史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 資訊系統安全備援防護技術文件
忘記密碼?
註冊帳號 論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-08-26, 11:17 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 資訊 - 惡意網頁修改註冊表的十二種現象及解決辦法

惡意網頁修改註冊表的十二種現象及解決辦法

最近,屢屢發生網友在瀏覽網頁時,造成註冊表被修改,使得IE預定連接首頁、標題欄及IE右鍵表菜單被改為瀏覽網頁時的位址(多為廣告訊息及其它的討厭訊息),更有甚者使瀏覽者的電腦在啟動時出現一個提示視窗顯示自己的廣告,並會自動打開很多的網頁,而且有愈演愈烈之勢,尤其在辦公室中,一不小心便中招,讓你措手不及,遇到這種情況我們該怎樣辦呢?

一、註冊表被修改的原因及解決辦法
其實,該惡意網頁是含有有害代碼的ActiveX網頁文件,這些廣告訊息的出現是因為瀏覽者的註冊表被惡意更改的結果。

1、IE預定連接首頁被修改

IE瀏覽器上方的標題欄被改成「歡迎訪問******網站」的樣式模板,這是最常見的篡改手段,受害者眾多。
受到更改的註冊表專案為:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
通過修改「Start Page」的鍵值,來達到修改瀏覽者IE預定連接首頁的目的,如瀏覽「*****」就會將你的IE預定連接首頁修改為 http://ppw.****.com 」,即便是出於給自己的主頁做廣告的目的,也顯得太霸道了一些,這也是這類網頁惹人厭惡的原因。

解決辦法:
A. 註冊表法:
1在Windows啟動後,點擊「開始」→「執行」表菜單項,在「打開」欄中鍵入regedit,然後按「確定」鍵;
2展開註冊表到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下,在右半部分視窗中找到串值「Start Page」雙擊 ,將Start Page的鍵值改為「about:blank」即可;
3同理,展開註冊表到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
在右半部分視窗中找到串值「Start Page」,然後按2中所述方法處理。
4退出註冊表編輯器,重新啟動電腦,一切OK了!

特殊例子:當IE的起始頁變成了某些網址後,就算你通過選項設置修改好了,重啟以後又會變成他們的網址啦,十分的難纏。其實他們是在你機器裡加了一個自執行程式,它會在系統啟動時將你的IE起始頁設成他們的網站。

解決辦法:

執行註冊表編輯器regedit.exe,然後依次展開
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run主鍵,然後將其下的registry.exe子鍵刪除,然後刪除自執行程式c:\Program Files\registry.exe,最後從IE選項中重新設置起始頁就好了。


2、篡改IE的預定頁
有些IE被改了起始頁後,即使設置了「使用預定頁」仍然無效,這是因為IE起始頁的預定頁也被篡改啦。具體說來就是以下註冊表項被修改:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\
Main\Default_Page_URL「Default_Page_URL」這個子鍵的鍵值即起始頁的預定頁。

解決辦法:

A.執行註冊表編輯器,然後展開上述子鍵,將「Default_Page_UR」子鍵的鍵值中的那
些篡改網站的網址改掉就好了,或者設置為IE的預定值。

B.msconfig 有的還是將程式寫入硬碟中,重啟電腦後 首頁設置又被改了回去,這時可使用「系統配置實用程式」來解決。開始-執行,鍵入msconfig點擊「確定」,在彈出的視窗中切換到「啟動」選擇項,禁用可疑程式啟動項。


3、修改IE瀏覽器預設主頁,並且鎖定設置選項,禁止用戶更改回來。
主要是修改了註冊表中IE設置的下面這些鍵值(DWORD值為1時為不可選):
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Pan
el]"Settings"=dword:1
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Pan
el]"Links"=dword:1
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Pan
el]"SecAddSites"=dword:1

解決辦法:
將上面這些DWORD值改為「0」即可恢復功能。

4、IE的預定首頁灰色按扭不可選
這是由於註冊表HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet E
xplorer\Control Panel下的DWORD值「homepage」的鍵值被修改的緣故。原來的鍵值為「0」,被修改為「
1」(即為灰色不可選狀態)。

解決辦法:

將「homepage」的鍵值改為「0」即可。

5、IE標題欄被修改

在系統預定狀態下,是由應用程式本身來提供標題欄的訊息,但也允許用戶自行在上述註冊表專案中填加訊息,而一些惡意的網站正是利用了這一點來得逞的:它們將串值Window Title下的鍵值改為其網站名或更多的廣告訊息,從而達到改變瀏覽者IE標題欄的目的。

具體說來受到更改的註冊表專案為:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Window Title
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title

解決辦法:

1在Windows啟動後,點擊「開始」→「執行」表菜單項,在「打開」欄中鍵入regedit,然後按「確定」鍵;
2展開註冊表到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下,在右半部分視窗中找到串值「Window Title」 ,將該串值刪除即可,或將Window Title的鍵值改為「IE瀏覽器」等你喜歡的名字;
3同理,展開註冊表到
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main然後按2中所述方法處理。
4退出註冊表編輯器,重新啟動電腦,執行IE,你會發現困擾你的問題解決了!

