程序启动 https取个文件，莫名其名被zc证书。。哪儿被注入了? 大佬来帮分析分析

gowy111 · 发表于 2020-1-17 01:21:27

360拦截到了被写入root的证书
====
0F 00 00 00 01 00 00 00 20 00 00 00 95 07 65 3C 8A 7F 21 32 EF C2 C7 72 64 4A 70 EC BE D4 E7 FC 75 D3 AC 32 E5 6A D7 46 2A 1B C2 2F 03 00 00 00 01 00 00 00 14 00 00 00 A9 06 2C 5C 17 21 FF 87 EB CB D8 9D F0 37 19 75 55 60 E7 A0 20 00 00 00 01 00 00 00 64 04 00 00 30 82 04 60 30 82 03 48 A0 03 02 01 02 02 09 00 DE A4 D5 FA 33 CF 9E 9E 30 0D 06 09 2A 86 48 86 F7 0D 01 01 0B 05 00 30 7C 31 0B 30 09 06 03 55 04 06 13 02 43 4E 31 12 30 10 06 03 55 04 08 13 09 67 75 61 6E 67 64 6F 6E 67 31 11 30 0F 06 03 55 04 07 13 08 73 68 65 6E 7A 68 65 6E 31 22 30 20 06 03 55 04 0A 13 19 53 61 6E 67 66 6F 72 20 54 65 63 68 6E 6F 6C 6F 67 69 65 73 20 49 6E 63 2E 31 22 30 20 06 03 55 04 0B 13 19 53 61 6E 67 66 6F 72 20 54 65 63 68 6E 6F 6C 6F 67 69 65 73 20 49 6E 63 2E 30 20 17 0D 31 37 30 34 32 37 31 35 32 37 31 39 5A 18 0F 32 31 31 37 30 34 30 33 31 35 32 37 31 39 5A 30 7C 31 0B 30 09 06 03 55 04 06 13 02 43 4E 31 12 30 10 06 03 55 04 08 13 09 67 75 61 6E 67 64 6F 6E 67 31 11 30 0F 06 03 55 04 07 13 08 73 68 65 6E 7A 68 65 6E 31 22 30 20 06 03 55 04 0A 13 19 53 61 6E 67 66 6F 72 20 54 65 63 68 6E 6F 6C 6F 67 69 65 73 20 49 6E 63 2E 31 22 30 20 06 03 55 04 0B 13 19 53 61 6E 67 66 6F 72 20 54 65 63 68 6E 6F 6C 6F 67 69 65 73 20 49 6E 63 2E 30 82 01 22 30 0D 06 09 2A 86 48 86 F7 0D 01 01 01 05 00 03 82 01 0F 00 30 82 01 0A 02 82 01 01 00 E8 48 96 2D FE F8 1A EC D6 D6 73 9D 91 45 5B 91 73 45 25 78 CC 04 96 B4 10 A0 5F 70 B1 2B E3 AA 7C C0 D1 BB 8D 5D E7 E1 1B 41 58 E9 DB 43 F0 B8 86 4E F4 EC E0 DF 80 1C 96 24 0D 2D A0 76 B9 15 BC 61 65 A1 0F F8 3D D7 95 89 61 C6 0F 70 47 0D 8D C1 43 89 95 49 1C C6 96 93 CB 98 65 2C 3C 8F A0 7C 1D 20 23 8F CF 0E 56 51 59 CE 77 D0 F7 91 DC 10 31 F4 76 DB B8 0F 13 B7 EA 96 7C 89 01 B1 BF 13 7E 97 6C 5A 37 75 4C EE 28 74 42 DD E5 3F 5F 7B 7E D9 A4 64 B8 28 74 63 4E 7B F9 FB A9 50 4C F2 97 11 15 30 97 3A A8 BF C0 A2 D4 85 0E FB 59 F0 4F 88 75 BD CD E8 27 63 63 2D 96 F9 3F B3 F0 66 8A CB F9 81 B4 48 3D 90 CB 92 0F 4F 24 03 DE 42 2E AA 86 41 EC F3 DB 8D FE DA E5 B6 58 BF B4 AD B9 C5 1A C4 94 09 2B FE 3D 91 90 0E D8 38 35 CA 3C 72 3D 17 96 2F C2 B6 3C 4F AD 10 87 C3 02 03 01 00 01 A3 81 E2 30 81 DF 30 1D 06 03 55 1D 0E 04 16 04 14 DD C4 D5 94 01 F8 7B 75 45 57 A8 BE 5E B3 AC 46 1B B8 BA B3 30 81 AF 06 03 55 1D 23 04 81 A7 30 81 A4 80 14 DD C4 D5 94 01 F8 7B 75 45 57 A8 BE 5E B3 AC 46 1B B8 BA B3 A1 81 80 A4 7E 30 7C 31 0B 30 09 06 03 55 04 06 13 02 43 4E 31 12 30 10 06 03 55 04 08 13 09 67 75 61 6E 67 64 6F 6E 67 31 11 30 0F 06 03 55 04 07 13 08 73 68 65 6E 7A 68 65 6E 31 22 30 20 06 03 55 04 0A 13 19 53 61 6E 67 66 6F 72 20 54 65 63 68 6E 6F 6C 6F 67 69 65 73 20 49 6E 63 2E 31 22 30 20 06 03 55 04 0B 13 19 53 61 6E 67 66 6F 72 20 54 65 63 68 6E 6F 6C 6F 67 69 65 73 20 49 6E 63 2E 82 09 00 DE A4 D5 FA 33 CF 9E 9E 30 0C 06 03 55 1D 13 04 05 30 03 01 01 FF 30 0D 06 09 2A 86 48 86 F7 0D 01 01 0B 05 00 03 82 01 01 00 93 D5 66 0D CE D1 B9 C4 99 AD F1 DE 07 45 77 B2 F0 E7 82 DC 7C 87 88 89 FB D1 E6 9F 4C DF 41 0B 66 40 08 DC C4 B8 CF 4A DD 5F 35 3A 5F C7 53 A6 FC 32 33 5D B3 70 CB F5
====
转16进制后转str
****
�e<�!2���rdJp����uӬ2�j�F*�/�,\!����؝�7uU`� d0�`0�H� ޤ��3Ϟ�0
*�H��
0|10 UCN10U guangdong10Ushenzhen1"0 U
Sangfor Technologies Inc.1"0 USangfor Technologies Inc.0
170427152719Z21170403152719Z0|10 UCN10U guangdong10Ushenzhen1"0 U
Sangfor Technologies Inc.1"0 USangfor Technologies Inc.0�"0
*�H��
�0�
��H�-�����s��E[�sE%x����_p�+�|�ѻ�]��AX��C�N���߀�$
-�v��ae��=ו�a�pG
��C��IƖ�˘e,<��| #��VQY�w����1�v۸��|���~�lZ7uL�(tB��?_{~٤d�(tcN{���PL�0�:����ԅ�Y�O�u���'cc-��?��f�����H=�˒O$�B.��A��ۍ���X�����Ĕ +�=���85�<r=�/¶<O������0��0U��Ք�{uEW��^��F���0��U#��0�����Ք�{uEW��^��F�������~0|10 UCN10U guangdong10Ushenzhen1"0 U
Sangfor Technologies Inc.1"0 USangfor Technologies Inc.� ޤ��3Ϟ�0U0�0
*�H��
���f
�ѹę���Ew����|������L�Af@�ĸ�J�_5:_�S��23]�p��
*****

