.exe 进程在

明天做个蜜罐，拦一下这几个网站的访问看看，如果是刷量请求的话这也隐藏得太好了，hold 住连接，应该就能看到打开的端口

最烦的就是这样，因为这样我才把系统重装了。在公司的时候，那时候好像是因为弹广告、网页劫持，唯一怀疑只有自己装看图王（ 2345 出品）。

那时候强迫症，查了半天找不出来哪里发起。360 也没用（？）
后来就是重装系统了，再后来我也不用看图王，从此以后安静多了。

硬核查问题~ 大佬 np

试试用火绒查一下病毒。

@elfive
火绒已查过 无问题

楼主直接 chrome://version 看看启动命令行，与快捷方式的对比，确认是 chrome 问题还是 LoadProcess 函数被劫持

@yulihao
命令行 "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --flag-switches-begin --flag-switches-end --enable-audio-service-sandbox
未见异常

硬核，等待后续结果

前排围观

这种问题一般不好查，先 netsh winsock reset 简单粗暴，如果不能解决再慢慢查……emmmmm

有没有可能是搜狗的 dll 注入到了 Chrome，我记得输入法打开了就会注入到对应进程去。可以尝试卸载搜狗输入法尝试下还有没有。

试试火绒剑？猜测可能是有第三方的程序在检测 chrome 的进程是否存在
1.选择系统，设定过滤，路径过滤，输入 chrome，
2. 找不是 chrome 发起的，但是指向了 chrome 的文件夹的动作

日志比较长可以到处日志，在文本编辑器里面分析。
另外可以看看本机有没有奇怪的启动项，不正常的网络连接
https://i.loli.net/2020/04/13/YP3JcV9EfxFouTq.png
https://i.loli.net/2020/04/13/MiOga9xJhdwP4pr.png

@hhacker 目测是内核劫持，可以 PCHunter 查一下

@1462326016 未安装搜狗输入法
@Les1ie 火绒剑和 procmon 都分析过 dns 请求前后的日志 未见异常（如果不是隐藏得太好，那就是没有后续操作，但是单一请求个 dns 有啥用捏）
@yulihao 已经火绒剑看过了

@doveyoung winsock 的确是重灾区，但是这里没有异常注入

装个 360 扫一遍 狗头

试试，备份插件和书签后，清空 chrome 。甚至重装 chrome 试试？
先排除其本身的原因。

好奇，等结果

持续关注。另，这个 chrome，是原版 chrome 么？

先判断是不是 chrome 自己发出的。

新开进程观察
chrome://net-internals/#dns
chrome://net-internals/#sockets

也可以记录 log
chrome://net-export

@Itwillbeok 原版 chrome v 81.0.4044.92

@Cursor1st chrome 已彻底卸载并重装过

@redsonic
The net-internals events viewer and related functionality has been removed.
我用 chrome://net-export 记录 log 试试

1.查看计划任务
2.查看当前运行的进程（以及它们的模块），尝试关闭那些有问题的。

既然改名能解决，绝对是有东西在查找 chrome.exe 。
在内核中的可能性不高。基本上就是在 r3 层。现在的系统进内核要签名的，拿个签名做坏事划不来。
至于杀毒软件的结果不要完全相信，我亲眼见到它和我电脑里面的挖矿病毒谈笑风生。

@redsonic net-export 分析过了，没有相应的访问和 DNS 请求，应该可以排除 chrome 了，我也仔细对比过 chrome 的签名和 checksum，是没有问题的

hosts 里面 把这些域名全部指向 0.0.0.0

判断联网状态？

@augustheart
1. 计划任务排查过无异常
2. 已经关掉了所有明面上打开的 exe，最奇怪的是没有实际的网页请求，我多观察一段时间看看

@songpengf117 你是指 chrome 用这些网站的 DNS 来判断联网状态？这个能否从 chrome 的源码里查到？

楼主看看能不能从这个地方入手找找相似点：

@littleylv chrome 的这里有百度、搜狗、360，默认是 google，这些都是安装的时候自己带的

最近安装了某讯手游模拟器，发现 edge 首页添加了百度，默认搜索劫持到百度，搜索框有 tn=的推广信息。手动修复后再次运行该模拟器可重现。最后卸载解决。

@jerrytom0007 这个我也遇到了，但奇怪的是，ie 或 edge 跳转的初始链接是在 go.microsoft.com 下，网上搜了下跳转后的小尾巴，发现很久以前就有了，有人说是百度给了微软钱？真是没能理解，微软要跳也应该是自家的必应啊。
有种可能性是 go.microsoft.com 被外部利用了

