彻底清除360对Chrome主页劫持的技术方案与深度分析

1. 问题现象与初步诊断

Chrome主页被360劫持是长期困扰Windows平台用户的技术难题，典型表现为：

• 启动Chrome时自动跳转至hao.360.cn或so.com
• 在设置中修改主页地址后，重启浏览器恢复原状
• 即使卸载360相关软件，问题仍可能复发
• 任务管理器中常伴随360safe.exe、360se.exe等进程运行

该行为本质上属于“静默篡改”，即第三方软件通过系统级权限修改浏览器配置，绕过用户感知。

2. 技术成因的多层级剖析

从底层机制来看，360劫持Chrome主页涉及多个技术层面的干预。以下是常见攻击向量：

3. 深度排查流程图

```mermaid
graph TD
    A[Chrome主页异常] --> B{检查快捷方式参数}
    B -- 存在hao.360.cn --> C[清除启动参数]
    B -- 正常 --> D[检查注册表HKEY_CURRENT_USER\...\Main]
    D --> E{Start Page是否为360?}
    E -- 是 --> F[清空并设为只读]
    E -- 否 --> G[解析Chrome Preferences文件]
    G --> H{homepage值指向360?}
    H -- 是 --> I[关闭Chrome后修改JSON]
    H -- 否 --> J[检查组策略gpedit.msc]
    J --> K{存在主页锁定策略?}
    K -- 是 --> L[删除或禁用策略]
    K -- 否 --> M[扫描计划任务与服务]
    M --> N[定位360相关后台行为]
    N --> O[使用Autoruns深度清理]
```
    

4. 核心解决方案：五步根除法

1. 终止360进程：通过任务管理器结束360safe.exe、360tray.exe等所有相关进程。
2. 清理快捷方式注入：右键Chrome快捷方式 → 属性 → 目标栏应仅为"C:\Program Files\Google\Chrome\Application\chrome.exe"，无额外URL。
3. 修复注册表键值：

   reg delete "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /f
   reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "about:blank" /f
               

4. 重置Chrome Preferences：关闭Chrome后，使用文本编辑器打开%LocalAppData%\Google\Chrome\User Data\Default\Preferences，搜索homepage并修正为预期值。
5. 组策略与计划任务清除：进入gpedit.msc，依次检查：
   • 用户配置 → 管理模板 → Google Chrome → “启动时打开以下网页”
   • 启用状态需设为“未配置”或“已禁用”
   同时在任务计划程序中删除名称含“360”、“safe”、“browser”等可疑任务。

5. 高级防护：防止复发的系统级锁定

为实现永久性防护，建议部署以下机制：

• 文件权限锁定：对Preferences文件右键属性 → 安全 → 编辑 → 移除SYSTEM和Users的写入权限。
• 注册表项权限加固：使用regedit定位到相关键，右键权限 → 禁止Everyone和Users的写入。
• 使用Sysinternals工具监控：ProcMon可实时捕获对注册表或文件的篡改行为，定位源头进程。
• 部署Chrome策略管理（Recommended）：通过创建master_preferences文件或域级ADMX模板，强制锁定主页策略，优先级高于本地修改。