剖析各类恶意网页和IE漏洞对策分析

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

剖析各类恶意网页和IE漏洞对策分析双击自动滚屏发布者:owen发布时间:2004-8-23阅读:96次以前经常听到有朋友说,我上网只看新闻,查一些资料,我不下载东西,我不接收邮件,看病毒奈我何?而今,互联网利用IE等的漏洞完全可以让你通过浏览网页让你的电脑面目全非,或者格盘,甚至中下木马,传播病毒,而且这种形式的传播愈演愈烈,闲话少说了,现在来分析一下各类恶意网页。分析前先介绍一下注册表的修改方法,因为注册表在网页病毒中是中枢,就是通过它让你的电脑面目全非。第一种方法:直接修改法就是在运行里敲入regedit,然后进行编辑,这是大家通常修改注册表的方法。第二种方法:reg包导入法现在以解锁注册表为例(其实解锁用兔子等工具更好更方便,这里只是说明如何建立reg包)对于WIN9x/ME/NT4.0来说,在记事本把下面的内容另存为*.reg文件,导入即可REGEDIT4;这里一定要空一行,否则将修改失败[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]DisableRegistryTools=dword:00000000对于WIN2000或XP,把REGEDIT4改为WindowsRegistryEditorVersion5.00即可第三种方法:inf安装法对于98/ME,把下面的内容保存为.inf后缀文件,右键单击给文件选择安装即可[version]signature=$CHICAGO$[DEFAULTINSTALL]ADDREG=unlock.ADD.REGDELREG=unlock.DEL.REG[unlock.ADD.REG]HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\system[unlock.DEL.REG]HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\system若为2000或XP,将CHICAGO修改为WindowsNT至于其他修改格式,这里不多说,可以自己找找资料,真的不会建立其它的inf包可以和我联系:)第四种方法:vbs脚本法把下面的内容保存为.vbs后缀文件DimunlockSetunlock=WScript.CreateObject(WScript.Shell)unlock.Popup将为您解开注册表unlock.RegWriteHKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools,0,REG_DWORD第五种方法:呵呵,是以其人之道还治其人之身的方法,这里不介绍(自己去网上找找资料)至于在DOS下编辑注册表,这里不再举例说明请大家切记,修改注册表前一定要备份注册表!!切记!!知道了方法,现在就来分析各类恶意网站和对付的方针恶意网站大致可以分成以下几类:一利用IE的文本漏洞通过编辑的脚本程序修改注册表的行为1。轻度修改注册表:比如标题拦,默认主页,搜索页,添加广告等,先来看看其中的一段原代码//a.setCLSID({F935DC22-1CF0-11D0-ADB9-00C04FD58A0B});恶意网页就是通过这个ID修改注册表的。//Shl.RegWrite(HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoRun,01,REG_BINARY);这一句代码可以让你的运行菜单消失。清除方法:本文对一般的被修改浏览器的解决方案不作提供,因为现在网上关于如何通过修复注册表来恢复的文章很多,大家可以自己找来看看我认为这一类的修改一般可以通过注册表修复工具来修复,不必手动去修改。常用工具有:超级兔子魔法,优化大师,3721魔宝石,杀毒王自带的IE修复器等瑞星的注册表修复工具:毒霸的注册表修复工具:推荐一个很好的在线修复网站:补丁:WINDOWS2000:用户:=325582。修改注册表禁止命令形式的修改,目的是不让用户通过注册表修复回去。最通常的修改是锁住注册表,还有破坏关联:比如.reg,.vbs,.inf等关于解锁注册表,在前面已经介绍了方法,至于被修改关联,只要我前面说的注册表修改的方法里的关联还能用,就可以用其中的任意一个,但如果.reg,.vbs,.inf都被修改了,怎么办啊?,也不用怕,把.exe后缀改为.com后缀,我一样可以编辑注册表,.com也被改了,怎么办?没那么狠吧,行,我再改后缀为.scr。嘿嘿,一样还可以修改。最好的最简单的办法,马上重新启动,按F8进入DOS下,敲入SCANREG/RESTORE,选择以前的正常时的注册表还原就可以,注意了,一定要选择没被修改时的注册表!如果发现连scanreg都被删除了(一些网站就是这么狠的,用A盘COPY一个scanreg.exe到COMMAN下即可有必要在这里说说常见的文件关联的默认值正常的exe关联为[HKEY_CLASSES_ROOT\exefile\shell\open\command]默认的键值为:%1%*将此关联改回去即可使用exe文件3。修改注册表后留后门,目的让你修改注册表好像成功,重新启动后又恢复到被修改的状态。