已经切到 Windows 的安全模式下调试了，有进展马上更新到帖子里

@hhacker

从你的描述来看，估计是 dll 注入啊。你用 Process Explorer 看看是不是外挂了什么奇怪的 dll 到 chrome.exe 进程里去。。

@hhacker 我的卸载后已经彻底解决。至于原理，我是外行，真的不懂。

装个 cFosSpeed 监控下连接试试？他能看到当前活动的 TCP 和 UDP 连接以及对应的程序和端口。

@est 应该不是注入到 chrome.exe 了，而是其它什么进程
安全模式无法重现这些奇怪的 DNS 请求，确认是中招了

赶上了直播查问题

@fonlan 我试试这个，排除法太难做了

可以用 glasswire 来分析以下到底是哪个进程。

是不是 win10 自带的那些小程序……

Wireshark 抓包，看 DNS 请求源端口。
然后在命令行运行 netstat -anop udp 看本地监听 UDP 端口的进程列表，对比确定发送 DNS 请求的进程。

跟进。

我的 chrome 也有一些奇怪的请求...看描述跟我原来挺相似的，后来直接重装好了

@V4Exp 用 procmon 能看到 dns 请求，但是是 windows 服务 dnscache 发出的。。。。

要是系统组件的 dll 被挂了钩子了这种情况太难找了.
先检查检查进程命令行和服务吧,看看有没有什么可疑的.

微软的 Background Intelligent Transfer Service 被利用？

怀疑是 bootkit，现在的广告投放技术越来越先进了。
如果没有特殊需求，不要关闭安全启动，一定要用微软官方的工具装，不要用 PE 安系统。
在 OS 的 bootloader 之前加载了 bootkit 的话，系统里面是看不出来的。不清楚是不是 bootkit 导致的系统启动出现问题。

等真相

对不住支招的各位，目前的这个异常访问的情况超出我的处理能力了，无力反抗

最后补充一个信息
在网关层面监控了流量，也没有访问到 2345 等网站
真真正正只是 DNS 请求而已，绕过 hosts 向系统设置的主 DNS/副 DNS 发起的请求，我只能以阿 Q 精神结束此事:
这是 ThinkPad OEM win10 的附带隐藏“福利”
(没错!我一台新机器，这锅你就得背!)

重装原版 win10 看看，以前还有 rootkit，现在 w 这个时代还有吗？

@salmon5 重装成本太高 现在没法做

如果是主程序重命名为 chrome.exe 可以复现的话，可以试试写个蜜罐程序命名为 chrome.exe 运行看看能不能抓出 hook 的程序？

@jinliming2 排查了一下 不是 hook，只是读了指定进程名是否存在

神奇了 围观下

神奇了，这一溜看下来，难道真的说是 Lenovo 为了国内用户快速访问常用网站，“人性化贴心”的让 Microsoft 给 win10 定制了这么一个神奇的 Feature ？？？[捂脸]……

@Itwillbeok 最不可能的猜测可能就是答案，因为我真的排除到只剩下 win10 的系统服务了 也不在我可以解决的范围内了

mark 一下,等待问题的根源

@hhacker 我是 thinkpad t480，但买来后就重装了原版 win10，测了下无法复现这个现象。但我觉得联想不至于吧？？？这几个网站还怕 DNS 解析不及时？？？

很多年前遇到跟楼主差不多的情况，不过是一个 Windows 服务在不停发 DNS 请求（没错，就只有 DNS 请求），目标网站是一个小说网站。拿 PCHunter 查不到任何隐藏服务。后来重装系统问题解决。那时候懂的少，没法诊断。期待楼主后续。

补充：系统 Windows7，64 位，组装台式机。上网特别卡，发现是 svchost 在不停发 DNS 请求。这个 svchost.exe 是有签名的，没什么问题。查找不到对应的 Windows 服务。（估计是病毒自己给删掉了）卡巴斯基，小红伞，avast，dr.web 都没查出任何结果，最后重装系统。（大概是刚出 Windows10 那会的事情，很多年了）

@Itwillbeok 所以这个行为很让人费解，主要是怎么样也没抓到可疑的网站访问流量，光请求个 DNS 有啥用？

@amazingrise 我没法重装系统。。。重度使用，不想重配各种环境了。
当初开箱没重装主要是想着正版 OEM win10 和 office 家庭版也还是有价值的

@hhacker 重装一样有授权，多半是联想原装系统的原因。厂商原装系统就是屎。

@hhacker 如果绑定了微软帐号，重装 office 和 windows 的相同版本是不影响的（应该都是家庭版？），登录后自动重新激活。这件事跟 oem 应该没啥关系

@9yu 各种环境设置不想再重做一遍了，无法重装，只能忍了

会不会是浏览器或者系统的联网状态检测？另外，楼主确认到了具体的发包程序了吗？

@bfdh 没能定到源头，进程里只看到 Windows 的 DNS 系统服务发出的

收藏了，持续关注，感觉又是一个大瓜

lz 随便写一个程序，重命名为 chrome.exe 然后看看还有没有请求。推荐用火绒剑，然后过滤掉其他只剩网络，再过滤 tcp，只抓 UDP （非广）