私服网游云加速程序劫持流量排查与修复总结
一、问题现象
| 问题 | 表现 |
|---|---|
| 抖音客户端 | 启动报错 ERR_CERT_AUTHORITY_INVALID,无法打开 |
| 360极速X浏览器访问抖音 | 打开 https://www.douyin.com/ 后自动跳转到私服网游广告页面 |
| 其他网站 | 访问正常,仅抖音相关域名受影响 |
| DNS | 默认自动获取,无异常 |
| hosts 文件 | 无劫持内容 |
两个问题同步出现,且均与当天下载运行的私服网游云加速程序时间吻合。
二、排查过程
按以下顺序逐项排查:
| 步骤 | 排查项 | 结果 |
|---|---|---|
| 1 | 系统时间 | 正常 |
| 2 | 系统代理设置 | 发现异常:PAC 自动配置脚本被注入 |
| 3 | 进程与服务 | 当前无运行中的可疑进程 |
| 4 | 证书存储(受信任的根证书/中间证书) | 未发现今天安装的可疑自签名证书 |
| 5 | 已安装程序列表 | 未发现卸载记录(绿色免安装版) |
| 6 | 开机启动项 | 无异常 |
| 7 | 浏览器独立代理/证书配置 | 无独立覆盖 |
三、根因分析
劫持原理
私服网游云加速程序通过修改 Windows 系统代理设置,注入了一条 PAC(代理自动配置)脚本,实现了对特定网站流量的中间人劫持:
用户浏览器/客户端
│
▼
PAC 脚本判断目标域名
│
├── 抖音相关域名 → 127.0.0.1:3067(本地代理,注入广告)
│
└── 其他域名 → 直连(不受影响)
具体注入内容
| 项目 | 值 |
|---|---|
| 代理服务器 | 127.0.0.1:3067 |
| PAC 脚本地址 | http://103.117.137.238:11801/rule.pac |
两个问题的根因
-
抖音客户端报
ERR_CERT_AUTHORITY_INVALID:本地代理对 HTTPS 流量做了中间人解密,其自签名证书不被系统信任,导致证书校验失败。 -
浏览器跳广告:PAC 脚本匹配到抖音域名后,将请求重定向到广告服务器,浏览器被引导至私服网游广告页。
-
其他网站正常:PAC 脚本的规则只匹配了特定域名(如抖音),其他网站走直连,不受影响。
四、修复步骤
已执行操作
- 清除系统代理设置:关闭手动代理,移除 PAC 自动配置脚本
- 刷新 DNS 缓存 :
ipconfig /flushdns - 重置 WinHTTP 代理 :
netsh winhttp reset proxy
用户侧操作
- 重启抖音客户端和浏览器,使新代理设置生效
- 建议:找到并删除私服网游云加速程序的文件,防止再次运行后重新注入代理
手动修复方法(供参考)
若以后遇到类似问题,可按以下步骤自行修复:
-
打开系统代理设置:设置 → 网络和 Internet → 代理
-
**关闭"使用设置脚本"**开关
-
**关闭"使用代理服务器"**开关
-
打开命令提示符(管理员),执行:
ipconfig /flushdns netsh winhttp reset proxy
###PAC(Proxy Auto-Configuration,代理自动配置)劫持。
这是一种比简单修改Hosts文件更隐蔽、更灵活的网络劫持方式。恶意软件通过强制系统使用它指定的PAC脚本,来精确控制你的网络流量走向。
###🎯 技术原理:PAC劫持
简单来说,这个过程是这样的:
强制代理:恶意软件修改了你的系统代理设置,勾选了"使用自动配置脚本",并填入了一个由它控制的PAC文件地址(就是你发现的 http://103.117.137.238...)。
规则下发:你的电脑会定期下载并执行这个PAC脚本。这个脚本里写满了规则,告诉电脑哪些网站该直连,哪些网站该走代理。
流量劫持:脚本中包含类似 if (host == "douyin.com") return "PROXY 127.0.0.1:3067"; 的规则。这意味着,当你访问抖音时,流量会被强制发送到本机的 3067 端口。
中间人攻击:127.0.0.1:3067 这个端口正是恶意软件在本机开启的一个代理服务。它会拦截你的HTTPS请求,用自己的假证书与抖音服务器通信,再把内容返回给你。这就导致了 ERR_CERT_AUTHORITY_INVALID 证书错误。同时,它也可以直接将你的请求重定向到任何广告页面。
📍 文件位置:问题出在注册表,而非本地文件
你问到的"文件位置"是关键。与Hosts文件不同,PAC劫持的配置并不在某个你可以直接删除的文件里,而是写入了Windows的注册表。
恶意软件修改了注册表中的网络设置,强制系统使用远程的PAC脚本。
核心注册表路径:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
在这个路径下,有两个关键的键值被篡改了:
AutoConfigURL: 这个键值被设置为了那个恶意的PAC脚本地址 (http://103.117.137.238...)。
ProxyEnable: 这个键值可能被设置为 1,表示启用代理。
🛠️ 如何修复
修复方法就是将这些被篡改的设置改回来。 真正的操作步骤:关闭系统代理
打开 Internet 选项
按下键盘上的 Win + R 键(Win键是那个微软徽标键)。
在弹出的运行框里输入 inetcpl.cpl,然后点"确定"。
这会直接打开"Internet 属性"窗口。
找到连接选项卡
在打开的窗口顶部,点击 "连接" 选项卡。
进入局域网设置
在最下方,点击 "局域网设置" 按钮。
取消勾选代理(关键一步!)
你会看到一个"代理服务器"区域。
取消勾选 "为 LAN 使用代理服务器..."。
重点看下面: 还有一个 "自动配置脚本" 区域(或者叫"使用自动配置脚本")。
必须取消勾选 "使用自动配置脚本"。
注意:如果不确定,就把除了"自动检测设置"以外的所有勾都去掉。
保存并重启
一路点击"确定"保存退出。
重启电脑(或者注销再登录),让设置生效。
s://i-blog.csdnimg.cn/direct/6eb58d3bd0564dc3867e5897e048551f.png)

方法二:通过命令行一键修复(高效)
如果你想一步到位,可以使用命令行直接删除注册表中的恶意键值。
在开始菜单搜索 cmd。
在"命令提示符"上右键,选择 "以管理员身份运行"。
复制并粘贴以下命令,然后按回车键执行:
bash
编辑
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v AutoConfigURL /f
如果提示"操作成功完成",就说明已经清除了PAC脚本的设置。
完成以上任一方法后,重启你的浏览器,甚至重启电脑,抖音应该就能正常访问了。
五、防范建议
-
谨慎运行来源不明的程序:尤其是标注"加速器""破解""私服"等字样的软件,它们往往需要劫持网络流量来实现功能,是广告注入和隐私泄露的高危来源。
-
关注代理设置变化:如果发现浏览器行为异常(跳广告、证书报错),第一时间检查系统代理设置是否被篡改。
-
优先使用正规渠道软件:网游加速需求建议使用官方或知名品牌的加速器产品,避免使用来路不明的第三方工具。
排查日期 :2026-07-17
修复结果 :代理已清除,抖音客户端和网页访问恢复正常。
(内容由AI生成,仅供参考)