返回列表 回復 發帖

惡意代碼全攻略-1

惡意代碼全攻略

  不知道您有沒有過這樣的經歷:當你上了一個網站之後,發現IE標題欄、IE起始主頁被修改了,或者變灰不讓修改IE、地址欄下多出了文字、每次開機出現莫名其妙的提示框、修改輸入法、啟動項,啟動無關程式、菜單被加上了他的腳印、不定時彈出ie頁面,彈出無數窗口耗盡系統資源死機、註冊表編輯器regedit不能使用、DOS程式不能運行,無法進入系統實模式………下載木馬安裝給你(ie 5.0以上沒有這個漏洞了),網頁內嵌病毒,甚至對你的硬碟del *.*,format,deltree呵呵!總之,系統被改得一塌糊塗,慘不忍睹。(以前很出名的“混客絕情炸彈”相信大家還記得吧!)

  造成ie被惡意修改的原因是什麼呢?怎麼防範呢?
罪魁禍首:當然是……Microsoft,呵呵,主要是ie的執行腳本的一些漏洞啦,通過利用ActiveX修改註冊表重要項達到破壞目的。至於Applet、ActiveX及java和vb腳本語言,就請有興趣的朋友自己去瞭解瞭解了(主要是通過本地機上的WSH解析並在本地機上執行代碼或者啟動應用程式)。幸好現在的殺毒軟體都增加了放惡意代碼的功能。

  阻止惡意代碼修改註冊表:
1、大部分的惡意代碼只對IE5.0版本有效,所以將IE升級到6.0,並及時下載打上補丁! 下載安裝微軟WSH最新版,好像是5.6版!
2、安裝最新的殺毒軟體,打開即時監控保護上網安全,因為可以阻擋此類大部分惡意代碼!
3、警惕性好一點,不要受不良誘惑,儘量不要上你不知道或者不熟悉的網站!(近來的“網頁賀卡”也可能是一種傳播途徑哦)!
4、設置ie安全級別,不推薦,因為這樣有點因噎廢食,鴕鳥政策的感覺!
5、禁止編輯註冊表,win2000用禁止遠程編輯註冊表!
6、下載優化大師、超級兔子魔法設置、金山註冊表恢復器、"魔法石"網頁(由3721提供,"魔法石"http://magic.3721.com/網頁可以線上清除惡意代碼、優化網路、方便地進行個性化設置等)等恢復IE設置!
7、遮罩一些網站:IE流覽器,選擇選單欄裏的“工具”→“Internet選項”→“內容”→“分級審查”,點擊“啟用”按鈕,在彈出的“分級審查”對話框中切換到“許可站點”標籤,輸入您想遮罩的網站網址,隨後點擊“從不”按鈕,再點“確定”即可!

