亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        斬?cái)嗌煜騃E主頁(yè)的黑手

        2015-12-03 01:24:10
        網(wǎng)絡(luò)安全和信息化 2015年3期
        關(guān)鍵詞:快捷方式鍵值注冊(cè)表

        IE的主頁(yè)信息實(shí)際上保存在注冊(cè)表中,惡意程序通常會(huì)對(duì)其進(jìn)行非法修改,來(lái)實(shí)現(xiàn)控制IE主頁(yè)的目的。運(yùn)行“regedit.exe”程序,在注冊(cè)表編輯器中打開(kāi)“HKEY_C U R R E N T_U S E RS o f t w a r eM i c r o s o f tInternet ExplorerMain”分支,在右側(cè)窗口檢查“Start Page”鍵值名,判斷其內(nèi)容是否為默認(rèn)的“about:blank”。如果包含非法網(wǎng)址,將其刪除即可。打開(kāi)“HKEY_U S E R SS-1-5-2 1-842925246-1580818891-682003330-500SoftwareM i c r o s o f tI n t e r n e t ExplorerMain”分支,檢測(cè)其中的“Start Page”鍵值名是否被非法修改。

        注意:其中的以“S-1-5-21”啟示的字符串每臺(tái)主機(jī)可能不同。

        當(dāng)然,直接的方法是點(diǎn)擊“Ctrl+F3”鍵,輸入惡意網(wǎng)址內(nèi)容,對(duì)注冊(cè)表進(jìn)行全面搜索,來(lái)發(fā)現(xiàn)并清除隱藏惡意網(wǎng)站的鍵值。此外,應(yīng)該注意惡意網(wǎng)址可能會(huì)被進(jìn)行加密處理,例如對(duì)于“www.xxx.com”網(wǎng)址來(lái)說(shuō),經(jīng)過(guò)加密后,會(huì)變成“http://%77%77%77%2E%78%78%78%2E%63%6F%6D/”字樣,隱藏在特定的注冊(cè)表鍵值中,則很難搜索到。為此可以運(yùn)行Sreng這款安全工具。在其主界面左側(cè)點(diǎn)擊“智能搜索”按鈕和“掃描”按鈕,操作完畢后,將掃描結(jié)果保存為獨(dú)立的文件。在該文件中的“瀏覽器加載項(xiàng)”部分就很容易發(fā)現(xiàn)加密后的惡意網(wǎng)址,以及對(duì)應(yīng)的注冊(cè)表位置,進(jìn)入可以將其找到并清除。

        當(dāng)在IE屬性窗口的“主頁(yè)”欄中并沒(méi)有發(fā)現(xiàn)惡意網(wǎng)址,也不能掉以輕心,因?yàn)閻阂獬绦蚩赡軐⒆烂嫔系恼E圖標(biāo)刪除,之后新建一個(gè)IE快捷方式,在其屬性窗口中的“目標(biāo)”欄中的IE運(yùn)行路徑后面添加包含惡意網(wǎng)址的參數(shù)。解決方法是將該非法IE快捷方式刪除。如果桌面上的虛假I(mǎi)E圖標(biāo)無(wú)法刪除,可以在注冊(cè)表中 打 開(kāi)“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerDesktopNameSpace”分支,在其下檢測(cè)是否有可以子健,默認(rèn)只有5個(gè)子健,包括回收站、搜索文件夾等。找到非法項(xiàng)目(例如{xxxxxxxx-xxxx-xxxxxxxx-xxxxxxxxxxx})后,將其刪除。并在“HKEY_CLASSES_ROOTCLSID”分支中搜索該項(xiàng)目名稱(chēng),并將搜索到的子健刪除,就可以刪除桌面上的非法IE圖標(biāo)了。

