首页 > 安全 > 系统安全 >

剖析各类恶意网页和IE漏洞对策分析

2004-10-01

以前经常听到有朋友说,我上网只看新闻,查一些资料,我不下载东西,我不接收邮件,看病毒奈我何?而今,互联网利用IE等的漏洞完全可以让你通过浏览网页让你的电脑面目全非,或者格盘,甚至中下木马,传播病毒,而且这种形式的传播愈演愈

以前经常听到有朋友说,我上网只看新闻,查一些资料,我不下载东西,我不接收邮件,看病毒奈我何?而今,互联网利用IE等的漏洞完全可以让你通过浏览网页让你的电脑面目全非,或者格盘,甚至中下木马,传播病毒,而且这种形式的传播愈演愈烈,闲话少说了,现在来分析一下各类恶意网页。
分析前先介绍一下注册表的修改方法,因为注册表在网页病毒中是中枢,就是通过它让你的电脑面目全非。
第一种方法:直接修改法
就是在运行里敲入regedit,然后进行编辑,这是大家通常修改注册表的方法。
第二种方法:reg包导入法
现在以解锁注册表为例(其实解锁用兔子等工具更好更方便,这里只是说明如何建立reg包)
对于WIN 9x/ME/NT 4.0来说,在记事本把下面的内容另存为*.reg文件,导入即可

REGEDIT4
;这里一定要空一行,否则将修改失败
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
"DisableRegistryTools"=dword:00000000

对于WIN 2000或XP,把 REGEDIT4 改为Windows Registry Editor Version 5.00即可

第三种方法:inf安装法
对于98/ME,把下面的内容保存为.inf后缀文件,右键单击给文件选择安装即可

[version]
signature="$CHICAGO$"
[DEFAULTINSTALL]
ADDREG=unlock.ADD.REG
DELREG=unlock.DEL.REG
[unlock.ADD.REG]
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciessystem
[unlock.DEL.REG]
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciessystem

若为2000或XP,将CHICAGO修改为Windows NT
至于其他修改格式,这里不多说,可以自己找找资料,真的不会建立其它的inf包可以和我联系:)

第四种方法:vbs脚本法
把下面的内容保存为.vbs后缀文件
Dim unlock
Set unlock = WScript.CreateObject("WScript.Shell")
unlock.Popup "将为您解开注册表"
unlock.RegWrite "HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegistryTools"0"REG_DWORD"

第五种方法:呵呵,是以其人之道还治其人之身的方法,这里不介绍(自己去网上找找资料)
至于在DOS下编辑注册表,这里不再举例说明
请大家切记,修改注册表前一定要备份注册表!!切记!!
知道了方法,现在就来分析各类恶意网站和对付的方针
恶意网站大致可以分成以下几类:
一 利用IE的文本漏洞通过编辑的脚本程序修改注册表的行为
1。轻度修改注册表:比如标题拦,默认主页,搜索页,添加广告等,先来看看其中的一段原代码
//a.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");恶意网页就是通过这个ID修改注册表的。
//Shl.RegWrite("HKCU\Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer\NoRun" 01 "REG_BINARY"); 这一句代码可以让你的运行菜单消失。
清除方法:
本文对一般的被修改浏览器的解决方案不作提供,因为现在网上关于如何通过修复注册表来恢复的文章很多,大家可以自己找来看看
我认为这一类的修改一般可以通过注册表修复工具来修复,不必手动去修改。
常用工具有:超级兔子魔法,优化大师,3721魔宝石,杀毒王自带的IE修复器等
瑞星的注册表修复工具

相关文章
最新文章
热点推荐