查看單個文章
舊 2006-07-23, 03:25 AM   #3 (permalink)
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

破解惡意程式碼!兩則攻擊伎倆分析
如今的網路真是不太平,稍不留神逛到一個惡意網站上,就會發現自己的IE標題欄換成了其他網站的名字、預設值主頁成了他家的自留地、系統被改得面目全非了。這些都是惡意程式碼搞的鬼!最近不斷有朋友打電話求援,筆者總結了一下現象,不外乎以下兩種現象,今天就和大家來說一說解決辦法。以說明 大家防患於未然,從而擺脫惡意程式碼的侵擾!
  傳統現象一:IE視窗被不停地開啟
  現象:上網時,IE視窗突然不停地被開啟,來不及關閉,最後導致系統記憶體佔用過多,直至資源耗盡而當機。
  分析:其實,這是中了指令碼病毒。指令碼病毒的執行離不開WSH(WSH全稱「Windows Scripting Host」,是微軟提供的一種關於32位Windows平台的、與語言無關的指令碼解釋機制,它使得指令碼能夠直接在Windows桌面或命令提示字元下執行),WSH所對應的程序「WScript.exe」是一個指令碼語言解釋器,位於Windows所在的資料夾下,大多數系統在預設值安裝後都會有WSH。正是由於它使得指令碼可以被執行,也因此給指令碼病毒的傳播提供了途徑。
  解決方法:WSH本來是讓系統管理員組態桌面環境和系統的服務的,對於絕大多數的普通用戶來說用處不大,因此,只要將其移除即可防止上述惡意網頁的攻擊。
http://ww.hack58.com/Article/UploadPic/2006-7/200671892134556.jpg
開啟「我的電腦」,依次按下「工具→資料夾選項→檔案類型」(如果是Windows 98,請按下「檢視→資料夾選項」), 如圖1所顯示,在檔案類型中將後面名為「VBS、VBE、JS、JSE、WSH、WSF」的所有針對指令碼文件的操作均移除。這樣,這些文件就不會被執行了。
  傳統現象二:主頁無法修復
  現象:IE被修改,使用IE修復工具修復後,儘管註冊表、瀏覽器主頁能夠編輯,但啟動瀏覽器後,仍然連接到惡意網頁上去。
  分析:前不久,筆者的一位朋友求救,筆者用3721上網助手等軟體工具對其瀏覽器、註冊表等項進行了修復,儘管鎖住的註冊表解開了,不能修改的主頁能設定了,但一開啟IE就連接到惡意網頁上。筆者在註冊表中尋找惡意程式碼的連接,沒有結果!在硬碟中尋找相關的文件也沒有結果!用木馬工具清除木馬,沒有結果!什麼原因呢?最後筆者猛然想到了它可能依托Cookies等文件進行連接,那移除Cookies等文件不就行了?
http://ww.hack58.com/Article/UploadPic/2006-7/200671892135161.jpg
解決方法:首先用IE修復工具比如3721上網助手等對中毒的IE進行修復,然後拔掉網線,開啟IE瀏覽器,按下「工具→Internet 選項」,開啟如圖2所顯示的視窗,在「Internet 臨時文件」欄中,按下「移除 Cookies 」和「移除文件」(上網產生的臨時文件)按鈕;在「歷史記錄」欄中按下「清除歷史記錄」按鈕。按下「確定」按鈕即可移除這些上網產生的文件。
  經過上面的操作後,再開啟IE瀏覽器,那久違的主頁又回來了!給你一個清靜的網路,你喜歡嗎?
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次