        此外,在注冊(cè)表中打開(kāi)“HKEY_CLASSES_ROOTCLSID{871C5380-4 2 A 0-1 0 6 9-A 2 E A-0 8 0 0 2 B 3 0 3 0 9 D}shellOpenHomePageCommand”,可以看到 IE 的運(yùn)行路徑,如果惡意程序在其路徑后面添加惡意網(wǎng)址,那么在啟動(dòng)IE時(shí)進(jìn)入惡意網(wǎng)站,為此,只需將其后面跟隨的惡意網(wǎng)址刪除。不過(guò),有時(shí)惡意程序?yàn)榱嗣曰笥脩?,?huì)將惡意網(wǎng)站進(jìn)行加密處理,其手法很簡(jiǎn)單,例如對(duì)于某網(wǎng)址來(lái)說(shuō),可以將其IP轉(zhuǎn)換為十六進(jìn)制,然后再將其轉(zhuǎn)換為十進(jìn)制,得到看起來(lái)不太惹眼的數(shù)值,例如1089060423等,將其附加在IE路徑后面,對(duì)于警惕性不高的人來(lái)說(shuō),很容易讓其蒙混過(guò)關(guān)。遇到這樣的情況,最好將IE路徑后面的“尾巴”清除,不讓惡意網(wǎng)站劫持IE。

        圖1 使用AutoRuns檢測(cè)驅(qū)動(dòng)信息

        除了通過(guò)注冊(cè)表修改IE主頁(yè)外,惡意程序還會(huì)通過(guò)更加高級(jí)的手段,來(lái)對(duì)IE主頁(yè)進(jìn)行篡改。例如,現(xiàn)在的“主流”惡意程序會(huì)采用創(chuàng)建驅(qū)動(dòng)程序的手法,從底層侵入系統(tǒng),這樣,當(dāng)系統(tǒng)啟動(dòng)后,就會(huì)自動(dòng)加載該不法驅(qū)動(dòng)模塊,當(dāng)其被激活后,就會(huì)對(duì)IE主頁(yè)以及其它配置項(xiàng)目進(jìn)行篡改,即使您對(duì)注冊(cè)表進(jìn)行全面搜索,也無(wú)法發(fā)現(xiàn)其蹤跡。為此,可以運(yùn)行AutoRuns這款安全工具,在其中可以查看所有的啟動(dòng)項(xiàng)目。打開(kāi)“驅(qū)動(dòng)”面板(如圖1所示),可以顯示所有的驅(qū)動(dòng)模塊。對(duì)于可疑模塊,AutoRuns會(huì)以黃色進(jìn)行標(biāo)識(shí)。對(duì)于危險(xiǎn)性高的模塊,AutoRuns會(huì)以紅色進(jìn)行標(biāo)識(shí),對(duì)其進(jìn)行比較分析,可以很容易發(fā)現(xiàn)其中的不法分子,對(duì)于拿不準(zhǔn)的模塊,可以在其右鍵菜單上點(diǎn)擊“在線搜索”項(xiàng),對(duì)其進(jìn)行詳細(xì)分析。

        對(duì)于確認(rèn)的不法驅(qū)動(dòng)模塊,可以在其右鍵菜單上點(diǎn)擊“刪除”項(xiàng),將其清除。為了防止出錯(cuò),可以先點(diǎn)擊“跳轉(zhuǎn)到文件夾”項(xiàng),將對(duì)應(yīng)的驅(qū)動(dòng)文件復(fù)制出來(lái),如果刪除出錯(cuò)可以及時(shí)恢復(fù)。同AutoRuns相比,Security Autorun的功能更加強(qiáng)大,堪稱(chēng)啟動(dòng)項(xiàng)大管家。例如,在其“Driver List”面板中毫無(wú)遺漏地顯示全部驅(qū)動(dòng)模塊,包括其名稱(chēng)、描述信息、狀態(tài)、關(guān)聯(lián)的文件路徑等信息。對(duì)于可疑模塊,在其右鍵菜單中點(diǎn) 擊“Disable Items”項(xiàng),禁用該模塊,點(diǎn)擊“Delete Items”項(xiàng),刪除該模塊。點(diǎn)擊“Jump”項(xiàng),可以跳轉(zhuǎn)到目標(biāo)路徑或者注冊(cè)表分支中。點(diǎn)擊“Properties”項(xiàng),可以查看相關(guān)文件的屬性。

