偶然间发现Chrome 会自己重启,然后切换默认的search引擎从google变为search Library。
在chrome中删除了这个item,但是又出现一次,意识到chrome已经被劫持。
0x00 确认浏览器是否被恶意软件劫持
打开 Chrome ,地址栏输入:chrome://policy,如果发现 ExtensionSettings 为这个,且等级为 Mandatory 说明浏览器被劫持:
0x01到library下寻找文件
:~/Library/LaunchAgents/发现了searchLibrary.plist plist 其内容 查看路径指向一个可执行文件,下一步,我们去删掉这个文件
0x02 必须删除 /Library/Application Support/ 下这个对应的文件
否则可能死灰复燃!
0x03 最恶心的莫过于TA居然把自己伪装成Profile
打开 System Preferences ——Profiles,删除 SearchLibrary。
Comments