■

IE的主頁(yè)信息實(shí)際上保存在注冊(cè)表中，惡意程序通常會(huì)對(duì)其進(jìn)行非法修改，來(lái)實(shí)現(xiàn)控制IE主頁(yè)的目的。運(yùn)行“regedit.exe”程序，在注冊(cè)表編輯器中打開(kāi)“HKEY_C U R R E N T_U S E RS o f t w a r eM i c r o s o f tInternet ExplorerMain”分支，在右側(cè)窗口檢查“Start Page”鍵值名，判斷其內(nèi)容是否為默認(rèn)的“about:blank”。如果包含非法網(wǎng)址，將其刪除即可。打開(kāi)“HKEY_U S E R SS-1-5-2 1-842925246-1580818891-682003330-500SoftwareM i c r o s o f tI n t e r n e t ExplorerMain”分支，檢測(cè)其中的“Start Page”鍵值名是否被非法修改。

注意:其中的以“S-1-5-21”啟示的字符串每臺(tái)主機(jī)可能不同。

當(dāng)然，直接的方法是點(diǎn)擊“Ctrl+F3”鍵，輸入惡意網(wǎng)址內(nèi)容，對(duì)注冊(cè)表進(jìn)行全面搜索，來(lái)發(fā)現(xiàn)并清除隱藏惡意網(wǎng)站的鍵值。此外，應(yīng)該注意惡意網(wǎng)址可能會(huì)被進(jìn)行加密處理，例如對(duì)于“www.xxx.com”網(wǎng)址來(lái)說(shuō)，經(jīng)過(guò)加密后，會(huì)變成“http://%77%77%77%2E%78%78%78%2E%63%6F%6D/”字樣，隱藏在特定的注冊(cè)表鍵值中，則很難搜索到。為此可以運(yùn)行Sreng這款安全工具。在其主界面左側(cè)點(diǎn)擊“智能搜索”按鈕和“掃描”按鈕，操作完畢后，將掃描結(jié)果保存為獨(dú)立的文件。在該文件中的“瀏覽器加載項(xiàng)”部分就很容易發(fā)現(xiàn)加密后的惡意網(wǎng)址，以及對(duì)應(yīng)的注冊(cè)表位置，進(jìn)入可以將其找到并清除。

當(dāng)在IE屬性窗口的“主頁(yè)”欄中并沒(méi)有發(fā)現(xiàn)惡意網(wǎng)址，也不能掉以輕心，因?yàn)閻阂獬绦蚩赡軐⒆烂嫔系恼E圖標(biāo)刪除，之后新建一個(gè)IE快捷方式，在其屬性窗口中的“目標(biāo)”欄中的IE運(yùn)行路徑后面添加包含惡意網(wǎng)址的參數(shù)。解決方法是將該非法IE快捷方式刪除。如果桌面上的虛假I(mǎi)E圖標(biāo)無(wú)法刪除，可以在注冊(cè)表中 打 開(kāi)“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerDesktopNameSpace”分支，在其下檢測(cè)是否有可以子健，默認(rèn)只有5個(gè)子健，包括回收站、搜索文件夾等。找到非法項(xiàng)目（例如{xxxxxxxx-xxxx-xxxxxxxx-xxxxxxxxxxx}）后，將其刪除。并在“HKEY_CLASSES_ROOTCLSID”分支中搜索該項(xiàng)目名稱(chēng)，并將搜索到的子健刪除，就可以刪除桌面上的非法IE圖標(biāo)了。

此外，在注冊(cè)表中打開(kāi)“HKEY_CLASSES_ROOTCLSID{871C5380-4 2 A 0-1 0 6 9-A 2 E A-0 8 0 0 2 B 3 0 3 0 9 D}shellOpenHomePageCommand”，可以看到 IE 的運(yùn)行路徑，如果惡意程序在其路徑后面添加惡意網(wǎng)址，那么在啟動(dòng)IE時(shí)進(jìn)入惡意網(wǎng)站，為此，只需將其后面跟隨的惡意網(wǎng)址刪除。不過(guò)，有時(shí)惡意程序?yàn)榱嗣曰笥脩?，?huì)將惡意網(wǎng)站進(jìn)行加密處理，其手法很簡(jiǎn)單，例如對(duì)于某網(wǎng)址來(lái)說(shuō)，可以將其IP轉(zhuǎn)換為十六進(jìn)制，然后再將其轉(zhuǎn)換為十進(jìn)制，得到看起來(lái)不太惹眼的數(shù)值，例如1089060423等，將其附加在IE路徑后面，對(duì)于警惕性不高的人來(lái)說(shuō)，很容易讓其蒙混過(guò)關(guān)。遇到這樣的情況，最好將IE路徑后面的“尾巴”清除，不讓惡意網(wǎng)站劫持IE。