        除了通過(guò)加載驅(qū)動(dòng)模塊的方法來(lái)篡改IE主頁(yè)外,惡意程序還會(huì)利用加載DLL動(dòng)態(tài)庫(kù)的伎倆,將自身注入到IE進(jìn)程中,來(lái)動(dòng)態(tài)綁架IE主頁(yè)。對(duì)于這樣的方法,在注冊(cè)表中是搜索不到相關(guān)線索的,而且桌面上IE圖標(biāo)不管是外觀還是運(yùn)行參數(shù)都沒(méi)有任何可疑之處。例如,筆者就曾經(jīng)遇到過(guò)這樣的情況,剛開(kāi)始按照常規(guī)方法沒(méi)有發(fā)現(xiàn)問(wèn)題所在。后來(lái)打開(kāi)安裝的某款主動(dòng)防御安全工具提供的日志文件時(shí),在其中發(fā)現(xiàn)了相關(guān)線索,日志提示在IE的進(jìn)程自動(dòng)生成了某個(gè)來(lái)歷不明的EXE文件,該程序又在“C:Windowssystem32”文件夾下生成了某個(gè)DLL文件。運(yùn)行Wsyschk這款安全工具,在“進(jìn)程管理”面板中選擇“iexplorer.exe”,在窗口底部的“模塊路徑”欄中仔細(xì)查找,果然找到了該DLL文件。

        筆者先關(guān)閉了IE,然后 在“C:Windowssystem32”路徑中找到了該DLL文件并對(duì)其更名,之后再次運(yùn)行IE,在Wsyschk程序中就沒(méi)有發(fā)現(xiàn)其蹤跡,說(shuō)明該DLL文件的確注入到了IE進(jìn)程中,進(jìn)而篡改主頁(yè)的。將該DLL刪除,并在注冊(cè)表中搜索和該DLL相關(guān)的鍵值,之后刪除并重啟系統(tǒng),問(wèn)題得以徹底解決。但是殺毒軟件地沒(méi)有檢測(cè)到該DLL文件,說(shuō)明其經(jīng)過(guò)了免殺處理。

        當(dāng)然,惡意程序往往比較狡猾,并非單純地使用上述某種方式來(lái)綁架IE,而是采用多種手段聯(lián)合使用的伎倆,來(lái)達(dá)到引誘用戶誤入惡意網(wǎng)站的目的。

        例如,當(dāng)惡意程序滲透進(jìn)入系統(tǒng)后,會(huì)在桌面創(chuàng)建幾個(gè)快捷方式,以桌面美化、休閑游戲等名稱(chēng)來(lái)迷惑用戶,其圖標(biāo)看起來(lái)也比較吸引人,一旦用戶誤擊了這些圖標(biāo),就會(huì)落入陷阱之中。

        所以,不僅要使用上述方法恢復(fù)IE主頁(yè)的本來(lái)面目,而且要跟蹤追擊,將暗中破壞的病毒木馬等惡意程序一并清除,才可以從根本上解決問(wèn)題。

        有時(shí),當(dāng)您在修改IE快捷方式各項(xiàng)屬性時(shí),系統(tǒng)會(huì)彈出“無(wú)法將所做的改動(dòng)保存 到 Internet Explorer.lnk 拒絕訪問(wèn)”的提示,表明惡意程序?qū)⒃摽旖莘绞皆O(shè)置成了只讀屬性,只需將其屬性恢復(fù)到正常狀態(tài),就可以進(jìn)行所需的調(diào)整操作了。此外,惡意程序也可能將相關(guān)路徑的屬性設(shè)置為只讀,例如 將“C:Documents and SettingsAdministrator桌面”、“C:Documents and SettingsAdministratorA p p l i c a t i o n D a t aM i c r o s o f tI n t e r n e t ExplorerQuick Launch”等特殊文件夾設(shè)置為只讀屬性,同樣可以阻擋用戶恢復(fù)IE快捷方式的相關(guān)屬性。如果出現(xiàn)無(wú)法取消只讀屬性的問(wèn)題,說(shuō)明權(quán)限設(shè)置被惡意修改。在文件夾選項(xiàng)窗口中取消“使用簡(jiǎn)單文件共享”項(xiàng)選擇狀態(tài),在上述文件夾屬性窗口中的“安全”面板檢查當(dāng)前用戶是否擁有對(duì)該文件夾的完全控制和修改等權(quán)限,設(shè)置好合適的權(quán)限后,再對(duì)其進(jìn)行修改。