6、IE右鍵表菜單被修改
受到修改的註冊表專案為:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt下被新增了網頁的廣告訊息,並由此在IE右鍵表菜單中出現!

解決辦法:

打開註冊標編輯器,找到
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt
刪除相關的廣告條文即可,注意不要把下載軟件FlashGet和Netants也刪除掉啊,這兩個可是「正常」的呀,除非你不想在IE的右鍵表菜單中見到它們。

7、IE預定搜索引擎被修改

在IE瀏覽器的工具欄中有一個搜索引擎的工具按鍵,可以實現網路搜索,被篡改後只要點擊那個搜索工具按鍵就會鏈接到那個篡改網站。出現這種現象的原因是以下註冊表被修改:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant

解決辦法:

執行註冊表編輯器,依次展開上述子鍵,將「CustomizeSearch」和「SearchAssis
tant」的鍵值改為某個搜索引擎的網址即可。

8、系統啟動時彈出交談視窗
受到更改的註冊表專案為:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon

在其下被建立了字元串「LegalNoticeCaption」和「LegalNoticeText」,其中「L
egalNoticeCaption」是提示視窗的標題,「LegalNoticeText」是提示視窗的文本內容。由
於它們的存在,就使得我們每次登入到Windwos桌面前都出現一個提示視窗,顯示那些網
頁的廣告訊息!你瞧,多討厭啊!

解決辦法:

打開註冊表編輯器,找到
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon
這一個主鍵,然後在右邊視窗中找到「LegalNoticeCaption」和「LegalNoticeTex
t」這兩個字元串,刪除這兩個字元串就可以解決在登入時出現提示視窗的現象了。

9、瀏覽網頁註冊表被禁用

這是由於註冊表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
下的DWORD值「DisableRegistryTools」被修改為「1」的緣故,將其鍵值恢復為「
0」即可恢復註冊表的使用。

解決辦法

用記事本程式建立以REG為後綴名的文件,將下面這些內容複製在其中就可以了:
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
]「DisableRegistryTools」=dword:00000000

10、瀏覽網頁開始表菜單被修改
這是最「狠」的一種,讓瀏覽者有生不如死的感覺。瀏覽後不僅有類似上面所說的
那些症狀,還會有以下更悲慘的遭遇:

1)禁止「關閉系統」

2)禁止「執行」

3)禁止「註銷」

4)隱藏C硬碟——你的C硬碟找不到了!

5)禁止使用註冊表編輯器regedit

6)禁止使用DOS程式

7)使系統無法進入「實模式」

8)禁止執行任何程式

具體的原因和解決辦法請看天極網e企業之安全之路欄目的這篇文章:《瀏覽網頁註冊表被修改之迷及解決辦法》。

以上是比較常見的修改瀏覽者註冊表的現象,今天在瀏覽網頁時,無意中來到某個
個人網站,又遇到了以前沒有碰到過的問題:

11、IE中滑鼠右鍵失效
瀏覽網頁後在IE中滑鼠右鍵失效,點擊右鍵沒有任何反應!

12、檢視「「源文件」表菜單被禁用

在IE視窗中點擊「檢視」→「源文件」,發現「源文件」表菜單已經被禁用。
我在瀏覽網頁時並沒有注意到上面這兩個問題,因為當時正好朋友叫我有事,於是
我就退出電腦了,晚上吃完飯開啟電腦連線上網,就發現IE中滑鼠右鍵失效,「檢視」
表菜單中的「源文件」被禁用。不能檢視源文件也就罷了,但是無法使用滑鼠右鍵真是太
不方便了。得想個辦法!

找出最新版的超級兔子魔法設置試試吧,呀!不能解決!看來是個新問題,不過自
己好歹也是「老革命」了,這點問題應該難不住我。於是到註冊表中一番搜尋,經過一
番查找終於弄明白了問題的所在。

原來,惡意網頁修改了我的註冊表,具體的位置為:

在註冊表HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer

下建立子鍵「Restrictions」,然後在「Restrictions」下面建立兩個DWORD值:「
NoViewSource」和「NoBrowserContextMenu」,並為這兩個DWORD值賦值為「1」。
在註冊表
HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restric
tions下,將兩個DWORD值:「NoViewSource」和「NoBrowserContextMenu」的鍵值都改為
了「1」。

通過上面這些鍵值的修改就達到了在IE中使滑鼠右鍵失效,使「檢視」表菜單中的「
源文件」被禁用的目的。要向你說明的是第2點中提到的註冊表其實相當於第1點中提到
的註冊表的分支,修改第1點中所說的註冊表鍵值,第2點中註冊表鍵值隨之改變。

解決辦法:

