火绒安全软件
标题: 驱动精灵恶意投放后门程序 云控劫持流量、诱导推广 [打印本页]
作者: huoronganquan 时间: 2019-12-6 00:18
标题: 驱动精灵恶意投放后门程序 云控劫持流量、诱导推广
【快讯】
双十一期间,火绒对金山系部分软件仿冒其它安全软件,进行广告推广的行为开启拦截查杀(报告见链接1)。随后,火绒接到不少用户反馈,称在已经卸载金山毒霸、驱动精灵等软件的情况下,火绒依然出现相关报毒。火绒工程师与用户沟通和远程查看分析后,发现是驱动精灵在卸载时故意留下一个名为“kbasesrv”的后门程序,包含广告模块被火绒报毒。
经过深入分析发现,驱动精灵在卸载时会投放”kbasesrv”后门程序,在用户电脑中执行软件推广、流量劫持、云控锁定浏览器首页等恶意行为。不仅如此,该后门程序还可云控在用户电脑中执行任意文件、拷贝或删除文件、结束进程、修改注册表、向指定窗体发送消息等,这就意味着用户电脑随时面临被远程执行任意操作的风险。
上述种种行为已经满足安全厂商对后门程序的定义,因此火绒对该程序进行查杀。未安装火绒的用户也可以选择火绒专杀工具彻底清除后门程序“kbasesrv”。(专杀地址见链接2)
“kbasesrv”后门程序的投放方式除驱动精灵服务项、特殊版本的金山系软件安装包以外,最主要是在驱动精灵被用户卸载时投放。并且该程序部分云控指令会主动规避火绒等主流安全软件以及一些主要省会城市(北京、上海、深圳、广州)。此外,因为”kbasesrv”后门程序组件与金山毒霸、猎豹浏览器、猎豹Wifi等众多金山系软件组件有重叠关系,如果金山向这些软件下发云控命令后,它们同样可以实施”kbasesrv”后门程序执行的恶意行为,所以火绒也会相应的对其进行拦截报毒。由于金山系软件用户量较大,导致该后门程序的影响也较为广泛。
事实上,数年前就有用户曝光过金山系软件相关的劫持行为(见链接3),我们也曾报道过金山利用病毒推广安装、仿冒其它安全软件推广广告等行为(报告见链接1、4)。火绒并非有意针对某个厂商,确实是这一系列程序行为触及到我们的原则和底线,不加以制止的话,受到损害的将是广大用户的权益。在火绒看来,如果这些软件厂商继续作恶,盘剥用户利益,火绒也将持续拦截、查杀这类危险程序。
在对“浏览器主页劫持”现象曝光后,近日人民日报再次对“弹窗广告”等损害用户体验的商业软件恶劣行为进行批评,指出相关平台厂商应该“优化行业生态、加强业界自律”。在此,火绒也呼吁广大厂商理性逐利,让用户不再受到恶意侵扰,享受应有的权益。
注:文中所述后门程序“kbasesrv”曾用名“主页安全防护”、“金山安全基础服务”。
相关链接:
1、双十一成流氓推广狂欢节 单日侵扰千万量级电脑
https://www.huorong.cn/info/1573220809390.html
2、专杀地址
http://down4.huorong.cn/hrkill_1.0.0.31.exe
3、用户曝光金山劫持
https://www.zhihu.com/question/26615909
http://www.vuln.cn/6310
4、金山毒霸"不请自来" 背后竟有黑产推波助澜
https://www.huorong.cn/info/1566908385361.html
附:【分析报告】
目录
一、 溯源分析
二、 投放渠道
驱动精灵推广kbasesrv
金山系软件渠道包投放kbasesrv
三、 云控后门
四、 篡改浏览器内存数据
五、 流量劫持
推广号劫持
浏览器劫持
六、 云控锁首
首页锁定
锁定新建标签页
添加外链
七、 同源分析
八、 附录
一、 溯源分析
火绒在近期报告《双十一成流氓推广狂欢节 单日侵扰千万量级电脑》中,揭露了金山系广告模块带有伪装安全软件进程名、监听用户剪切板、检测安全分析工具等流氓广告推广行为。在我们对金山系相关广告模块进行查杀后,我们又收到了大量用户的相关反馈。我们奇怪的发现,在很多被植入流氓推广模块的电脑中,用户从未主动安装过任何金山系软件或已经卸载。通过分析,我们最终定位到是带有金山签名的后门服务kbasesrv在下发流氓推广模块,该服务被安装时不会产生任何界面提示,且可以通过云控服务器控制该服务在用户终端的程序行为,包括但不限于在用户计算机执行广告投放、流量劫持、软件推广等,该服务行为符合火绒对后门程序的定义。
kbasesrv后门程序文件签名信息
通过溯源,我们定位有多个渠道在推广kbasesrv后门程序,如:驱动精灵服务项、驱动精灵卸载程序、金山软件特殊版本渠道包等。经过我们确认,上述推广渠道中用户无法通过手动设置阻止kbasesrv服务被安装,即在用户不知情的情况下就会被该后门程序控制。后门程序安装包在投放时,会主动规避主流安全软件(火绒、360)。 后门程序暂时主要会执行软件推广、流量劫持(包括劫持推广计费号、劫持浏览器等)、云控锁定浏览器首页。