这主要是在启动项里留了后门,大家可以打开注册表到(也可以用一些工具比如优化大师等来察看)HKCU\Software\Microsoft\Windows\CurrentVersion\RunHKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceHKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesHKCU\Software\Microsoft\Windows\CurrentVersionRun-看看有没有可疑的启动项目,这一点最多朋友忽略,哪些启动可疑呢?我这里给出几个大家需要注意的,启动项里键值有出现.hml和.htm后缀的,最好都去掉,还有有.vbs后缀的启动项也去掉,还有一个很重要的,如果有这一个启动项,出现有类似键值的,比如:system键值是regedit-sc:\windows……请注意,这个regedit-s是注册表的一个后门参数,是用来导入注册表的,这样的选项一定要去掉还有一类修改会在c:\windows\产生.vbs后缀的文件,或是.dll文件,其实.dll文件实际是.reg文件此时你要看看c:\windows\win.ini文件,看看load=,run=,这两个选项后面应该是空的,如果有其他程序修改load=,run=,将=后面程序删除,删除前看看路径和文件名,删除后在到system下删除对应的文件还有一种方法,大家如果屡次修改重启又恢复回去,可以搜索C盘下所有的.vbs文件,可能有隐藏的,用记事本打开,看到里面有关于修改注册表的都把它删除或保险起见把后缀改掉,你可以按中恶意网页的病毒的时间来搜索文件:)下面的这个漏洞大家非常值得注意,很多朋友说,你说的方法我都试了,启动项里绝对没有什么可疑的,也没有什么vbs文件,呵呵,大家在启动IE时还有一个陷阱,就是IE主界面的工具的菜单里的广告,一定要去掉,因为这些会在你启动IE时启动,所以你修改完其他的先别着急打开IE窗口,否则白费力气,方法:打开注册表HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Extensions看到广告就删,别留情一个很重要的问题,在中了恶意网页的陷阱后一定要先清空IE所有临时文件,切记!说了那么多废话,那如何防御这类恶意网页呢?一个一劳永逸的方法,把F935DC22-1CF0-11D0-ADB9-00C04FD58A0B这个ID删掉在注册表的路径为HKEY_CLASSES_ROOT\CLSID\{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}记住,看清楚了再删除,千万别删错其他。删掉这个F935DC22-1CF0-11D0-ADB9-00C04FD58A0B对系统不会有影响的。在IE的选单栏中选择“工具”→“Internet选项”,在弹出的对话框中切换到“安全”标签,选择“Internet”后点击“自定义级别”按钮,在“安全设置”对话框中,把“ActiveX控件和插件”、“脚本”中的相关选项全部选择“禁用”或“提示”即可。但如果选择了“禁用”,一些正常使用ActiveX和脚本的网站可能无法完全显示。建议选择:提示。遇到警告时,看看该网站的原代码,如果发现有出现Shl.RegWrite等的代码,就不要去了,如果是加密的原代码,不是自己熟悉的网站也不要去,如果连右键都用不了的,也要小心为好(看看原码有什么所谓啊,除非有什么好的JAVA或是恶意代码)对于Windows98用户,请打开C:\WINDOWS\JAVA\Packages\CVLV1NBB.ZIP,把其中的“ActiveXComponent.class删掉,对于WindowsMe用户,请打开C:\WINDOWS\JAVA\Packages\5NZVFPF1.ZIP,把其中的“ActiveXComponent.class”删掉,这些删掉不会影响正常浏览网页在Windows2000/XP,可以通过禁用“远程注册表服务”来阻挡部分恶意脚本。具体方法是:在“控制面板”→“管理工具”→“服务”中右键单击“RemoteRegistryService”,在弹出选单中选择“属性”,打开属性对话框,在“General”内将“Startupype”设为“Disabled”。这样也可以拦截部分恶意脚本程序。嘿嘿,不用IE。用其他浏览器也可以……大家在中了恶意网页的陷阱后,先不要立即重新启动计算机,到启动项里看看,有没有什么危险的启动项,不如deltree之类的二利用IE漏洞直接破坏Windows系统如今利用浏览网页格式化硬盘已经不是什么新鲜事了,当某一天,你上网时突然跳出警告说当前页面包含不安全的页面,如果你选择“是”,很可能硬盘被格式化掉看看它的部分原代码://object……id=wsh……F935DC22-1CF0-11D0-ADB9-00C04FD58A0B……wsh(……)/object防御这一类网页,可以用下面的方法:删掉F935DC22-1CF0-11D0-ADB9-00C04FD58A0B这个ID,因为这个ID可以用来生成命令格式,可以执行硬盘的可执行文件,具体路径HKEY_CLASSES_ROOT\CLSID\{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}再次提醒,别删错了。建议大家都把deltree.com和format.com命令改掉,比如用优化大师后改为deltree.wom和format.wom把C盘WINDOWS下的Wscript.exe改名也是一个办法。也可以卸载WSH:98/ME:进入“控制面板”,选择“添加/删除程序”,选“Windows安装程序”,选择“附件”,再选择“详细资料”中的WindowsScri

1 / 6
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功