註冊表被修改的原因及手工修改解決辦法:
1、IE默認連接首頁被修改
受到更改的註冊表專案為:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMainStart Page
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainStart Page
通過修改“Start Page”的鍵值,來達到修改流覽者IE默認連接首頁的目的,如流覽“萬花穀”就會將你的IE默認連接首頁修改為“http://on888.home.chinaren.com ”,即便是出於給自己的主頁做廣告的目的,也顯得太霸道了一些,這也是這類網頁惹人厭惡的原因。
解決辦法:
在Windows啟動後,點擊“開始”→“運行”菜單項,在“打開”欄中鍵入regedit,然後按“確定”鍵; 展開註冊表到 HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain下,在右半部分窗口中找到串值“Start Page”雙擊 ,將Start Page的鍵值改為“about:blank”即可;同理,展開註冊表到HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain
在右半部分窗口中找到串值“Start Page”,然後按?中所述方法處理。
退出註冊表編輯器,重新啟動電腦,一切OK了!
特殊例子:當IE的起始頁變成了某些網址後,就算你通過選項設置修改好了,重啟以後又會變成他們的網址。其實他們是在你機器裏加了一個自運行程式,它會在系統啟動時將你的IE起始頁設成他們的網站。
解決辦法:
運行註冊表編輯器regedit.exe,然後依次展開
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionRun主鍵,然後將其下的registry.exe子鍵刪除,然後刪除自運行程式crogram Files
egistry.exe,最後從IE選項中重新設置起始頁就好了。
2、篡改IE的默認頁
有些IE被改了起始頁後,即使設置了“使用默認頁”仍然無效,這是因為IE起始頁的默認頁也被篡改啦。具體說來就是以下註冊表項被修改:
HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainDefault_Page_URL“Default_Page_URL”這個子鍵的鍵值即起始頁的默認頁。
解決辦法:
運行註冊表編輯器,然後展開上述子鍵,將“Default_Page_UR”子鍵的鍵值中的那些篡改網站的網址改掉就好了,或者設置為IE的默認值。
3、修改IE流覽器缺省主頁,並且鎖定設置項,禁止用戶更改回來。
主要是修改了註冊表中IE設置的下麵這些鍵值(DWORD值為1時為不可選):
[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Pan
el]"Settings"=dword:1
[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternetExplorerControl Panel]"Links"=dword:1
[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternetExplorerControl Panel]"SecAddSites"=dword:1
解決辦法:
將上面這些DWORD值改為“0”即可恢復功能。
4、IE的默認首頁灰色按扭不可選
這是由於註冊表HKEY_USERS.DEFAULTSoftwarePoliciesMicrosoftInternet ExplorerControl Panel下的DWORD值“homepage”的鍵值被修改的緣故。原來的鍵值為“0”,被修改為“ 1”(即為灰色不可選狀態)。
解決辦法:
將“homepage”的鍵值改為“0”或者刪除這個項即可。
5、IE標題欄被修改
在系統默認狀態下,是由應用程式本身來提供標題欄的資訊,但也允許用戶自行在上述註冊表專案中填加資訊,而一些惡意的網站正是利用了這一點來得逞的:它們將串值Window Title下的鍵值改為其網站名或更多的廣告資訊,從而達到改變流覽者IE標題欄的目的。
具體說來受到更改的註冊表專案為:HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMainWindow Title
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainWindow Title
解決辦法:
在Windows啟動後,點擊“開始”→“運行”菜單項,在“打開”欄中鍵入regedit,然後按“確定”鍵;展開註冊表到
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain下,在右半部分窗口中找到串值“Window Title“,將該串值刪除即可,或將Window Title的鍵值改為“IE流覽器”等你喜歡的名字; 同理,展開註冊表到
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain然後按?中所述方法處理。
退出註冊表編輯器,重新啟動電腦,運行IE,你會發現困擾你的問題解決了!
6、IE右鍵菜單被修改
受到修改的註冊表專案為:
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt下被新建了網頁的廣告資訊,並由此在IE右鍵菜單中出現!
解決辦法:打開註冊標編輯器,找到
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt
刪除相關的廣告條文即可,注意不要把下載軟體FlashGet和Netants也刪除掉啊,這兩個可是“正常”的呀,除非你不想在IE的右鍵菜單中見到它們。
7、IE默認搜索引擎被修改
在IE流覽器的工具欄中有一個搜索引擎的工具按鈕,可以實現網路搜索,被篡改後只要點擊那個搜索工具按鈕就會鏈接到那個篡改網站。出現這種現象的原因是以下註冊表被修改:
HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearchCustomizeSearch
HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearchSearchAssistant
解決辦法:
運行註冊表編輯器,依次展開上述子鍵,將“CustomizeSearch”和“SearchAssis
tant”的鍵值改為某個搜索引擎的網址即可。
8、系統啟動時彈出對話框
受到更改的註冊表專案為:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon 在其下被建立了字串“LegalNoticeCaption”和“LegalNoticeText”,其中“LegalNoticeCaption”是提示框的標題,“LegalNoticeText”是提示框的文本內容。由於它們的存在,就使得我們每次登陸到Windwos桌面前都出現一個提示窗口,顯示那些網頁的廣告資訊!
解決辦法:
打開註冊表編輯器,找到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon 這一個主鍵,然後在右邊窗口中找到“LegalNoticeCaption”和“LegalNoticeTex t”這兩個字串,刪除這兩個字串就可以解決在登陸時出現提示框的現象了。
9、流覽網頁註冊表被禁用
這是由於註冊表
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
下的DWORD值“DisableRegistryTools”被修改為“1”的緣故,將其鍵值恢復為“ 0”即可恢復註冊表的使用。 當運行regedit時,警告框顯示:註冊表編輯器已被管理鎖定
解決方法:打開記事本,嚴格按照以下格式編輯:
REGEDIT4 (XP或者2000用戶這裏改為:Windows Registry Editor Version 5.00)
(這裏一定空行)
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
]
“DisableRegistryTools”=dword:00000000
返回列表