個人資料
  • 博客訪問:
正文

網頁惡意代碼的十一大危害及其解決方案[ZT]

(2007-07-19 18:37:39) 下一個

網頁惡意代碼的十一大危害及其解決方案[ZT]
 == 友情提醒: 修改注冊表危險,改前別忘備份 ==

== 轉貼 ==
(一)如何在注冊表被鎖定的情況下修複注冊表
注冊表被鎖定這一招是比較惡毒的,它使普遍用戶即使會簡單修改注冊表使其恢複的條件下,困難又多了一層。症狀是在開始菜單中點擊“運行”,在運行框中輸入regedit命令時,注冊表不能夠使用,並發現係統提示你沒有權限運行該程序,然後讓你聯係係統管理員。

這是由於注冊表編輯器:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem下的DWORD值“DisableRegistryTools”被修改為“1”的緣故,將其鍵值恢複為“0”即可恢複注冊表的使用。

解決辦法:
(1)可以自己動手製作一個解除注冊表鎖定的工具,就是用記事本編輯一個任意名字的.reg文件,比如recover.reg,內容如下:
REGEDIT4
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
"DisableRegistryTools"=dword:00000000

要特別注意的是:如果你用這個方法製作解除注冊表鎖定的工具,一定要嚴格按照上麵的書寫格式進行,不能遺漏更不能修改(其實你隻需將上述內容“複製”、“粘貼”到你機器記事本中即可);完成上述工作後,點擊記事本的文件菜單中的“另存為”項,文件名可以隨意,但文件擴展名必須為.reg(切記),然後點擊“保存”。這樣一個注冊表解鎖工具就製作完成了,之後你隻須雙擊生成的工具圖標,其會提示你是否將這個信息添加進注冊表,你要點擊“是”,隨後係統提示信息已成功輸入注冊表,再點擊“確定”即可將注冊表解鎖了。

(2)也可以直接下載下麵這個解鎖工具,下載完成運行後可直接解鎖注冊表編輯器:
http://it.rising.com.cn/antivirus/net_virus/spiteful/enable.reg

(二)篡改IE的默認頁
有些IE被改了起始頁後,即使設置了“使用默認頁”仍然無效,這是因為IE起始頁的默認頁也被篡改了。具體說就是以下注冊表項被修改:
HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainDefault_Page_URL
 “Default_Page_URL”這個子鍵的鍵值即起始頁的默認頁。

  解決辦法:
  運行注冊表編輯器,然後展開上述子鍵,將“Default_Page_UR”子鍵的鍵值中的那些篡改網站的網址改掉就行了,或者將其設置為IE的默認值。

(三)修改IE瀏覽器缺省主頁,並且鎖定設置項,禁止用戶更改
主要是修改了注冊表中IE設置的下麵這些鍵值(DWORD值為1時為不可選):

HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel
"Settings"=dword:1

HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel
"Links"=dword:1

HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel
"SecAddSites"=dword:1

  解決辦法:
  將上麵這些DWORD值改為“0”即可恢複功能。

(四)IE的默認首頁灰色按扭不可選

這是由於注冊表HKEY_USERS.DEFAULTSoftwarePoliciesMicrosoftInternet ExplorerControl Panel
  下的DWORD值“homepage”的鍵值被修改的緣故。原來的鍵值為“0”,被修改後為“1”(即為灰色不可選狀態)。
  解決辦法:

  將“homepage”的鍵值改為“0”即可。

(五)IE標題欄被修改
 
在係統默認狀態下,是由應用程序本身來提供標題欄的信息,但也允許用戶自行在上述注冊表項目中填加信息,而一些惡意的網站正是利用了這一點來得逞的:它們將串值Window Title下的鍵值改為其網站名或更多的廣告信息,從而達到改變瀏覽者IE標題欄的目的。

  具體說來受到更改的注冊表項目為:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMainWindow Title

HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainWindow Title

  解決辦法:

  ①在Windows啟動後,點擊“開始”→“運行”菜單項,在“打開”欄中鍵入regedit,然後按“確定”鍵;

  ②展開注冊表到
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternetExplorerMain下,在右半部分窗口中找到串值“Window Title” ,將該串值刪除即可,或將WindowTitle的鍵值改為“IE瀏覽器”等你喜歡的名字;

  ③同理,展開注冊表到
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain

  然後按②中所述方法處理。

  ④退出注冊表編輯器,重新啟動計算機,運行IE,你會發現困擾你的問題被解決了!

(六)IE右鍵菜單被修改
受到修改的注冊表項目為:
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt

  下被新建了網頁的廣告信息,並由此在IE右鍵菜單中出現!

