UPService.exe 进程更改 hosts 文件

merlynz

今发现 UPService.exe 进程更改 hosts 文件， 添加一条解析记录

本机ip  windows10.microdone.cn

还原hosts 文件无效，1-2s会再次添加。
查询发现是银联安全控件app在操作，什么鬼？



by DS

根据提供的日志文件分析，UPService.exe（银联安全控件进程）对hosts文件的修改行为如下：

1. 操作行为分析‌

进程路径：C:\Windows\System32\drivers\etc\hosts
关键操作记录：
16:38:39.3030891 - 成功打开hosts文件（Generic Write权限）
16:38:40.5223813 - 写入824字节内容
16:38:40.5303066 - 设置文件属性为AN（存档+非内容索引）
多次读取操作显示文件最终包含861字节内容

2. 技术背景‌
银联安全控件修改hosts文件通常用于：

实现本地域名解析劫持（将特定域名强制指向本机IP）
拦截或重定向支付验证请求
防止支付页面被钓鱼网站篡改

3. 安全评估‌

该行为属于银联控件的典型设计，用于增强支付环节的安全性
但需注意：
非官方版本可能包含恶意篡改
过度依赖hosts劫持可能影响系统网络功能
企业环境中可能违反安全策略

4. 建议操作‌

验证控件签名（应显示"中国银联"颁发者）
检查hosts文件具体修改内容：
text
Copy Code
# 预期应包含类似记录：
127.0.0.1 windows10.microdone.cn

如需禁用该功能，可通过银联支付安全设置调整，或使用权限限制hosts文件写入

注：该行为属于支付安全控件的常见设计，但建议定期检查hosts文件是否被异常添加其他域名记录。