除此之外,我们还发现该后门程序还带有执行任意可执行文件、命令行,释放推广快捷方式,结束进程,向指定窗体发送消息,拷贝文件,修改删除注册表等后门功能。后门云控配置下发时会主动规避主要省会城市(北京、上海、深圳、广州),并且也会躲避主流安全软件。上述恶意行为完全符合我们对后门程序的定义,直接影响到了用户对个人电脑的正常使用。后门程序执行流程,如下图所示:
后门程序执行流程图
二、 投放渠道
驱动精灵推广kbasesrv
驱动精灵卸载程序投放kbasesrv时,为避免重复安装,会检测kbasesrv或金山毒霸是否已经安装(金山毒霸包含kbasesrv相关组件,具体后文同源性分析会有相关说明),同时还会规避安全软件(火绒、360安全卫士),防止其恶意投放行为被安全软件捕获。相关代码,如下图所示:
驱动精灵卸载程序投放kbasesrv逻辑
规避火绒相关代码,如下图所示:
规避火绒相关代码
驱动精灵服务和卸载程序中均存在有kbasesrv服务投放逻辑。相关代码逻辑,如下图所示:
驱动精灵服务投放kbasesrv相关代码逻辑
金山系软件渠道包投放kbasesrv
通过我们溯源分析,我们还找到了一个特殊版本的猎豹浏览器安装包,kbasesrv安装包与猎豹浏览器安装包都以二进制数据形式被存放在安装包资源中。安装包运行后,会弹出猎豹浏览器安装界面,但猎豹浏览器与kbasesrv后门程序的安装互不影响,即使用户不安装猎豹浏览器也不会影响kbasesrv后门程序的安装。相关动作截图,如下图所示:
投放kbasesrv动作截图
该特殊版本猎豹浏览器安装文件数字签名信息,如下图所示:
特殊版本猎豹浏览器安装文件数字签名信息
三、 云控后门
kbasesrv后门程序会调用指定后门模块(infocenter.exe、phoenix.exe、kwhcommonpop.exe)根据云控配置执行后门指令。其中kwhcommonpop.exe由kcmppinvoker.dll调用,现行的云控配置主要用来进行软件推广;kpolicy.dll可以根据kpctrl.dll加载的云控配置调用infocenter.exe、phoenix.exe执行后门命令。以phoenix.exe为例,该后门模块可以执行的部分主要后门指令,如下图所示:
phoenix.exe可以执行的后门指令
kpctrl.dll会首先会从通过本地同步的fnsign.dat(该文件被加密,该文件同步地址为:hxxp://pc001.update.lbmini.cmcm.com/cmcm/kprotect/bin/2001/kprotect/data/d8d04a39237358e3125162fe1f1641b0,最后部分为文件内容哈希值)配置中解析出执行后门模块的相关策略数据。解密后的配置数据,如下图所示:
推广配置
kbasesrv会根据kpctrl中加载的配置数据调用kpolicy.dll,创建推广软件控制线程,每隔5秒检测一次云控数据列表,如果该列表不为空,则会调用指定的后门模块根据同步到本地的云控配置执行后门逻辑。相关代码,如下图所示:
软件推广相关代码
如果云控数据中设置了拷贝路径,则会将后门模块拷贝到指定目录执行。相关代码,如下图所示:
调用后门模块相关代码
由于infocenter.exe、phoenix.exe和kwhcommonpop.exe三个模块关键代码基本相同,所以报告中仅以phoenix.exe进行分析说明。phoenix.exe执行后会解析同步到本地的云控配置(云控下发地址:hxxp://config.i.duba.net/rcmdsoft/6/7/generalizecfg.dat)文件generalizecfg.dat(文件在软件目录中的phoenix/6/7目录下,其中6代表当前软件名称,如kbasesrv、金山毒霸、驱动精灵等;7为模块中的给定数值)。云控配置文件解密后,如下图所示:
generalizecfg.dat配置内容
我们所请求到的相关云控配置主要用来进行软件推广,根据现有配置后门模块会执行诱导软件推广。上图配置中resinfo标签下的url字段用来拼接资源文件下载地址(下载地址如:hxxp://config.i.duba.net/rcmdsoft/6/7/db/kp_music_push_db.zip),资源文件为诱导弹窗页面资源。用户再点击“一键清理”后,则会推广安装金山毒霸。弹窗界面,如下图所示:
