现在仍不时听到关于恶意代码的问题,其实这个东西已经落伍了。 目前所说的[恶意代码]通常是指嵌入网页中的部分代码,或利用IE漏洞、或利用合法的Script进行恶作剧或恶意破坏。 一.首先还是把这些代码进行分类。 1.利用IE溢出代码进行破坏 2.利用合法的脚本语句进行破坏 3.通过IE5.0的漏洞利用ActiveX进行破坏 常见的就是修改注册表项目及运行程序、生成文件等。 (其实平时常说的也就是这类被杀毒软件评为网页病毒的恶意代码,我们今天主要讨论的也是这类的问题) 二.接着说一下防治方法 1.对于第1类,只有及时打补丁,别无他法。就目前我找到的这类代码而言,其功能都是十分有限的。不过劝你还是及时打下补丁。 2.对于第2类,禁止脚本可能带来很多麻烦,此方法并不现实。所以,也没有较好的方法,只能尽量不要打开陌生的页子。 3.对于第3类,防范方法很多,依次介绍一下。 a).这是最简单最实用的方法,不借助第三方软件 运行regedit.exe,将注册表中的[HKEY_CLASSES_ROOT\CLSID\{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}]主键全部删除。 删除后并不影响系统运行及网页浏览。 b).如果你对注册表操作的方法有所顾忌,试试下面的方法,同样不借助第三方软件 将Windows98中的Windows Script Host卸载,把Windows2K中的Remote Registry Service服务禁用。 c).禁用脚本 这样做会带来很多麻烦,所以不实用。 还有很多方法也不实用,在此不作介绍。 d).特别说明--错误方法 错误解释: 因为该页子修改注册表,所以可以先锁定regedit.exe来达到预防其修改注册表的目的。 错误原因: 修改注册表是因为IE5的漏洞利用ActiveX修改注册表,并没有使用regedit.exe命令。 我曾经在《电脑报》、《网友世界》、《黑客防线精华本》以及某杀毒软件的官方网站上看到如此不负责的解释,真让人感到遗憾。 (以上均属事实,言语不当望见谅) 4.这里特别说一下关于Win98SE的解析虚拟设备名漏洞的问题 此为系统漏洞,对Win98SE之前版本有效,即使使用IE6.0也依然蓝屏。 (据说Win98第三版解决了此问题) 三.最后说一下常见的恢复方法(注册表项) 1.IE首页被改 找到[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]和[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main],将子键"Start Page"改为你的IE首页。 2.禁止修改IE首页 找到[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]和[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Control Panel],删除子键"Homepage"。 3.IE标题栏被改 找到[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]和[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main],删除子键"Window Title",当然也可以改为你喜欢的标题。 4.禁止使用Regedit.exe修改注册表 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies \System]和[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies \System]下,找到子键"DisableRegistryTools",置零或删除该子键。 5.IE右键菜单被改 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt]和[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\MenuExt]下,找到多余的子键,删除即可。 6.修改登录时的警告信息 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \Winlogon]下,找到子键"LegalNoticeCaption"和"LegalNoticeText",删除即可。 7.系统限制 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies \Explorer]和[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies \Explorer]下 "NoClose"=1,禁止[关闭计算机] "NoRun"=1,禁止[运行] "NoLogOff"=1,禁止[注销] 设置为0或者直接删除即可解除限制。 8.出于安全考虑,只列出较常用的子键及键名。 另,[HKEY_CURRENT_USER]和[HKEY_LOCAL_MACHINE]两个主键下同级子键的设置优先权不同,具体的就不多说了。哪位有兴趣可以自己试一下。 附:本人收集整理的[恶意代码专辑],CHM文档。 下载地址http://www.websamba.com/freebuluo/new/down/lab.rar 在介绍清除木马的方法之前,先讲一下开机时运行的一些程序。 1.Autoexec.bat Win98系统盘根目录下,自动执行 2.winstart.bat Win98系统盘windows目录下,启动Windows之前运行 3.win.ini Win98系统盘windows目录下,[windows]下[load=]和[run=]为启动程序内容 4.system.ini Win98系统盘windows目录下,[boot]下[shell=Explorer.exe]正常时为桌面程序 5.开始-程序-启动 进入Windows后运行的程序 6.注册表中 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\]下所有与run有关的子键,进入windows后运行 7.[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]下,键名为load的字符型数据,进入Win2K后运行 通常的木马一般只修改注册表,以达到开机运行的目的。 现在就根据其类型分别介绍一下清除方法。 1.冰河类 这类木马,不但在注册表里添加启动项,而且修改某类常用文件的默认打开方式。如冰河修改txt文本文件的打开放式,广外女生修改exe文件和txt文件的打开方式(据说有种更垃圾的木马,修改7种常用文件的打开方式,好像是Sub7)。 清除方法: a).运行regedit.exe,通过查看注册表里的启动项,确定已执行的程序名。暂时不要关闭regedit窗口。 b).通过软件结束该程序,删除该程序,删除启动项。 c).恢复文件的打开方式 exe文件: [HKEY_CLASSES_ROOT\exefile\shell\open\command]主键下,字符串子键"默认"为“"%1" %*”。(双引号“”除外) txt文件: [HKEY_CLASSES_ROOT\txtfile\shell\open\command]主键下,字符串子键"默认"为“C:\WINDOWS\NOTEPAD.EXE %1”。(双引号“”除外) (若先删除了木马导致无法运行exe文件,可先将其改为com文件) 2.广外男生类 采用线程插入技术,不修改文件打开放式,只添加一个启动项。但因为使用线程插入,任务管理器不显示该程序。 清除方法: a).运行regedit.exe,查看启动项,确定木马程序的名称及位置。 其实这类没有指明路径的启动文件一般都在windows\system[98系统]或winnt\system32[2K系统]下。 b).找到该程序,确定其文件大小。搜索同样大小的文件,一般应该在相同目录下,记下这2个文件名。(广外男生为一个exe文件和一个dll文件) c).开机进入纯DOS模式或2K的命令行模式,删除这2个文件。 d).清除注册表启动项。 3.其他类 我见过的木马不多,所以也只能再介绍一类了。 中木马后,木马在每个驱动器下生成一个木马程序及一个可以运行木马程序的autorun.inf文件。这样,每次打开驱动器就会运行木马。 清除方法: a).打开驱动器,确定autorun.inf指定的文件名。 b).终止该程序,并从注册表启动项里去处。 c).搜索该文件及autorun.inf文件,找到后全部删除。 |
|小黑屋|最新主题|手机版|微赢网络技术论坛 ( 苏ICP备08020429号 )
GMT+8, 2024-9-29 19:15 , Processed in 0.325902 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.