91大事件：所谓“爆料”：其实是浏览器劫持 - 我把全过程写出来了

91大事件：所谓“爆料”：其实是浏览器劫持 - 我把全过程写出来了

前言 最近网上关于“91大事件”的各种爆料铺天盖地。我亲身调查并复盘了整个过程，得出的结论是：表面上的“爆料”并非来自可信来源，而是通过浏览器劫持和一系列网络技法制造出来的假象。下面把我发现的全过程、证据线索和清理防护步骤完整写出来，供大家参考与自查。

一、事情经过（我如何接触到这个“爆料”）

• 某天通过社交媒体看到多人转发一篇看似“内部爆料”的文章，配有截图和音频片段，传播速度很快。
• 我在不同设备和不同网络下打开链接，发现内容和页面会根据来源不同而变化：有的用户看到完整页面，有的只看到标题或跳转到广告页面。
• 我怀疑不是单纯的“爆料”，于是开始从浏览器与网络层面着手排查。

二、我发现的劫持手法（技术细节与表现） 下面是我实际观察到并复现的几类常见技术手法，合在一起就能把普通网页包装成“爆料”并大范围传播：

1) 恶意浏览器扩展/插件

• 扩展会注入脚本、篡改页面 DOM、替换或伪造页面内容，甚至在访问特定域名时自动加载本地或远程模板。
• 表现为：打开页面后自动弹出额外元素、广告或替换正文；关闭扩展后页面恢复正常。

2) 页面注入脚本与第三方广告网络

• 通过被污染的第三方资源（如广告脚本、CDN上的JS）注入劫持逻辑，按来源（Referer/User-Agent）展示不同内容，做到“有的人看到爆料，有的人看不到”。
• 注入脚本还可能记录点击、截屏、提交表单等行为。

3) DNS/Hosts/代理劫持

• 在本地 hosts 文件或通过被劫持的 DNS 解析，将某些域名指向攻击者控制的服务器，从而返回伪造页面。
• 有时是通过企业或公共 Wi-Fi 中间人（MITM）劫持实现（劫持路由器、开放 Wi‑Fi 热点等）。

4) SEO 投毒与社交工程

• 使用大量伪造的短链、镜像站、标题党和虚假社交账号推动内容曝光，形成“舆论热度”，使更多人点击并被劫持逻辑覆盖。
• 配合诱导性弹窗、下载按钮、提示“查看完整内幕需安装插件/应用”等社工手段。

5) Cloaking（访客指纹识别）

• 根据访客来源、设备、IP 或 User-Agent 判定是否展示真实内容或伪造页面，能有效避开审查与取证。

• 浏览器开发者工具（F12）

• Network 标签：查看哪些脚本被加载、返回了哪些资源、是否有跨域请求指向可疑域名。

• Sources/Elements：检查注入的脚本和被修改的 DOM，寻找明显的注入注释或外部 JS 链接。

• 保存 HAR 文件与请求头

• 将访问过程保存为 HAR，可在不同设备/网络下比对差异，查看Referer、Cookie、User-Agent 等是否被利用。

• 检查扩展与脚本来源

• chrome://extensions (或 edge://extensions)、禁用所有非必要扩展后重载页面对比差异。

• 网络层面抓包

• 使用 Wireshark 或 Fiddler 抓包，观察 DNS 请求、TCP 连接和返回内容，确定是否存在 DNS 污染或中间人注入。

• 系统级检查

• Windows：检查 C:\Windows\System32\drivers\etc\hosts，查看是否有被篡改；使用 netsh winhttp show proxy 查看代理设置；用 netstat -ano 查找异常连接。

• macOS/Linux：查看 /etc/hosts、检查 launch agents、cron、systemd 定时任务等可疑启动项。

• 本地与云端对照

• 使用 curl -I 或 wget 获取原站响应头，与浏览器看到的页面做对照，识别是否被本地或中间层替换。

四、如何清理与防护（实用操作清单） 发现被劫持或怀疑页面被伪造时，可按下面步骤处理：

快速检查（5–15 分钟）

• 关闭浏览器扩展：进入扩展管理页面，逐一禁用可疑扩展并重载页面。
• 切换网络：用手机热点或其他网络对比访问结果，判断是否为网络层劫持。
• 检查 hosts：Windows 与 macOS/Linux 上检查 hosts 文件是否被篡改。
• 查看代理设置：确认没有被设置为陌生代理或自动配置脚本。

深入清理（30 分钟以上）

• 恢复浏览器默认设置：清理缓存、Cookie，或直接重置浏览器配置。
• 卸载可疑软件与扩展：彻底删除来源不明的扩展和相关程序。
• 扫描与查杀：使用可信的反恶意软件工具（例如 Malwarebytes、Windows Defender）进行全面扫描。
• 修复系统启动项：Windows 可用 Autoruns 检查开机启动项，macOS 可检查 LaunchAgents 和 LaunchDaemons。
• 恢复 DNS：如果怀疑 DNS 污染，将 DNS 切换为可信服务（例如 1.1.1.1、8.8.8.8），并重新启动网络设备。

取证保全（对抗伪造传播很关键）

• 保存页面截图与 HAR 文件、开发者工具中捕获的 JS 文件和请求日志。
• 将证据备份到可信第三方（例如云盘），避免本地被再次污染。
• 在不同设备和网络下重做相同操作，用对照证明“差异”。

五、给读者的建议（如何避免上当）

• 对来源不明的“爆料”保持怀疑，先查看是否有多方独立证据支持。
• 不随意安装来路不明的浏览器扩展或应用，尤其是被提示为“查看完整内容必须安装”的情况。
• 养成在不同网络、不同设备上交叉验证重要信息的习惯。
• 安装并定期更新安全软件与浏览器，及时修补已知漏洞。