圖1 使用AutoRuns檢測(cè)驅(qū)動(dòng)信息

除了通過(guò)注冊(cè)表修改IE主頁(yè)外，惡意程序還會(huì)通過(guò)更加高級(jí)的手段，來(lái)對(duì)IE主頁(yè)進(jìn)行篡改。例如，現(xiàn)在的“主流”惡意程序會(huì)采用創(chuàng)建驅(qū)動(dòng)程序的手法，從底層侵入系統(tǒng)，這樣，當(dāng)系統(tǒng)啟動(dòng)后，就會(huì)自動(dòng)加載該不法驅(qū)動(dòng)模塊，當(dāng)其被激活后，就會(huì)對(duì)IE主頁(yè)以及其它配置項(xiàng)目進(jìn)行篡改，即使您對(duì)注冊(cè)表進(jìn)行全面搜索，也無(wú)法發(fā)現(xiàn)其蹤跡。為此，可以運(yùn)行AutoRuns這款安全工具，在其中可以查看所有的啟動(dòng)項(xiàng)目。打開(kāi)“驅(qū)動(dòng)”面板（如圖1所示），可以顯示所有的驅(qū)動(dòng)模塊。對(duì)于可疑模塊，AutoRuns會(huì)以黃色進(jìn)行標(biāo)識(shí)。對(duì)于危險(xiǎn)性高的模塊，AutoRuns會(huì)以紅色進(jìn)行標(biāo)識(shí)，對(duì)其進(jìn)行比較分析，可以很容易發(fā)現(xiàn)其中的不法分子，對(duì)于拿不準(zhǔn)的模塊，可以在其右鍵菜單上點(diǎn)擊“在線搜索”項(xiàng)，對(duì)其進(jìn)行詳細(xì)分析。

對(duì)于確認(rèn)的不法驅(qū)動(dòng)模塊，可以在其右鍵菜單上點(diǎn)擊“刪除”項(xiàng)，將其清除。為了防止出錯(cuò)，可以先點(diǎn)擊“跳轉(zhuǎn)到文件夾”項(xiàng)，將對(duì)應(yīng)的驅(qū)動(dòng)文件復(fù)制出來(lái)，如果刪除出錯(cuò)可以及時(shí)恢復(fù)。同AutoRuns相比，Security Autorun的功能更加強(qiáng)大，堪稱(chēng)啟動(dòng)項(xiàng)大管家。例如，在其“Driver List”面板中毫無(wú)遺漏地顯示全部驅(qū)動(dòng)模塊，包括其名稱(chēng)、描述信息、狀態(tài)、關(guān)聯(lián)的文件路徑等信息。對(duì)于可疑模塊，在其右鍵菜單中點(diǎn) 擊“Disable Items”項(xiàng)，禁用該模塊，點(diǎn)擊“Delete Items”項(xiàng)，刪除該模塊。點(diǎn)擊“Jump”項(xiàng)，可以跳轉(zhuǎn)到目標(biāo)路徑或者注冊(cè)表分支中。點(diǎn)擊“Properties”項(xiàng)，可以查看相關(guān)文件的屬性。

除了通過(guò)加載驅(qū)動(dòng)模塊的方法來(lái)篡改IE主頁(yè)外，惡意程序還會(huì)利用加載DLL動(dòng)態(tài)庫(kù)的伎倆，將自身注入到IE進(jìn)程中，來(lái)動(dòng)態(tài)綁架IE主頁(yè)。對(duì)于這樣的方法，在注冊(cè)表中是搜索不到相關(guān)線索的，而且桌面上IE圖標(biāo)不管是外觀還是運(yùn)行參數(shù)都沒(méi)有任何可疑之處。例如，筆者就曾經(jīng)遇到過(guò)這樣的情況，剛開(kāi)始按照常規(guī)方法沒(méi)有發(fā)現(xiàn)問(wèn)題所在。后來(lái)打開(kāi)安裝的某款主動(dòng)防御安全工具提供的日志文件時(shí)，在其中發(fā)現(xiàn)了相關(guān)線索，日志提示在IE的進(jìn)程自動(dòng)生成了某個(gè)來(lái)歷不明的EXE文件，該程序又在“C:Windowssystem32”文件夾下生成了某個(gè)DLL文件。運(yùn)行Wsyschk這款安全工具，在“進(jìn)程管理”面板中選擇“iexplorer.exe”，在窗口底部的“模塊路徑”欄中仔細(xì)查找，果然找到了該DLL文件。