诱导推广弹窗界面
在另一份generalizecfg.dat配置中,我们又找到了很多规则安全软件的策略,根据注释我们推测此配置为金山毒霸卸载时所执行的推广行为。相关配置,如下图所示:
generalizecfg.dat配置内容
除此之外,我们还在phoenix.exe后门模块中找到了其他后门指令功能(执行任意可执行程序、命令行,拷贝文件、修改注册表等)。我们还通过对金山系软件历史文件的筛查,找到了利用后门指令的相关配置文件。我们从配置内容中发现,部分软件功能与后门功能都存在与同一配置文件中,即。配置文件内容,如下图所示:
后门指令配置
解析执行云控命令相关代码,如下图所示:
解析执行云控命令相关代码
后门指令功能仅以个别功能为例。相关代码,如下图所示:
执行指定命令行
结束指定进程
调用kinst.dll动态库推广安装软件
kinst.dll为金山系通用软件推广模块,可以通过根据云端推广配置推广安装指定软件。在我们下载到的推广配置中,推广策略可以静默推广金山毒霸。该推广软件安装程序为一个特殊构造的动态库,运行InstallEx导出函数后即可静默安装金山毒霸。相关配置文件,如下图所示:
推广软件相关云端配置
下载解析云端推广配置(服务器地址:http://config.i.duba.net/lminstall3/[config_number].json?time=[time_tickcount])相关代码,如下图所示:
下载解析云端推广配置代码
执行软件推广相关代码,如下图所示:
执行软件推广相关代码
四、 篡改浏览器内存数据
注入到浏览器中的knb3rdhmpg.dll模块会篡改浏览器内存数据,破坏浏览器首页防篡改的功能。受到影响的浏览器,如下图所示:
受影响的浏览器
以360安全浏览器为例,在sesafe.dll模块中会检测360安全浏览器启动参数,如果发现首页的启动参数中存在 “duba”字符串,则会开启首页修复功能模块。相关代码,如下图所示:
sesafe.dll首页劫持防护
当360安全浏览器检测到首页被毒霸劫持后会进行首页修复。相关现象,如下图所示:
360安全浏览器首页修复
为了成功劫持浏览器首页,注入到浏览器中的knb3rdhmpg.dll模块会通过hook LdrLoadDll函数,在浏览器dll模块加载时,对相应模块数据进行篡改,破坏原有的恶意篡改主页拦截功能。该模块不仅会固定的篡改一部分内容,而且会根据配置文件进行篡改。相关的配置文件为safepatch.dat文件,可以通过云控下发,其中包含了要篡改的浏览器模块和内容。相关代码,如下图所示:
Hook LdrLoadDll
篡改sesafe.dll内存数据
safepatch.dat文件
五、 流量劫持
推广号劫持
注入到浏览器中的knb3rdhmpg.dll模块会对百度搜索,搜狗搜索以及hao123的导航页进行推广号劫持。当用户使用浏览器访问这些站点时,该模块便会劫持这些链接的推广号。劫持推广号的配置文件有两个,kbasesrv目录下使用简单异或的se_redirect_ex2.dat和uredirect.dat文件。配置文件均可以通过云控下发更新,其中包括了劫持的url前缀,劫持白名单,劫持到的推广号和劫持的概率等信息。se_redirect_ex2.dat文件现在为主动更新派发,uredirect.dat文件目前不会更新下来,但是从金山毒霸目录下找到同名文件,且文件中的字段信息与程序逻辑相吻合。劫持配置文件,如下图所示:
se_redirect_ex2.dat文件
uredirect.dat文件
对于不同的浏览器,实现推广号劫持的方法有所不同,主要有三种方法。
1) 调用SetWinEventHook,对EVENT_OBJECT_NAMECHANGE事件进行过滤,并针对浏览器标签页窗体做劫持处理。当标签页的窗口标题发生改变时,便会触发事件钩子的回调函数,进入劫持流程。knb3rdhmpg.dll模块会根据标签页的窗口标题查询得到劫持链接,并将其保存到粘贴板中。然后以模拟键盘输入的方式,将劫持的链接粘贴到地址栏中并访问,完成劫持。相关代码,如下图所示:
调用SetWinEventHook过滤EVENT_OBJECT_NAMECHANGE事件
模拟键盘输入进行推广号劫持
2) Hook NtDeviceIoControlFile对浏览器传输的流量进行分析,解析其中的域名和请求的url,匹配对应的劫持链接,并将传回的数据替换为302重定向返回数据,跳转到劫持的链接上。相关代码,如下图所示:
使用302重定向劫持推广号
