关于91大事件 · 我做了对照实验:别再点击——我整理了证据链

 V5IfhMOK8g

 2026-01-20

       

 160

关于91大事件 · 我做了对照实验:别再点击——我整理了证据链

关于91大事件 · 我做了对照实验:别再点击——我整理了证据链

前言 标题里已经说明态度:别再点了。作为做过多次网络安全与传播链路拆解的作者,我用可复现的对照实验记录了“91”相关页面在不同环境下的行为,整理出一条条证据链,目的不是吓唬你,而是让你在下次遇到类似链接时能快速判断并保护自己。

实验环境与方法(可复现)

  • 环境:干净的虚拟机(Windows 10),快照备份;同样在一台主机上用Linux沙箱对照测试。浏览器均为最新Chrome/Firefox,默认无扩展;另在含常用扩展(广告拦截、隐私保护)的浏览器上重复测试以比对差异。
  • 网络监控:Wireshark抓包、浏览器Network面板录制、tcpdump日志;对可疑文件进行Hash并提交VirusTotal检测。
  • 无需点击风险设备:所有可疑URL先在urlscan.io与VirusTotal的URL分析页面上进行初步检测,再决定是否打开真实页面。
  • 记录方式:逐步截屏、保存HTTP报文头、WHOIS与DNS解析记录、重定向链路时间戳。

核心发现(总结) 1) 重定向链长且频繁更换

  • 初次访问经常先被302/307跳转到一个或多个中转域名,短时间内再跳到广告网络或“下载站”。这些域名多数为最近注册,WHOIS信息极简或使用隐私保护。 2) 广告与弹窗逻辑高度依赖JS
  • 页面通过内嵌脚本检测浏览器状态(是否有广告拦截器、是否为自动化工具),不同环境返回不同内容:有时直接展示正常内容,有时触发弹窗、权限请求或下载提示。 3) 未授权的下载或安装诱导
  • 在没有任何用户明确同意的情况下,页面会触发“推荐下载安装”的对话框,某些情况下尝试用诱导性按钮启动可执行文件下载(.exe/.apk)。 4) 隐私与指纹收集
  • 多个第三方跟踪域名出现在请求列表中,包含广告ID、指纹识别脚本和常见分析平台。即便不点击“下载”,打开页面也会发送大量请求,暴露IP、UA等信息。 5) 在有拦截工具时,页面会改变展示策略
  • 带广告拦截器或禁用JS时,页面常回退为“空白/需启用脚本查看”,但后台仍会进行一些少量请求尝试收集信息或寻找绕过方式。

我整理的典型证据链(简化示例)

  • 初始URL -> 302 到 mid-domain1(注册1个月) -> 302 到 mid-domain2 -> 200 返回含脚本页面(obfuscated JS) -> 1st-party请求加载ad-networkA -> ad-networkA重定向到 ad-landingB -> 弹出模拟系统提示“点击运行以继续” -> 点击触发 file-download.exe(SHA256: xxxxx)并向trackerC发送安装信息。

如何自己做安全判断(不直接点击)

  • 先用urlscan.io/virustotal扫描链接,查看历史快照和域名评级。
  • 在浏览器Network/DevTools里观察请求:大量第三方请求、短寿命域名、频繁302/307都是风险信号。
  • 使用curl -I 或 wget --spider 查看HTTP头部重定向,而不执行页面脚本。
  • 若必须打开,用干净的虚拟机或隔离环境;启用广告拦截器、禁用JS再逐步放开。
  • 对下载文件先在VirusTotal上检测Hash或样本。

可造成的后果(不夸大,只陈述事实)

  • 个人资料被追踪、浏览行为被外泄、设备可能被诱导下载不需要的软件或广告插件、出现勒索/钓鱼/虚假付款引导的风险。根据我看到的证据链,至少存在显著的隐私暴露与不受控下载风险。

给非技术读者的快速指南

  • 遇到不明来源的“91”相关链接,先别点。把链接复制到urlscan或VirusTotal上检测。
  • 不要在手机上允许安装未知来源应用;在电脑上不要点击可疑的“运行”或“安装”按钮。
  • 使用广告与脚本拦截扩展(例如uBlock Origin + 禁用第三方Cookie),并保持系统与浏览器更新。
  • 若不确定,截图链接发给信任的技术朋友或我做简单判断。

别再盲点了,这类事件的危害往往源自一个无心的点击。需要帮忙就说。