火绒曝光流量劫持黑幕

昨天，火绒安全发布《“捉迷藏”式收割：撕开鲁大师为首系列企业流量劫持黑幕！》技术分析文章，揭示了多家软件厂商（以鲁大师等为代表）通过一系列不正当手段进行大规模流量劫持和隐蔽推广的行为。

流氓软件的不良行径

流量劫持与推广获利

 • 控制设备进行推广：软件厂商通过自家产品（如鲁大师）植入推广模块，暗中控制用户设备，实施广告弹窗、网页游戏推广等操作以获取利益。

 • 静默安装软件：未经用户同意，自动下载安装各种第三方软件、浏览器插件及推广工具，以此赚取安装分成和推广佣金。

 • 篡改电商链接：篡改京东等电商购买链接，植入返利代码，将用户正常购物流量转化为企业收益。

 • 锁定浏览器设置：频繁把用户浏览器主页、默认搜索引擎修改为指定推广页面，强制增加流量。

 • 精准投放广告：依据用户地域、设备信息、软件安装情况等，动态调整推广内容和投放对象，提升转化效果。

 • 技术逃避监管：利用云控、数据加密、代码混淆、环境检测（如检测是否为技术人员、虚拟机、安装杀毒软件等）手段，逃避安全厂商和用户的监控。

 • 组件动态下载与隐藏：推广组件并非随主程序一同安装，而是后续远程下载植入，且具备自我隐藏、冷却期与概率控制功能，避免被轻易发现。

流氓软件挑选推广用户的“捉迷藏”策略

地域规避

检测到用户地理位置为北京时，系统自动回避推广行为，目的是规避高监管与技术分析集中区域。

专业环境识别

 • 专业软件检测：发现设备安装了开发、调试、逆向分析等专业工具（如IDA、OD、Wireshark等），认定用户为技术人员或处于高风险环境，停止推广以防止被分析、抓包和曝光。

 • 虚拟环境与假用户判断：通过检测虚拟机特征（MAC、显卡、电池等）、任务栏图标数量异常、浏览历史缺乏主流网站或游戏等，判断用户处于分析环境或为伪造用户，停止推广。

 • 专业用户识别：检查出设备有杀毒软件（如火绒、360、卡巴斯基等）、淘客插件、虚拟机、运维工具，或用户具备专业人员操作习惯，均不进行推广，主动避开安全圈和行业人士。

高价值与强防护用户排除

读取用户软件会员充值信息（及充值记录）、注册表弹窗过滤设置等，精准识别高价值会员或强防护用户，对此类人群全部取消推广，以减少投诉和负面风险。

维权与风险用户规避

监测用户访问技术论坛（如吾爱破解、看雪）、投诉维权平台（如12315）、流氓软件曝光资讯、热点人物微博及相关负面关键词，一旦发现即停止推广，主动控制舆情和风险。

特定访问行为规避

在劫持浏览器过程中，会对用户是否访问过周鸿祎的微博进行检测，若检测到用户已访问，则不会进行推广。

文章最后以幽默的方式结尾，引发读者思考自己是否属于被这些流氓软件“抛弃”的用户。