3) 通过Hook SetWindowTextW对设置浏览器标题栏内容的调用进行过滤。当浏览器将要访问搜索工具链接(百度,搜狗,hao123)时,标题栏被设置为搜索工具名称,就会触发劫持流程。knb3rdhmpg.dll模块根据原有链接得到劫持链接,并调用SetWindowTextW设置地址栏链接,最后模拟键盘输入回车进行访问。
Hook SetWindowText劫持推广号
浏览器劫持
受到劫持影响的浏览器有:2345浏览器、搜狗浏览器、QQ浏览器
kbasesrv.exe会根据当前系统版本将kbasesrv模块下的“knbhmpg.dll“和“knb3rdhmpg.dll”或“knbhmpg64.dll“和“knb3rdhmpg64.dll”注入到系统进程explorer.exe中。注入后的explorer.exe进程如下图所示:
被注入后的explorer.exe进程模块列表
成功注入到explorer.exe 后,knbhmpg.dll会对IcontextMenu接口下的InvokeCommand方法进行hook。InvokeCommand方法主要是用于执行与快捷菜单项关联 的命令。也就是说当我们双击快捷方式等操作时,就会触发hook函数。Hook InvokeCommand方法代码如下图所示:
Hook InvokeCommand方法
当成功触发hook代码后,程序便会载入knb3rdhmpg.dll,获取其导出函数“F1”的地址,相关代码如下图所示:
获取knb3rdhmpg.dll中导出函数F1的地址
在获取到knb3rdhmpg.dll中导出函数F1的地址后,程序便会进入F1的代码逻辑中运行, 首先会根据所获取的快捷方式路径获取到其所指向的可执行文件路径,相关代码如下图所示:
获取快捷方式所指向的文件路径
之后解密自身路径下的safeurl.dat配置文件,并得到所需配置内容。解密safeurl.dat,相关代码如下图所示:
解密safeurl.dat
解密出的Safeurl.dat文件中所对应的配置及字段解释如下图所示:
解密出的Safeurl.dat内容及字段解释
然后检测代表触发次数的times字段是否大于0,如果大于0功能正常继续往下运行,否则功能失败,相关代码如下图所示:
检测times字段值
当触发次数值满足条件时,会获取一个随机数除以100,将所得余数与配置文件中的数值进行比较,从而实现控制触发的概率,相关代码如下图所示:
检测概率
概率被成功触发后,该模块会根据注册表键值来获取自身所在路径,拼接出启动参数”C:\\Program Files\\kbasesrv\\knbhm.exe -url SogouExplorer.exe https://www.duba.com/?f=lnkjks”,创建新的进程。相关代码如下图所示:
拼接启动参数并创建进程
knbhm.exe实际上相当于一个启动器,根据其它模块启动它的不同参数来处理不同的逻辑,knbhm.exe可接收的参数如下图所示:
knbhm.exe接收参数
当knbhm.exe以“-url”参数启动时,会根据safeurl.dat配置,创建新的进程,劫持用户点击的浏览器,如果用户电脑存在猎豹浏览器,则会以猎豹浏览器启动用户点击的浏览器, 下面以搜狗高速浏览器为例,双击后被猎豹浏览器劫持现象如下图所示:
劫持用户浏览器
六、 云控锁首
注入到浏览器中的knb3rdhmpg.dll模块会通过进程间通信的方式获取锁首配置内容,锁首功能可以通过配置文件进行控制。此配置文件可以通过云控下发更新,其中包含了不同推广渠道的锁首策略。多数的锁定策略都对北京、上海、深圳和广州大城市地区进行规避。受影响的浏览器和推广策略,如下图所示:
受影响的浏览器
首页锁定策略
首页锁定
在Hook InvokeCommand方法后,如果未触发上述劫持浏览器的条件时,该模块会根据浏览器名称获取内置的字段名,以搜狗高速浏览器为例,获取内置字段“BROWSER_SOGOU”,通过进程间通信发送到“kbasesrv.exe”,从而得到锁首网址。之后便会拼接出新的启动参数,其中hash字段后面接的是浏览器路径及启动参数的hash值。创建knbhm.exe进程相关代码如下图所示:
拼接启动参数并创建knbhm.exe进程
下面以搜狗高速浏览器为例,双击后首页被毒霸导航锁定现象如下图所示:
毒霸锁定搜狗导航页
锁定新建标签页
注入浏览器中的knb3rdhmpg.dll通过Hook SetWindowTextW对设置浏览器标题栏内容的调用进行过滤。当用户打开特定浏览器的新标签页时,便会进入锁定流程。该模块通过进程间通信获得新标签页锁定功能是否开启的标记和锁定链接,然后调用knbhm模块启动浏览器打开锁定链接,产生一个锁定的新标签页。相关代码,如下所示:
