私服网游云加速程序劫持流量排查与修复总结

私服网游云加速程序劫持流量排查与修复总结

一、问题现象

问题 表现
抖音客户端 启动报错 ERR_CERT_AUTHORITY_INVALID,无法打开
360极速X浏览器访问抖音 打开 https://www.douyin.com/ 后自动跳转到私服网游广告页面
其他网站 访问正常,仅抖音相关域名受影响
DNS 默认自动获取,无异常
hosts 文件 无劫持内容

两个问题同步出现,且均与当天下载运行的私服网游云加速程序时间吻合。

二、排查过程

按以下顺序逐项排查:

步骤 排查项 结果
1 系统时间 正常
2 系统代理设置 发现异常:PAC 自动配置脚本被注入
3 进程与服务 当前无运行中的可疑进程
4 证书存储(受信任的根证书/中间证书) 未发现今天安装的可疑自签名证书
5 已安装程序列表 未发现卸载记录(绿色免安装版)
6 开机启动项 无异常
7 浏览器独立代理/证书配置 无独立覆盖

三、根因分析

劫持原理

私服网游云加速程序通过修改 Windows 系统代理设置,注入了一条 PAC(代理自动配置)脚本,实现了对特定网站流量的中间人劫持:

复制代码
用户浏览器/客户端
       │
       ▼
  PAC 脚本判断目标域名
       │
       ├── 抖音相关域名 → 127.0.0.1:3067(本地代理,注入广告)
       │
       └── 其他域名 → 直连(不受影响)

具体注入内容

项目
代理服务器 127.0.0.1:3067
PAC 脚本地址 http://103.117.137.238:11801/rule.pac

两个问题的根因

  1. 抖音客户端报 ERR_CERT_AUTHORITY_INVALID:本地代理对 HTTPS 流量做了中间人解密,其自签名证书不被系统信任,导致证书校验失败。

  2. 浏览器跳广告:PAC 脚本匹配到抖音域名后,将请求重定向到广告服务器,浏览器被引导至私服网游广告页。

  3. 其他网站正常:PAC 脚本的规则只匹配了特定域名(如抖音),其他网站走直连,不受影响。

四、修复步骤

已执行操作

  1. 清除系统代理设置:关闭手动代理,移除 PAC 自动配置脚本
  2. 刷新 DNS 缓存ipconfig /flushdns
  3. 重置 WinHTTP 代理netsh winhttp reset proxy

用户侧操作

  • 重启抖音客户端和浏览器,使新代理设置生效
  • 建议:找到并删除私服网游云加速程序的文件,防止再次运行后重新注入代理

手动修复方法(供参考)

若以后遇到类似问题,可按以下步骤自行修复:

  1. 打开系统代理设置:设置 → 网络和 Internet → 代理

  2. **关闭"使用设置脚本"**开关

  3. **关闭"使用代理服务器"**开关

  4. 打开命令提示符(管理员),执行:

    复制代码
    ipconfig /flushdns
    netsh winhttp reset proxy

###PAC(Proxy Auto-Configuration,代理自动配置)劫持。

这是一种比简单修改Hosts文件更隐蔽、更灵活的网络劫持方式。恶意软件通过强制系统使用它指定的PAC脚本,来精确控制你的网络流量走向。

###🎯 技术原理:PAC劫持

简单来说,这个过程是这样的:

强制代理:恶意软件修改了你的系统代理设置,勾选了"使用自动配置脚本",并填入了一个由它控制的PAC文件地址(就是你发现的 http://103.117.137.238...)。

规则下发:你的电脑会定期下载并执行这个PAC脚本。这个脚本里写满了规则,告诉电脑哪些网站该直连,哪些网站该走代理。

流量劫持:脚本中包含类似 if (host == "douyin.com") return "PROXY 127.0.0.1:3067"; 的规则。这意味着,当你访问抖音时,流量会被强制发送到本机的 3067 端口。

中间人攻击:127.0.0.1:3067 这个端口正是恶意软件在本机开启的一个代理服务。它会拦截你的HTTPS请求,用自己的假证书与抖音服务器通信,再把内容返回给你。这就导致了 ERR_CERT_AUTHORITY_INVALID 证书错误。同时,它也可以直接将你的请求重定向到任何广告页面。

