不知道從什么時候開始，上網變成了搜狗瀏覽器。卸載后，過幾天又莫名其妙安裝上。搜狗也算是名門正派，竟然會用這么惡劣的手段捆綁軟件！這么做跟病毒有什么區別？！

專門花時間重現了搜狗推廣的手段，順手看到搜狗還有一個調試信息輸出開關，只要增加一個注冊表值，如果有這個鍵值就會把調試信息打出來，開著debugview就能監控到搜狗在搞什么小動作：

Windows Registry Editor Version 5.00 [HKEY_CURRENT_USERSoftwareSogouInput] "lotusdebug"=dword:00000001

如果電腦沒有裝360，搜狗輸入法直接就去服務器下載運行一個推廣程序，這個地址就是搜狗服務器上的一個靜默推廣包：

http://download.ie.sogou.com/se/semini/SEMini_3.0.0.571_7805.exe

如果電腦有360，搜狗輸入法推廣瀏覽器的云控代碼都在內存里，大概過程是這樣的：

第一步，靜默下載。sogoucloud.exe和云端通信，根據云端指令把搜狗瀏覽器的安裝包下載回來。云控數據域名請求是下面抓包的內容：

第二步，經過請求內容解密出代碼，代碼功能里有從搜狗官網下載安裝包，創建隨機目錄把安裝包放進去，都是一些常見下載工具的目錄，比如把搜狗瀏覽器安裝包放到360、百度或者迅雷的下載目錄里，不管你電腦里有沒有裝這些軟件：

搜狗瀏覽器的安裝包還會被放到以下固定的地方，都是搜狗輸入法的目錄，省的下次再去下載了。大家可以到下圖中標紅的路徑里找找，類似sgim_sehelper.bin之類的文件都是搜狗瀏覽器的安裝包：

第三步，模擬用戶點擊來安裝搜狗瀏覽器。 explorer里的sogou.ime會下載遠控的shellcode執行后選擇時機去推廣瀏覽器，通過PostMessageW發消息自動模擬點擊下 載好的瀏覽器，這個瀏覽器安裝包也通過進程間通信隱藏了安裝界面，所以莫名其妙就裝上了。如果一直盯著，全過程只會看到電腦上突然打開一個文件夾，又被關 掉，然后就多了個搜狗瀏覽器。

PostMessageW模擬點擊這都是我以前寫外掛時最常用的，不過我是用來操作游戲，搜狗用來搞流氓推廣。