        如果對(duì)注冊(cè)表進(jìn)行修改時(shí)(例如刪除非法鍵值等),系統(tǒng)彈出錯(cuò)誤提示的話,這說(shuō)明惡意程序?qū)ο嚓P(guān)注冊(cè)表鍵值的權(quán)限進(jìn)行了封鎖,為此可以在對(duì)應(yīng)子健的右鍵菜單上點(diǎn)擊“權(quán)限”項(xiàng),查看當(dāng)前用戶是否擁有完全控制權(quán)限,如果沒(méi)有的話將其添加進(jìn)來(lái),就可以對(duì)其進(jìn)行修改了。一般來(lái)說(shuō),需要針對(duì)當(dāng)前賬戶啟用“完全控制”和“讀取”兩項(xiàng)權(quán)限。如果惡意程序?qū)?dāng)前賬戶從權(quán)限列表中刪除,則需要“高級(jí)”按鈕,之后添加當(dāng)前賬戶,然后賦予其權(quán)限即可。此外,如果在Windows 7等系統(tǒng)中遇到桌面上IE圖標(biāo)無(wú)法刪除和修改,而且在注冊(cè)表等地方也查不出什么異常的話,就需要注意共享設(shè)置方面是否存在問(wèn)題了。例如,有些流氓軟件可能會(huì)將IE快捷方式設(shè)置為共享狀態(tài),而處于共享狀態(tài)的快捷方式是無(wú)法被刪除的。檢測(cè)的方法很簡(jiǎn)單,在IE快捷方式的右鍵菜單上查看是否有“共享”項(xiàng),如果有的話,進(jìn)入其共享設(shè)置界面,將其共享屬性消除,然后就可以對(duì)其進(jìn)行修改或者刪除了。

        猜你喜歡
        快捷方式鍵值注冊(cè)表
        非請(qǐng)勿進(jìn) 為注冊(cè)表的重要鍵值上把“鎖”
        這些桌面快捷方式你會(huì)創(chuàng)建嗎
        快捷方式
        更上一層樓 用好注冊(cè)表編輯器
        一鍵直達(dá) Windows 10注冊(cè)表編輯高招
        以左鍵的名義管理快捷方式
        電腦迷(2014年24期)2014-04-29 21:55:14
        注冊(cè)表值被刪除導(dǎo)致文件夾選項(xiàng)成空白
        分區(qū)變了 別再讓快捷方式“獨(dú)守空房”
        學(xué)習(xí)器揭開(kāi)注冊(cè)表面紗
        軟件不能運(yùn)行,注冊(cè)表中找根源
        69精品人妻一区二区| 日日躁夜夜躁狠狠久久av| 久热这里只有精品99国产| 极品美女尤物嫩模啪啪| 99久久久人妻熟妇精品一区二区 | 精品午夜中文字幕熟女| 久久久精品视频网站在线观看| www插插插无码视频网站| 夜夜春精品视频| 久久综合这里只有精品| 亚洲一区毛片在线观看| 亚洲av成人无码网站大全| 日本手机在线| 超碰青青草手机在线免费观看| 99久久无色码中文字幕人妻蜜柚| 国外亚洲成av人片在线观看| 久久久久久久国产精品电影| 亚洲av男人的天堂在线| 丰满少妇被粗大猛烈进人高清| 成在人线av无码免费| 国产网友自拍亚洲av| 99精品国产一区二区三区| 熟女性饥渴一区二区三区| 潮喷失禁大喷水aⅴ无码| 国产山东熟女48嗷嗷叫| 成在线人免费无码高潮喷水| 日韩高清不卡一区二区三区| 小sao货水好多真紧h无码视频| 日韩精品久久久一区| 亚洲精品一区二区三区日韩 | 亚洲一区久久蜜臀av| 日本久久久久亚洲中字幕| 国产成人无码区免费网站| 久久久精品亚洲懂色av| 久久精品国产亚洲av天| 国产午夜福利在线播放| 国产精品国产自线拍免费| 黄色影院不卡一区二区| 日本一卡2卡3卡4卡无卡免费网站 亚洲av无码一区二区三区不卡 | 国产又黄又大又粗的视频| 无码专区亚洲avl|