  解決辦法:

  打開注冊標編輯器,找到
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt

  刪除相關的廣告條文即可,注意不要把下載軟件FlashGet和Netants也刪除掉,這兩個可是“正常”的,除非你不想在IE的右鍵菜單中見到它們。

(七)IE默認搜索引擎被修改
 
在IE瀏覽器的工具欄中有一個搜索引擎的工具按鈕,可以實現網絡搜索,被篡改後隻要點擊那個搜索工具按鈕就會鏈接到那個篡改網站。出現這種現象的原因是以下注冊表被修改:

HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearchCustomizeSearch

HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearchSearchAssistant

  解決辦法:

  運行注冊表編輯器,依次展開上述子鍵,將“CustomizeSearch”和“SearchAssistant”的鍵值改為某個搜索引擎的網址即可。

(八)係統啟動時彈出對話框

受到更改的注冊表項目為:
 
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon

  在其下被建立了字符串“LegalNoticeCaption”和“LegalNoticeText”,其中“LegalNoticeCaption”是提示框的標題,“LegalNoticeText”是提示框的文本內容。由於它們的存在,就使得我們每次登陸到Windwos桌麵前都出現一個提示窗口,顯示那些網頁的廣告信息!

  解決辦法:

  打開注冊表編輯器,找到

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon

  這一個主鍵,然後在右邊窗口中找到“LegalNoticeCaption”和“LegalNoticeText”這兩個字符串,刪除這兩個字符串就可以解決在登陸時出現提示框的現象了。

(九)IE默認連接首頁被修改

IE瀏覽器上方的標題欄被改成“歡迎訪問……網站”的樣式,這是最常見的篡改手段,受害者眾多。
 
 受到更改的注冊表項目為:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMainStart Page

HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainStart Page

通過修改“Start Page”的鍵值,來達到修改瀏覽者IE默認連接首頁的目的,如瀏覽“萬花穀”就會將你的IE默認連接首頁修改為“http://on888.home.chinaren.com ”,即便是出於給自己的主頁做廣告的目的,也顯得太霸道了一些,這也是這類網頁惹人厭惡的原因。

  解決辦法:

  ①在Windows啟動後,點擊“開始”→“運行”菜單項,在“打開”欄中鍵入regedit,然後按“確定”鍵;

  ②展開注冊表到
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain下,在右半部分窗口中找到串值“Start Page”雙擊 ,將Start Page的鍵值改為“about:blank”即可;

  ③同理,展開注冊表到
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain
  在右半部分窗口中找到串值“Start Page”,然後按②中所述方法處理。

  ④退出注冊表編輯器,重新啟動計算機,一切OK了!

  特殊例子:當IE的起始頁變成了某些網址後,就算你通過選項設置修改好了,重啟以後又會變成他們的網址啦,十分的難纏。其實他們是在你機器裏加了一個自運行程序,它會在係統啟動時將你的IE起始頁設成他們的網站。

  解決辦法:運行注冊表編輯器regedit.exe,然後依次展開
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionRun

  主鍵,然後將其下的registry.exe子鍵刪除,然後刪除自運行程序c:Program Filesregistry.exe,最後從IE選項中重新設置起始頁。

(十)IE中鼠標右鍵失效

瀏覽網頁後在IE中鼠標右鍵失效,點擊右鍵沒有任何反應!
 
有的網絡流氓為了達到其惡意宣傳的目的,將你的右鍵彈出的功能菜單進行了修改,並且加入了一些亂七八糟的東西,甚至為了禁止你下載,將IE窗口中單擊右鍵的功能都屏蔽掉。

解決辦法:

1.右鍵菜單被修改。打開注冊表編輯器,找到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt,刪除相關的廣告條文。

2.右鍵功能失效。打開注冊表編輯器,展開到HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions,將其DWORD值"NoBrowserContextMenu"的值改為0。

(十一)查看“源文件”菜單被禁用

在IE窗口中點擊“查看”→“源文件”,發現“源文件”菜單已經被禁用。
 
  惡意網頁修改了注冊表,具體的位置為:

  在注冊表
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet Explorer
  下建立子鍵“Restrictions”,然後在“Restrictions”下麵建立兩個DWORD值:

“NoViewSource”和“NoBrowserContextMenu”,並為這兩個DWORD值賦值為“1”。

  在注冊表
HKEY_USERS.DEFAULTSoftwarePoliciesMicrosoftInternet ExplorerRestrictions
 下,將兩個DWORD值:“NoViewSource”和“NoBrowserContextMenu”的鍵值都改為了“1”。

  通過上麵這些鍵值的修改就達到了在IE中使鼠標右鍵失效,使“查看”菜單中的“源文件”被禁用的目的。

  解決辦法:

  將以下內容另存為後綴名為.reg的注冊表文件,比如說unlock.reg,雙擊unlock.reg導入注冊表,不用重啟電腦,重新運行IE就會發現IE的功能恢複正常了。

REGEDIT4

HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictions

“NoViewSource”=dword:00000000

"NoBrowserContextMenu"=dword:00000000

HKEY_USERS.DEFAULTSoftwarePoliciesMicrosoftInternet ExplorerRestrictions

“NoViewSource”=dword:00000000

“NoBrowserContextMenu”=dword:00000000

[ 打印 ]
閱讀 ()評論 (0)
評論
目前還沒有任何評論
登錄後才可評論.