明白了道理,問題解決起來就容易多了,具體解決辦法為:將以下內容另存為後綴
名為reg的註冊表文件,比方說unlock.reg,雙擊unlock.reg匯入註冊表,不用重啟電腦
,重新執行IE就會發現IE的功能恢復正常了。
REGEDIT4
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer
\Restrictions]
「NoViewSource」=dword:00000000
"NoBrowserContextMenu"=dword:00000000
[HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer
\Restrictions]
「NoViewSource」=dword:00000000
「NoBrowserContextMenu」=dword:00000000

要特別注意的是,在你編製的註冊表文件unlock.reg中,「REGEDIT4」一定要大寫
,並且它的後面一定要空一行,還有,「REGEDIT4」中的「4」和「T」之間一定不能有
空格,否則將前功盡棄!許多朋友寫註冊表文件之所以不成功,就是因為沒有注意到上
面所說的內容,這回該注意點嘍。請注意如果你是Win2000或WinXP用戶,請將「REGEDIT4」改為Windows Registry Editor Version 5.00。

二、預防辦法

1、要避免中招,關鍵是不要輕易去一些自己並不瞭解的站點,特別是那些看上去美
麗誘人的網址更不要貿然前往,否則吃虧的往往是你。

2、由於該類網頁是含有有害代碼的ActiveX網頁文件,因此在IE設置中將ActiveX插
件和控件、Java腳本等全部禁止就可以避免中招。

具體方法是:在IE視窗中點擊「工具→Internet選項,在彈出的交談視窗中選擇「安
全」標籤,再點擊「自定義級別」按鍵,就會彈出「安全設置」交談視窗,把其中所有Ac
tiveX插件和控件以及Java相關全部選擇「禁用」即可。不過,這樣做在以後的網頁瀏覽
過程中可能會造成一些正常使用ActiveX的網站無法瀏覽。唉,有利就有弊,你還是自己
看著辦吧。

3、對於Windows98用戶,請打開C:\WINDOWS\JAVA\Packages\CVLV1NBB.ZIP,把其中的「ActiveXComponent.class」刪掉;對於WindowsMe用戶,請打開
C:\WINDOWS\JAVA\Packages\5NZVFPF1.ZIP,把其中的「ActiveXComponent.class」刪掉
。請放心,刪除這個元件不會影響到你正常瀏覽網頁的。

4、下載超級兔子魔法設置軟件後安裝,如果出現問題,可以用它來恢復。不過 「兔子」對於我們在上面所說的惡意網頁使得IE中滑鼠右鍵失效,「檢視」表菜單中的 「源文件」被禁用這兩種現象無法恢復。

5、既然這類網頁是通過修改註冊表來破壞我們的系統,那麼我們可以事先把註冊表
加鎖:禁止修改註冊表,這樣就可以達到預防的目的。不過,自己要使用註冊表編輯器
regedit.exe該怎麼辦呢?因此我們還要在此前事先準備一把「鑰匙」,以便打開這把「
鎖」!

加鎖方法如下:

(1)執行註冊表編輯器regedit.exe;
(2)展開註冊表到
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下,新增一個名為DisableRegistryTools的DWORD值,並將其值改為「1」,即可禁止使用註冊表編輯器regedit.exe。

解鎖方法如下:

用記事本編輯一個任意名字的.reg文件,比如unlock.reg,內容如下:
REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
]「DisableRegistryTools」=dword:00000000存盤,你就有了一把解鎖的鑰匙了!如果要使用註冊表編輯器,則雙擊unlock.reg即可。請注意如果你是Win2000或WinXP用戶,請將「REGEDIT4」寫為Windows RegistryEditor Version 5.00。

6、對Win2000用戶,還可以通過在Win2000下把服務裡面的遠端註冊表操作服務「R
emote Registry Service」禁用,來對付該類網頁。具體方法是:點擊「管理工具→服
務→Remote Registry Service(允許遠端註冊表操作)」,將這一項禁用即可。

7、如果覺得手動修改註冊表太危險,可以下載如下reg文件,雙擊之可恢復被修改
的註冊表。

8、雖然經過一番辛苦的勞動修改回了標題和預定連接首頁,但如果以後又不小心進
入該站就又得麻煩一次。其實,你可以在IE中做一些設置以便永遠不進該站點:
打開IE,點擊「工具」→「Internet選項」→「內容」→「分級審查」,點「啟用
」按鍵,會調出「分級審查」交談視窗,然後點擊「許可站點」標籤,輸入不想去的網站
網址,如輸入:http://***.****.com,按「從不」按鍵,再點擊「確定」即大功告成!

9、升級你的IE為6.0版本,可以有效防範上面這些症狀。 雖然不是最終版本,但它可以無法再隨意修改你的註冊表.

10、下載微軟最新的Microsoft Windows Script 5.6,可以預防上面所說的現象,
更可預防目前流行的、可惡的混客絕情炸彈
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
向 psac 送花的會員:
candy2342 (2006-08-27)
感謝您發表一篇好文章
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 12:49 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2020, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1