怎么检查Edge浏览器是否被恶意脚本篡改主页和搜索引擎？

Edge被深度劫持需四步排查：第一步用无扩展模式验证是否扩展或启动参数导致；第二步检查设置页是否被组策略或注册表锁死；第三步扫描快捷方式和进程命令行中的隐藏参数；第四步用PowerShell枚举注册表中Homepage、StartPage等劫持项。

当你发现Edge浏览器每次启动都跳转到hao123、2345或陌生推广页，地址栏搜索一回车就跳到奇怪网站，说明很可能已有恶意脚本在后台持续改写主页和搜索引擎——这种篡改往往不是单点失效，而是多层嵌套干预，必须逐层验证才能确认是否被深度劫持。

第一步：用无扩展模式快速隔离问题源头

按住Shift键双击Edge快捷方式启动，或在已打开的Edge中按Ctrl + Shift + Esc调出任务管理器→右键Edge进程→“转到详细信息”→右键该进程→“在文件位置中打开”，再按Shift + 右键空白处→“在此处打开PowerShell窗口”→输入start msedge.exe --disable-extensions回车。这个模式下所有扩展、自定义设置、策略注入全部失效。如果此时主页和搜索恢复正常，说明劫持来自扩展或启动参数；如果仍跳转，问题已深入系统级配置。

这一步不用改任何设置，纯验证行为。注意：不能只靠“新建标签页”判断，要实际输入网址回车、在地址栏搜词看是否跳转，因为有些脚本只在导航或搜索时触发。

第二步：检查浏览器内部设置是否被锁死

方法一：直接查看主页与搜索引擎是否可编辑
点击右上角“⋯”→“设置”→左侧选“开始、主页和新建标签页”。如果“主页”输入框是灰色不可点，或“添加新页面”按钮缺失，“启动时”选项卡里只有“打开以下页面”且无法切换为“打开新标签页”，【说明已被组策略或注册表强制锁定，普通设置无效】。
再往下拉到“隐私、搜索和服务”→“地址栏”→“管理搜索引擎”，如果“默认搜索引擎”下拉菜单为空，或Bing条目右侧没有“设为默认”按钮，也属于锁死特征。

方法二：用edge://settings/ URL强制跳转验证
在地址栏直接输入edge://settings/startup回车，看能否正常加载启动页设置页；再输edge://settings/search，观察页面是否报错或自动重定向。若任一页面打不开、空白、或跳转到非edge://开头的地址，基本确认有脚本正在拦截设置页请求。

第三步：扫描快捷方式与进程命令行中的隐藏参数

① 查桌面、任务栏、开始菜单所有Edge快捷方式：
右键→“属性”→“快捷方式”选项卡→看“目标”框。正常应仅为带英文引号的exe路径，如："C:Program Files (x86)MicrosoftEdgeApplicationmsedge.exe"。若末尾出现空格+网址（如"msedge.exe" https://www.2345.com）或带--homepage=、--new-tab-page=、--search-engine=等参数，就是劫持证据。

② 查运行中的真实命令行：
按Ctrl + Shift + Esc打开任务管理器→“详细信息”选项卡→找到msedge.exe进程→右键→“属性”→“详细信息”→“命令行”字段。这里显示的是当前生效的完整启动指令，比快捷方式更真实。如果看到--homepage="http://xxx"之类，说明脚本正通过进程注入方式强制覆盖设置。

注意：任务栏固定图标可能对应独立快捷方式，需右键任务栏Edge图标→“更多”→“打开文件位置”，再对弹出的快捷方式做同样检查。

第四步：用PowerShell快速枚举注册表劫持点

以管理员身份运行PowerShell，粘贴执行以下命令：

Get-ItemProperty -Path "HKCU:SOFTWAREPoliciesMicrosoftEdge", "HKLM:SOFTWAREPoliciesMicrosoftEdge" -ErrorAction SilentlyContinue | ForEach-Object { $_.PSPath; Get-ChildItem $_.PSPath -Recurse -ErrorAction SilentlyContinue | Where-Object { $_.Name -match "Homepage|StartPage|SearchScopes" } | Format-List Name, Property, Value }

这条命令会自动扫描用户级和系统级两个最常被篡改的注册表路径，并只列出含Homepage、StartPage、SearchScopes关键字的键值。如果输出结果里出现非空的字符串值（比如Value : http://www.hao123.com），【说明注册表已被写入强制策略，浏览器设置必然被覆盖】。没有输出则暂未发现注册表层劫持。