明文显示
==
Sangfor Technologies这家公司
==

不懂了, https访问后会被要求注册证书？？？
关键是这个e文件到哪调试运行都会这样.....
模块嘛，就是鱼刺5.6和精益8.0 还有我自己写的纯源码模块...

这是哪被注入了？？？？？这是个什么操作...怎么去追查代码哪儿被下手了？

补充内容 (2020-1-17 01:22):
注入的注册表路径是 HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\ROOT\CERTIFICATES\A9062C5C1721FF87EBCBD89DF03719755560E7A0 ，怎么在系统里看到这个明文证书具体内容？

补充内容 (2020-1-17 01:24):
e文件是我自己写的，难不成调用模块出问题了？

补充内容 (2020-1-17 01:26):
主要是我想明白这个zc证书我系统会干嘛....

补充内容 (2020-1-17 01:27):
https取个文件这个是我自己的txt文件...不搭界

gowy111 · 发表于 2020-1-17 01:29:44

好像是精益8.0的，换成精益7.5就不会...我在官网下载的....

补充内容 (2020-1-17 01:33):
不对...第二次调试不会，我再试试别的

gowy111 · 发表于 2020-1-17 01:54:08

发起http访问的时候会被360拦截zc证书

局_WinHttp.创建 (“WinHttp.WinHttpRequest.5.1”, ) 会引发这个？

编译成exe运行也这情况...

		自动登录	找回密码
密码			注册

[易语言] 程序启动 https取个文件，莫名其名被zc证书。。哪儿被注入了? 大佬来帮分析分析