|
|
|||||||
| 論壇說明 |
|
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
|
主題工具 | 顯示模式 |
2004-08-10, 10:19 PM
|
#1 (permalink) |
|
榮譽會員
 
|
預防惡意網頁程式碼的一些建議 解除一般惡意修改的一些方法
在英特網中,衝浪是快樂的,中標是痛苦的,尤其是惡意網頁程式碼,它修改我們的系統設定,如IE瀏覽器視窗標題、IE起始頁,修改或禁用右鍵表單,修改系統的HOSTS文件,給我們帶來了諸多不便。
更有甚者還會禁用系統註冊表編輯器和工作管理器,使我們在恢復系統設定時困難重重。 但網還我們還是要上的,所以「明知山有虎,偏向虎山行」。 ############################ 防患未然篇 ############################ 1、禁止修改註冊表。方法為: 展開註冊表到 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System 下,新增一個名為DisableRegistryTools的DWORD值,並將其值改為「1」,即可禁止使用註冊表編輯器Regedit.exe。 如果我們自己要修改註冊表怎麼辦?請看下面的的「牢羊補牢篇」。 Windows 2000/xp/2003用戶,還可以在把服務裡面的遠端註冊表操作服務「Remote Registry Service」禁用,以免被惡意程式碼利用。 具體方法是: 開始--》設定--》控制台--》系統管理工具--》服務 將Remote Registry Service項禁用即可。 4、及時打系統修正檔,尤其是及時把IE昇級到最新版本,可以在很大程度上避免IE漏洞帶來的安全隱患。 打系統修正檔的方法是: 開始-->Windows Update... 昇級程序會自動檢測你需要打哪些修正檔 3、用GreenBrowser 或 Maxthon(MYIE2) 瀏覽網頁。 它們擁有許多優秀的附加功能,尤其是禁止變更主頁功能,能夠讓網友們衝浪時得到最大的便利。 GreenBrowser下載: http://www.morequick.com/indexgb.htm MYIE2[Maxthon(傲游)的前身]下載: http://www.myie2.com/html_chs/home.htm Maxthon(傲游)下載: http://www.maxthon.com/chs/index.htm 至於GreenBrowser 或 Maxthon(MYIE2) 哪個更合適你,可以參考: 王者之爭——GreenBrowser VS Maxthon http://media.ccidnet.com/media/cce/575/04201.htm 4、下載安裝微軟最新的Microsoft Windows Script,可以很大程度上預防惡意修改。 5、相當多的惡意網頁是含有有害程式碼的ActiveX網頁文件,因此在IE設定中將ActiveX插件和控件、Java指令碼等禁止就在很大程度上避免中標。 具體方法是:在IE視窗中點擊「工具→Internet選項」,在彈出的對話視窗中選項「安全」標籤,再點擊〔自訂級別〕按鈕,就會彈出「安全性設定」對話視窗,把其中所有ActiveX插件和控件以及Java相關全部選項「禁用」即可。 不過,這樣做在以後的網頁瀏覽程序中可能會造成一些正常使用ActiveX的網站無法瀏覽。有利就有弊,你還是自己看著辦吧。 6、安裝殺毒軟體並開啟網頁監控、文件監控和記憶體監控。 可供我們選項的殺毒軟體很多,國產的如瑞星、江民KV、金山毒霸等,國外的如賽門鐵克NORTON、熊貓衛士、mcafee、趨勢科技、卡巴斯基等,冠群金辰與美國CA合作的KILL等。 我自己用的是瑞星2003,至今還未中過標。 7、把deltree.exe、format.com等危險的指令文件改名,以免被惡意程式碼利用,造成不必要的損失。 8、不要輕易訪問瀏覽一些自己不瞭解的站點,特別是那些看上去美麗誘人的網址,否則吃虧的往往是我們。 9、為WINDOWS系統檔案夾裡的HOSTS文件設定只讀內容。 win 98: %SystemRoot%\hosts win 2000/xp: %SystemRoot%\system32\drivers\etc\hosts HOSTS文件裡儲存有WINDOWS系統記錄的IP位址與域名的對應關係。 有些網頁惡意程式碼會修改這個文件迫使我們訪問惡意網頁/網站。 10、禁止訪問已知的惡意網頁站點。方法是:開啟IE,點擊表單「工具--》Internet選項--》內容--》分級審查」,點擊[啟用]按鈕,會彈出「分級審查」對話視窗,然後點擊「許可站點」標籤,輸入不想去的網站網址,按[從不]按鈕,再點擊[確定]。 另外一種實現方法是修改HOSTS文件,操作方法可參考: 利用Hosts文件防止「QQ病毒」 http://it.rising.com.cn/newSite/Chan...-094112886.htm ############################ 亡羊補牢篇 ############################ 明槍易躲,暗箭難防。如果不小心中標了,可以參考以下一些一般問題的解決辦法。 建議大家閱讀風之詠者大版主的: 反瀏覽器劫持論壇發帖必讀 http://community.rising.com.cn/Forum...4317538&page=1 並照帖子中方法嘗試修復。 ********************************************************************** 大家可以先嘗試以下工具,避免直接操作註冊表可能引起的麻煩: 瑞星註冊表修復工具 http://it.rising.com.cn/service/tech...n_download.htm 毒霸註冊表修復工具 http://db.kingsoft.com/download/3/8.shtml tom版主:反瀏覽器劫持特勤組——ie安全軟體介紹 http://community.rising.com.cn/Forum...jectID=4334001 IE修改器 2004A v1.8 功能和下載位址請閱讀超級殺毒專家發的貼: http://community.rising.com.cn/Forum...jectID=4335211 黃山IE修復專家 v7.50 功能和下載位址請閱讀超級殺毒專家發的貼: http://community.rising.com.cn/Forum...jectID=4335170 ssearch.biz及其變種http://ssearch.biz/?wmid=1010空白頁專殺工具 功能和下載位址請閱讀電腦+足球發的貼:http://community.rising.com.cn/Forum/msg_read.asp?FmID=67&SubjectID=4353561 *********************************************************************** 開啟註冊表編輯器的方法: 開始->執行... 輸入: regedit 點「確定」按鈕。 修改註冊表後,一般按F5鍵重新整理生效。如果不行,重新啟動系統看看。 1、解開被禁用的註冊表編輯工具 用記事本建立一個以REG為後面名的文件,檔案名可自訂,內容如下: REGEDIT4 (注意這裡要空一行) [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000000 要注意的是,在「REGEDIT4」一定要大寫(如果你是Windows 2000或Windows XP用戶,請將「REGEDIT4」寫為「Windows Registry Editor Version 5.00)」,且後面要空一行,並且「REGEDIT4」中「T」和「4」之間一定不能有空格,否則…… 雙按開啟該reg文件,當詢問您「確實要把*.reg內的資訊增加到註冊表嗎?」,選項「是」,即可將資訊成功輸入註冊表中。 註冊表解開了,下面就要對症下藥,對註冊表進行修改了。 2、IE主頁的問題 1)解決IE主頁不能修改 .表現形式:主頁設定被遮閉鎖定,且設定選項無效不可更改 .修復辦法:展開註冊表到 HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel 下,將右邊視窗中的「homepage」的鍵值由原來的「1」修改為「0」即可,或乾脆將「Control Panel」刪除就可以了! 2)IE預設值連接首頁被修改 .表現形式:預設值主頁被自動改為某網站的網址。 .修復辦法:展開註冊表到 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 將右邊的「Start Page」鍵值修改為自己喜歡的網址即可。 3、修改IE的標題欄 .表現形式:在IE頂端藍色標題欄上多出了宣傳網站的等廣告資訊。 .修復辦法:分別展開註冊表到 HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main 和 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 將在右邊視窗中的「Window Title」主鍵值更改為「Microsoft Internet Explorer」或你喜歡的內容即可。 4、刪除自執行程序 .表現形式:開機時自動開啟瀏覽器顯示非法網頁。 .修復辦法: 1)在 開始--》程序--》啟動 中,直接刪除; 2)展開註冊表到 HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVesion\」及「\HKEY_LOCALMA CHINE\Software\Microsoft\ Windows\CurrentVersion\RUN 分支,在右邊的視窗中,有許多Windows啟動時便開始執行的程序,但是在表單「開始/程序/啟動」中卻找不到。把自執行程序刪除就可以了。 5、右鍵表單 1)被增加非法網站連接和廣告: .破壞特性:通過修改註冊表,在滑鼠右鍵彈出表單裡被增加非法站點的連接。 .表現形式:增加「網址之家」等諸如此類的連接資訊。 .修復辦法:展開註冊表到 HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\MenuExt 分支,在IE中顯示的附加右鍵表單都列在右邊的視窗中,一般的「網路螞蟻」和「網際快車」點擊右鍵下載的資訊也存放在這裡,只需找到顯示廣告的主鍵 列項刪除即可。 2)右鍵彈出表單功能被禁用(失常): .表現形式:在IE中點擊右鍵,但不顯示快捷表單。 .修復辦法:展開註冊表到 HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions 分支,在右邊的視窗中找到「NoBrowserContextMenu」鍵值名,將其鍵值設為「00000000」,按F5鍵重新整理生效。 6、IE我的最愛被強行增加非法網站的位址連接 .表現形式:IE我的最愛內出現非法網站的連接資訊。 .修復辦法:請用手動直接清除,用滑鼠右鍵移動至該非法網站資訊上,點擊右鍵彈出表單,選項刪除即可。 7、在IE工作列非法增加按鈕 .表現形式:工作列處增加非法按鈕。 .