Hook SetWindowTextW函数
锁定新建标签页
添加外链
注入到浏览器中的knb3rdhmpg.dll模块会在命令行上添加外链。knb3rdhmpg.dll模块对某些浏览器hook GetCommandLineW函数对命令行参数进行处理,在原有链接基础上添加额外的链接。当用户浏览器带有网址参数启动时,该模块便会在后面添加额外的链接。在打开原有页面的同时,打开一个额外的链接页面。相关代码,如下图所示:
Hook GetCommandLineW
在原有的命令行参数后添加外链
七、 同源分析
除了在驱动精灵投放的kbasesrv目录中发现上述恶意模块,我们还在金山旗下其它软件中(例如:金山毒霸、驱动精灵、猎豹浏览器、猎豹WiFi)发现存在类似的恶意模块。以含有同名文件kwhcommonpop.exe为例,解析执行后门指令相似代码如下图所示:
同源代码分析
八、 附录
样本hash
作者: 等待明天 时间: 2019-12-6 00:28
都这么晚了,幸苦了。先支持一波
作者: 懒汉生涯 时间: 2019-12-6 09:45
我这边使用的老版本的联想版驱动精灵,也有类似的后台服务进程,可以用下列批处理进行删除操作,然后再删除整个文件夹。
======================
@echo off
set name="LenovoDrvSv"
sc stop %name%
sc delete %name%
exit
======================
将 服务名 LenovoDrvSv 替换成金山的那个服务名,别的地方不变,运行即可。
作者: 三生 时间: 2019-12-6 11:01
必须支持下 金山越来越恶心了
作者: a223 时间: 2019-12-6 11:54
又是金山
作者: yonxi3 时间: 2019-12-6 13:05
驱动精灵只用精简绿色版。
作者: 野生君 时间: 2019-12-6 14:06
金山 360 3721 百度 2345 驱动人生 驱动精灵 都是一丘之貉,开始免费获取用户流量 甚至用推广费的方法来吸引装机人员推广,还记得最初只是改个主页 现在都不局限于改个主页这么简单了 推广软件 安装软件 其实对 还有红蓝月那个游戏 。纯净系统上都带一堆软件。真不知道以后打驱动用什么了 难道要回到最初查设备型号去管网下吗? 电脑管家、华为管家最初都干净,联想管家现在都弹窗 开机时间什么的,就连一个输入法。对就是搜狗的也成新闻客户端了,中国互联网都让这些坏了名声,吐槽下 WPS 求伯君时代 再看现在的WPS 基本什么弹窗都有,昨天会议室电脑上 开着会弹出好色情广告的擦边球、右下角也是不停弹窗、还是嵌套广告程序、默认装了火绒也没拦截下,我还要手动框选这些广告。
作者: 韶华aoe 时间: 2019-12-6 14:16
找ZhengFu版安装,没广告
作者: leskady 时间: 2019-12-6 15:35
现在打驱动的软件都植入软件,不清楚什么时候可以净化下。
作者: huyiba 时间: 2019-12-6 15:52
WPS用户瑟瑟发抖中
作者: caocaofff 时间: 2019-12-6 21:03
用户再点击“一键清理”后,则会推广安装金山毒霸。弹窗界面,如下图所示:
居然发现了错别字,“再”---“在”
作者: member 时间: 2019-12-6 21:46
360驱动大师不知道有没有问题?最好也查一下。
作者: 周艳 时间: 2019-12-7 12:35
用之前一起要多了解了解呢
作者: alter 时间: 2019-12-8 12:04
凡是不经用户同意,强奸机器的做法都是“强奸犯”是非法的,应被用户打上黑标签,网络黑势力
作者: gebiafu 时间: 2019-12-10 20:59
昨天刚把驱动精灵卸载了。火绒一直报毒
作者: 纯白色丶诺言 时间: 2019-12-11 12:43
卧槽,火绒是真的牛逼啊,这分析得太到位了,太详细了,哈哈
作者: 野生君 时间: 2019-12-13 15:24
原来也找过 资源比较少 后来直接装office 2016,原笔记本上有365 后来就换了2016 给公司的也都换了 但是有同事就是喜欢用wps 无奈那就装吧。
作者: wmjqwer 时间: 2019-12-15 11:11
现在已彻底告别驱动精灵
作者: qin_an 时间: 2019-12-19 20:30
很久前就发现在这驱动精灵后台会下载一些东西,没想到这么严重。
作者: lkq 时间: 2019-12-21 14:38
金山一点都不安分...