📍 文件位置:问题出在注册表,而非本地文件

你问到的"文件位置"是关键。与Hosts文件不同,PAC劫持的配置并不在某个你可以直接删除的文件里,而是写入了Windows的注册表。

恶意软件修改了注册表中的网络设置,强制系统使用远程的PAC脚本。

核心注册表路径:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

在这个路径下,有两个关键的键值被篡改了:

AutoConfigURL: 这个键值被设置为了那个恶意的PAC脚本地址 (http://103.117.137.238...)。

ProxyEnable: 这个键值可能被设置为 1,表示启用代理。

🛠️ 如何修复

修复方法就是将这些被篡改的设置改回来。 真正的操作步骤:关闭系统代理

打开 Internet 选项

按下键盘上的 Win + R 键(Win键是那个微软徽标键)。

在弹出的运行框里输入 inetcpl.cpl,然后点"确定"。

这会直接打开"Internet 属性"窗口。

找到连接选项卡

在打开的窗口顶部,点击 "连接" 选项卡。

进入局域网设置

在最下方,点击 "局域网设置" 按钮。

取消勾选代理(关键一步!)

你会看到一个"代理服务器"区域。

取消勾选 "为 LAN 使用代理服务器..."。

重点看下面: 还有一个 "自动配置脚本" 区域(或者叫"使用自动配置脚本")。

必须取消勾选 "使用自动配置脚本"。

注意:如果不确定,就把除了"自动检测设置"以外的所有勾都去掉。

保存并重启

一路点击"确定"保存退出。

重启电脑(或者注销再登录),让设置生效。

s://i-blog.csdnimg.cn/direct/6eb58d3bd0564dc3867e5897e048551f.png)

方法二:通过命令行一键修复(高效)

如果你想一步到位,可以使用命令行直接删除注册表中的恶意键值。

在开始菜单搜索 cmd。

在"命令提示符"上右键,选择 "以管理员身份运行"。

复制并粘贴以下命令,然后按回车键执行:

bash

编辑

reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v AutoConfigURL /f

如果提示"操作成功完成",就说明已经清除了PAC脚本的设置。

完成以上任一方法后,重启你的浏览器,甚至重启电脑,抖音应该就能正常访问了。

五、防范建议

  1. 谨慎运行来源不明的程序:尤其是标注"加速器""破解""私服"等字样的软件,它们往往需要劫持网络流量来实现功能,是广告注入和隐私泄露的高危来源。

  2. 关注代理设置变化:如果发现浏览器行为异常(跳广告、证书报错),第一时间检查系统代理设置是否被篡改。

  3. 优先使用正规渠道软件:网游加速需求建议使用官方或知名品牌的加速器产品,避免使用来路不明的第三方工具。


排查日期 :2026-07-17

修复结果 :代理已清除,抖音客户端和网页访问恢复正常。

(内容由AI生成,仅供参考)

相关推荐
FL16238631291 小时前
Windows手动下载安装配置uv 0.11.29配置国内源含安装包和安装教程
windows·uv
Jelena157795857921 小时前
淘宝商品详情API接口开发指南:应用市场选品比价实战
windows·microsoft
乖巧的妹子3 小时前
刷题总结知识
linux·服务器·windows
小李云雾3 小时前
LangGraph[2] ---- 控制流与持久化:让图“活”起来
windows·程序人生·ai·langgraph
取经蜗牛3 小时前
Windows 下强制腾讯通 RTX 仅使用有线网卡(静态路由法)
windows
超防局3 小时前
网络安全渗透测试常用工具详解
网络·安全·web安全
hz567894 小时前
手术示教及远程会诊系统一体化方案:赋能医院教学与精准诊疗
安全·音视频·实时音视频·信息与通信
运维大师5 小时前
【Linux运维极简教程】11-防火墙与安全加固
运维·安全
国科安芯5 小时前
抗辐射微控制器在卫星电源管理分系统中的控制架构与可靠性研究——基于AS32S601型MCU的星载能源系统智能化管理技术分析
网络·单片机·嵌入式硬件·安全·架构·系统架构·能源