彻底解除Edge浏览器被hao123主页劫持的系统化解决方案

1. 问题现象与初步诊断

大量用户反馈，在使用Microsoft Edge浏览器时，无论在“设置 → 启动时”或“新标签页”中如何修改首页地址，重启后仍自动跳转至 hao123.com 或其变种站点（如 hao123.baidu.com、www.hao123.cn）。该行为具有典型的“主页劫持”特征。

此类问题通常由以下三类原因导致：

• 恶意浏览器扩展插件注入重定向脚本
• 第三方广告软件（Adware）捆绑安装并修改系统配置
• Windows注册表项被篡改，强制绑定启动参数

仅通过Edge浏览器界面修改设置无法根除，说明劫持源位于浏览器之外。

2. 深层分析路径：从表象到根源

为实现精准治理，需构建分层排查模型。以下为典型攻击链路分析：

1. 用户无意中安装了捆绑软件（如下载站提供的“高速下载器”）
2. 安装包静默部署Adware模块，并注入注册表启动项
3. Adware修改Edge快捷方式目标路径，附加恶意URL参数
4. 加载阶段通过COM组件或策略组干预浏览器行为
5. 创建顽固型扩展并禁用用户卸载权限
6. 监控设置变更，后台自动恢复劫持配置
7. 利用计划任务定期检查并重写注册表键值
8. 部分样本还会劫持DNS响应以实现跨浏览器影响

3. 注册表关键位置扫描清单

下表列出常被篡改的注册表路径及其预期正常值：

4. 自动化检测脚本（PowerShell）

可通过以下脚本快速扫描可疑项：

# Check common hijack locations
$hijackKeys = @(
    "HKCU:\Software\Microsoft\Internet Explorer\Main\Start Page",
    "HKLM:\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run",
    "HKCU:\Software\Policies\Microsoft\Edge\HomepageLocation"
)

foreach ($key in $hijackKeys) {
    if (Test-Path $key) {
        $value = Get-ItemProperty -Path $key -ErrorAction SilentlyContinue
        if ($value -match "hao123") {
            Write-Warning "Suspicious registry entry found: $key"
        }
    }
}

# List all Edge shortcuts and inspect target
Get-CimInstance -Query "SELECT * FROM Win32_ShortcutFile WHERE Name LIKE '%Edge%'" | 
    Where-Object { $_.Target -like "*hao123*" } |
    Select-Object Name, Target
    

5. 根治流程图（Mermaid格式）

6. 高级防御建议

针对企业环境或高安全需求场景，建议实施以下控制措施：

• 启用AppLocker限制非可信路径程序执行
• 通过组策略锁定Edge启动配置（Configure homepage location）
• 部署EDR解决方案进行行为监控
• 定期审计注册表关键节点的完整性
• 对用户进行社会工程学攻击防范培训
• 使用Application Control阻止未知浏览器扩展加载
• 配置DNS over HTTPS防止中间人劫持
• 建立标准镜像并定期重置终端状态
• 监控WMI事件与COM对象注册异常
• 启用Windows Defender Attack Surface Reduction规则