作者: baifengs 时间: 2019-12-28 00:38
这才中技术流做的风格,看看以前瑞星怎么杀毒的,就是发现什么什么毒,然后再给杀了。而那些病毒就是很单纯,感染文件。。说白了,以前的病毒就是感染文件,几乎没有利用用户的行为。说白了,就是给杀毒软件玩的,人家卖软件用的。现在不一样了。
也看到了一股清流,如火绒,东方微点国产杀软的一版净土了。
作者: ts2112774 时间: 2019-12-28 19:59
火绒是最有良心的杀毒软件。国产最好的安全软件。如果火绒可以对国内各种推广行为进行彻底拦截。对推广软件批量卸载。那将是一个完美的工具了
作者: binghu 时间: 2019-12-29 22:50
2345系列软件也一样报毒
作者: 心醉咖啡 时间: 2020-1-3 23:44
本帖最后由 心醉咖啡 于 2020-1-4 18:03 编辑
@huoronganquan 像猎豹浏览器被火绒报金山推广病毒的,人家猎豹说已经解决了。请火绒跟进下是不流氓了,还是用技术手段规避了火绒?
http://bbs.duba.net/forum.php?mod=viewthread&tid=4191273871&extra=page%3D2&mobile=2
作者: saidianchi 时间: 2020-1-11 21:35
魔高一尺,道高一丈。
作者: bjsimple 时间: 2020-1-13 10:15
驱动之家自从被金山收购后就变得邪恶了,猴王的公司一半以上靠广告和劫持用户,作为曾经的一个小米手机的用户,再也不会用小米的手机。。。
作者: binghu 时间: 2020-2-8 19:45
想当年,瑞星金山江民,三足鼎立。现在一个个都消失了
作者: foyunzhu 时间: 2020-2-23 15:03
真是短视的无耻行为
作者: 2884omgpy 时间: 2020-4-12 21:54
驱动精灵会故意安装“安装目录”\MyDrivers\ksoft\kminisite.exe,也就是今日热点,我一气之下删除了该文件,2天后自动修复……然后我把ksoft文件夹删除了,然后它又修复,然后我把“安装目录”删了,后来就好了
作者: dzt 时间: 2020-6-9 10:31
可以使用国外的驱动软件,可以到心海E站这个地方找
作者: dzt 时间: 2020-6-9 10:33
推荐IObit Driver Booster、Glary
作者: dzt 时间: 2020-6-9 10:48
你在用华为呢?还是OPPOvivo?
作者: laobaobao 时间: 2020-10-4 15:54
驱动精灵也挂了,火绒好样的
作者: 化悲痛为力量 时间: 2022-7-5 01:24
不止这些国产软件,这些只是典型代表,火绒貌似也与360、搜狗等有着某种千丝万缕的联系,例如:浏览器保护,虽然默认是关闭的,但勾选后依然存在在列表里,这看着就有点恶心、膈应人了
作者: 顾博文 时间: 2022-7-5 14:41
提示: 作者被禁止或删除 内容自动屏蔽
作者: 魏嘉璇 时间: 2022-7-16 15:54
支持火绒!!!
| 欢迎光临 火绒安全软件 (https://bbs.huorong.cn/) |
Powered by Discuz! X3.4 |
