求文档链接1.5 wsadd.pln（浏览器广告模块）大致流程：获取到云控配置后会下载不同的配置文件，随后通过配置进行规避操作，若无需要规避的选项时将会匹配特定网页并弹出推广网页，例如匹配京东商品页面并弹出。云控配置来源和作用：与 pwnd.dll 模块一样，不同的是 wsadd.pln 会利用 alice_assist_v3_slow 字段值。其中 avoid_bro、avoid_web_cdn、sensitive_soft_path_cdn 分别规避特定浏览器、访问特定网址、特定软件；global_script_cdn 为动态开关（一般为 Lua 脚本 return "1"）；resource_url 为匹配特定网页并弹出推广网页所用。云控配置每次用户访问符合推广条件的网页时将会触发规避函数，具体规避行为如下：规避特定浏览器（avoid_bro）：若用户使用 slbrowser（联想浏览器）、iexplore（IE 浏览器）、sogouexplorer（搜狗浏览器）等浏览器则不会推送广告。规避访问特定网址（avoid_web_cdn）：若用户访问以下带有技术性或投诉相关网址时会将 ini 文件中的推广开关字段（WebADSwitch 字段）设置为 0，从而禁止推广（下文中称为“设置禁止推广”）。规避特定网址检测安装的软件（sensitive_soft_path_cdn）：遍历注册表 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstall 获取安装列表并获取其中 DisplayName，与需要规避的软件列表比较，若符合规避条件，则终止推广操作。遍历安装列表并进行规避检测控制面板窗口：检测标题名为“所有控制面板项”或“控制面板”以及类名为 CabinetWClass 的窗口，经过确认发现该类名为控制面板特有的类名。检测控制面版窗口检测进程：将会进行检测的进程有三种，分别为必须规避、系统管理进程、远程控制进程，对应的处理方式也会不同。如若碰到必须规避的进程，例如 windbg.exe、procmon.exe 等逆向分析的进程则会设置禁止推广。若碰到系统管理进程，例如 regedit.exe（注册表管理）或 taskmgr.exe（任务管理器）则会关闭一天推广（通过 today_valid 字段）。若碰到远程控制进程，例如 mstsc.exe（微软自带远程桌面程序），则与第二条一致，也会关闭一天推广，只是往服务器报告的内容为 rmt_quit。MD5 值所对应名称匹配网页并请求云控配置（resource_url）：随后通过云控配置 resource_url 中 url_reg对用户访问的网页进行匹配，随后通过请求 link_req_url 链接获取到被加密的推广网页。resource_url 云控配置通过各类工具解密被加密的推广网页，获取原始数据。解密随后将会弹出推广网页。弹出推广页面二、溯源分析初期关注到该事件是因为火绒威胁情报系统中小蓝鸽数据异常，从而判断可能是有其他软件正在推广该软件，其中通过数据发现主要是来源于“多标签文件管理器”、“DX强力修复”、“Echofind”等多种软件，通过数字签名和隐私声明中发现这些软件是由“成都有望科技有限公司”和“重庆赫赫有盾科技有限公司”等制作。签名和公司因为分析时发现 DX 强力修复软件会推广自家其他软件或其他公司的软件（例如 BlueDove 小蓝鸽签名为“天津简诚科技有限公司”），所以通过“天眼查”等查询软件发现这些公司之间有一些细微的联系，例如电话号码、姓名、邮箱后缀等地方出现意外关联。天眼查随后分析过程中搜索其中进程名时意外搜索到编译这些软件包的CCNet服务器日志，其中包含多个软件包，例如 BlueDove、DustAway 等，还有多个编译选项，其中不乏 cqhhyd、tjch、tjxinyuan 等，火绒工程师通过分析多个公司之间的联系时获取到了一些信息，通过这些信息推测出了多个名称的含义。编译选项中公司名称