|
論壇說明 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2004-02-16, 09:08 PM | #1 |
榮譽會員
|
巧治惡意網頁病毒:讓病毒自動還原被惡意修改鍵值
巧治惡意網頁病毒:讓病毒自動還原被惡意修改鍵值
服務機構的一台公用電腦接入了Internet網際網路,沒多久,就被一個惡意網頁病毒感染了,出現如下症狀:開啟IE瀏覽器,會自動進入一個名為「久好網址之家」的網址大全類的網站,開啟「Internet選項」,發現主頁被設定為「http://www.**ok9.net」,當使用「搜尋」功能時,發現搜尋也被修改指向「http://www.**ok9.net」,真是令人厭煩。 於是我執行註冊表編輯器,利用「搜尋」功能,以「www.**ok9.net」為關鍵詞找出所有被惡意網頁修改的內容,並全部更改回原來的值。誰知重新啟動系統後,開啟IE瀏覽器,發現又自動開啟了那個惡意網站,而且其他地方也被修改了,看來事情並不是想像的那麼簡單,這個惡意網站一定還在系統啟動時做了什麼手腳! 於是在「執行」中輸入「msconfig」,開啟系統配置實用程序,逐項搜尋System.ini、Win.ini以及「啟動」項中的所有自啟動專案,終於在「啟動」項中發現了兩個極為可疑的鍵值。雖然一個是預設鍵值,一個鍵值名稱為「win」,但兩者的鍵值資料都是「regedit -s c:\windows\win.dll」。通過搜尋Regedit的相關指令得知,這個指令的功能是匯入一個註冊表指令碼文件,「-s」參數則是讓它後台自動匯入,不過這後面匯入的是「Win.dll」文件,怎麼會是一個動態連結庫文件呢?難道這只是一個表面現象,於是用記事本開啟這個「Win.dll」文件,發現原來這是一個文本格式的文件,只不過被修改了副檔名而已。 我分析了一下這個「Win.dll」文件,原來系統總是自動被惡意修改就是它在起作用。找到了癥結,當然解決方法就是刪除這個鍵值,並刪除「Win.dll」文件,不過我忽然想到既然惡意網站可以利用這個文件來增加鍵值資料,為什麼我不再利用一下這個文件,以牙還牙,讓它還自動還原被惡意修改的鍵值呢?於是我將該檔案修改如下: REGEDIT4 [空一行] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] @="" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "win"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="" "First Home Page"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="" "First Home Page"="" rcx 儲存修改後的「Win.dll」文件,然後執行一下指令「regedit -s c:\windows\win.dll」,重新啟動一下系統,你會發現所有的惡意修改一下子就全部被恢復了,你還可以儲存著這個文件,如果再遇到這個惡意網頁的話,只需要用這個文件恢復一下就可以了,非常方便。 作者:lqsjj |
送花文章: 3,
|