筆者先關(guān)閉了IE，然后 在“C:Windowssystem32”路徑中找到了該DLL文件并對(duì)其更名，之后再次運(yùn)行IE，在Wsyschk程序中就沒(méi)有發(fā)現(xiàn)其蹤跡，說(shuō)明該DLL文件的確注入到了IE進(jìn)程中，進(jìn)而篡改主頁(yè)的。將該DLL刪除，并在注冊(cè)表中搜索和該DLL相關(guān)的鍵值，之后刪除并重啟系統(tǒng)，問(wèn)題得以徹底解決。但是殺毒軟件地沒(méi)有檢測(cè)到該DLL文件，說(shuō)明其經(jīng)過(guò)了免殺處理。

當(dāng)然，惡意程序往往比較狡猾，并非單純地使用上述某種方式來(lái)綁架IE，而是采用多種手段聯(lián)合使用的伎倆，來(lái)達(dá)到引誘用戶誤入惡意網(wǎng)站的目的。

例如，當(dāng)惡意程序滲透進(jìn)入系統(tǒng)后，會(huì)在桌面創(chuàng)建幾個(gè)快捷方式，以桌面美化、休閑游戲等名稱(chēng)來(lái)迷惑用戶，其圖標(biāo)看起來(lái)也比較吸引人，一旦用戶誤擊了這些圖標(biāo)，就會(huì)落入陷阱之中。

所以，不僅要使用上述方法恢復(fù)IE主頁(yè)的本來(lái)面目，而且要跟蹤追擊，將暗中破壞的病毒木馬等惡意程序一并清除，才可以從根本上解決問(wèn)題。

有時(shí)，當(dāng)您在修改IE快捷方式各項(xiàng)屬性時(shí)，系統(tǒng)會(huì)彈出“無(wú)法將所做的改動(dòng)保存 到 Internet Explorer.lnk 拒絕訪問(wèn)”的提示，表明惡意程序?qū)⒃摽旖莘绞皆O(shè)置成了只讀屬性，只需將其屬性恢復(fù)到正常狀態(tài)，就可以進(jìn)行所需的調(diào)整操作了。此外，惡意程序也可能將相關(guān)路徑的屬性設(shè)置為只讀，例如 將“C:Documents and SettingsAdministrator桌面”、“C:Documents and SettingsAdministratorA p p l i c a t i o n D a t aM i c r o s o f tI n t e r n e t ExplorerQuick Launch”等特殊文件夾設(shè)置為只讀屬性，同樣可以阻擋用戶恢復(fù)IE快捷方式的相關(guān)屬性。如果出現(xiàn)無(wú)法取消只讀屬性的問(wèn)題，說(shuō)明權(quán)限設(shè)置被惡意修改。在文件夾選項(xiàng)窗口中取消“使用簡(jiǎn)單文件共享”項(xiàng)選擇狀態(tài)，在上述文件夾屬性窗口中的“安全”面板檢查當(dāng)前用戶是否擁有對(duì)該文件夾的完全控制和修改等權(quán)限，設(shè)置好合適的權(quán)限后，再對(duì)其進(jìn)行修改。

如果對(duì)注冊(cè)表進(jìn)行修改時(shí)（例如刪除非法鍵值等），系統(tǒng)彈出錯(cuò)誤提示的話，這說(shuō)明惡意程序?qū)ο嚓P(guān)注冊(cè)表鍵值的權(quán)限進(jìn)行了封鎖，為此可以在對(duì)應(yīng)子健的右鍵菜單上點(diǎn)擊“權(quán)限”項(xiàng)，查看當(dāng)前用戶是否擁有完全控制權(quán)限，如果沒(méi)有的話將其添加進(jìn)來(lái)，就可以對(duì)其進(jìn)行修改了。一般來(lái)說(shuō)，需要針對(duì)當(dāng)前賬戶啟用“完全控制”和“讀取”兩項(xiàng)權(quán)限。如果惡意程序?qū)?dāng)前賬戶從權(quán)限列表中刪除，則需要“高級(jí)”按鈕，之后添加當(dāng)前賬戶，然后賦予其權(quán)限即可。此外，如果在Windows 7等系統(tǒng)中遇到桌面上IE圖標(biāo)無(wú)法刪除和修改，而且在注冊(cè)表等地方也查不出什么異常的話，就需要注意共享設(shè)置方面是否存在問(wèn)題了。例如，有些流氓軟件可能會(huì)將IE快捷方式設(shè)置為共享狀態(tài)，而處于共享狀態(tài)的快捷方式是無(wú)法被刪除的。檢測(cè)的方法很簡(jiǎn)單，在IE快捷方式的右鍵菜單上查看是否有“共享”項(xiàng)，如果有的話，進(jìn)入其共享設(shè)置界面，將其共享屬性消除，然后就可以對(duì)其進(jìn)行修改或者刪除了。