修復辦法:IE工作列圖示資訊在註冊表 HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions 這個主鍵中,開啟這個主鍵以後你會看到一些常用的軟體,如Netants對應的ID值:「{57E91B47-F40A-11D1-B792-444553540000}」。雙按這個ID值,你可以在右邊看到一些字串值,如:「Button」、「CLSID」、「Default Visible」、「Exec」、「HotIcon」、「Icon」、「MenuText」、「MenuStatusBar」等等,字串值的含義如下: CLSID為IE工具條的類標識碼,恆為「{1FBA04EE-3024-11D2-8F1F-0000F87ABD16} ButtonText:自訂按鈕上顯示的文本。 Default Visible:控制自訂按鈕是否可見,一般為「Yes」。 Exec:自訂按鈕執行的目標,可以為執行程序或超文本連接。 HotIcon:滑鼠移到按鈕上時顯示的圖示。 Icon:定義一般情況下的圖示。 MenuText:定義了滑鼠指向瀏覽器工具表單欄中的Netants時,在瀏覽器狀態列裡面的內容。 MenuStatusBar:定義了當滑鼠指向IE「工具」表單中的相關選項裡面的相關文字的時候,在狀態列所顯示的相關說明。如在IE的「工具」表單中滑鼠放在Netants按鍵上,就會顯示「Launch NetAnts」。 我們可以根據MenuText和MenuStatusBar找到非法增加的按鈕對應的項目,把它刪除。 .建議:在IE工作列上按右鍵,從彈出的表單中選項「鎖定工作列」,以防止惡意按鈕的增加。 8、鎖定位址欄的下拉表單及其增加文字資訊 .表現形式:將位址欄的下拉表單變為灰色,而且在其上覆蓋非法文字資訊。 .修復辦法:展開註冊表到 HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Toolbar 分支,在右邊視窗找到「LinksFolderName」鍵值名,將其鍵值設為「連接」,多餘的字串一律去掉。 9、IE表單「檢視」下的「源文件」項被禁用 .表現形式:將IE表單「檢視」下的「源文件」項不可用。 .修復辦法:分別展開註冊表到 HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions 和 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions 分支,在右邊視窗找到"NoViewSource"鍵值名,將其鍵值設為「00000000」。 10、啟動時的提示視窗 .表現形式:每次登入到Windows桌面前都出現一個提示視窗,顯示那些網頁的廣告資訊。 .修復辦法:展開註冊表到 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon 分支,找到並刪除右邊視窗中的「LegalNotice-Caption」和「LegalNoticeText」鍵。其中「LegalNoticeCaption」是提示框的標題,「LegalNoticeText」是提示框的文本內容。 11、恢復「執行」選項 .表現形式:開始選單中無「執行.."項。 .修復辦法:展開註冊表到 HKEY_USERS/.DEFAULT/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer 分支,在右邊視窗中將「NoRun」的鍵值由「1」修改為「0」即可,或者將「NoRun」刪除也可。 12、OE標題欄被增加非法資訊破壞特性: .表現形式:在頂端的Outlook Express藍色標題欄增加非法資訊。 .修復辦法:展開註冊表到 HKEY_LOCAL_USER\Software\Microsoft\Outlook Express 分支,將右邊視窗中的「WindowTitle」以及「Store Root」鍵的鍵值均設為空。按F5鍵重新整理生效。 13、預設值的IE搜尋引擎被修改 .表現形式:IE的預設值搜尋引擎被篡改。 .修復辦法:展開註冊表到 HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search 分支,找到「SearchAssistant」鍵值名,修改為: http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm ,然後再 找到「CustomizeSearch」鍵值名,將其鍵值修改為: http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm 14、不能自訂安全級別 .表現形式:IE瀏覽器裡面的安全自訂按鈕被禁用。 .修復辦法:展開註冊表到 HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel 在右邊視窗找到"SecChangeSettings"項,雙按它,把值改為0 15、恢復HOSTS文件 .表現形式:在IE位址欄輸入網址,但顯示出來的是非法網頁。 .修復辦法:具體操作可參考 中了網站惡意程式碼的一般修復方法 http://community.rising.com.cn/Forum...3851532&page=1 其他一些註冊表中關於IE的設定可以參考: 註冊表修改技巧----網路控制 http://community.rising.com.cn/Forum...4314853&page=1 對於Windows 2000/xp,群組原則也可以設定IE、註冊表編輯工具和工作管理器,有關操作可參考: WindowsXP群組原則編輯器 套用實例 http://community.rising.com.cn/Forum...4117055&page=1 |
|
送花文章: 3,
|
平板模式
