20CN网络安全小组论坛 - 电脑门诊 - 如何防治破坏Windows系统的网页“黑手”

论坛: 电脑门诊标题: 如何防治破坏Windows系统的网页“黑手”

作者: blackeyes [ilovewhere]

论坛用户

一、网页“黑手”常见的十种攻击现象
随着网络的日益普及，我们的网络已经越来越不安全，来自网络的攻击手段也越来越多了。有的利用软件或系统操作平台等的安全漏洞，强行修改用户操作系统的注册表及系统实用配置程序（msconfig.exe），通过嵌入在网页中的脚本程序修改IE浏览器；有的则直接破坏我们的Windows系统。有些非常直观，有些则非常隐蔽，以致让我们中了毒还全然不知……为了有效地预防这些“网页杀手”，让我们先来看看最常见的几种攻击现象吧：
①修改IE浏览器的标题栏、默认主页、安全设置等；
②开机时出现一些莫名其妙的提示信息，有的是诸如“请立即关机，否则……”的警告；有的是“欢迎来到……”（如臭名昭著的“万花谷”病毒）；
③在更改了IE的相关设置之后，锁定其中有关设置项，使无法更改回来；
④在浏览器窗口中点击右键，菜单中出现非法站点的链接；
⑤“开始”菜单被修改。常见的修改有：禁止或隐藏“关闭系统” ；禁止或隐藏“运行” 、“注销” ；隐藏C盘甚至所有的硬盘！
⑥禁止使用注册表编辑器regedit。当我们运行“regedit.exe”时，系统会弹出一个：“注册表已被管理员所禁用，请找系统管理员联系……”等字样的信息提示框，点击“确定”后，退出“regedit.exe”，从而无法使用注册表编辑器；
⑦使系统无法进入“实模式” 。即使重新启动时按下<F8>功能键，在出现的启动菜单选项中也没有“MS-DOS Prompt”等字样，只能启动到图形界面，而使我们在实模式下的所有“梦想”都无法实现；
⑧耗尽系统资源。这种网页黑手会执行一段Java Script代码并产生一个死循环，以至不断消耗本机系统资源，最后导致系统死机。它们会出现在一些恶意网站或者邮件的附件中，只要打开附件程序后，屏幕上就会出现无数个IE窗口，最后只有重新启动计算机；
⑨非法读取文件。当打开某个网页之后，我们的硬盘或总分文件（夹）会被设置为共享。这样，我们的个人秘密在网上就荡然无存了；
⑩格式化硬盘。在感染此类破坏程序后，一般会出现一个信息提示框，提示：“当前的页面含有不完全的ActiveX，可能会对你造成危害，是否执行？Yes，No”，如果单击“Yes”，那么硬盘就会被迅速格式化，而这一切都是在后台运行的，不易被察觉。这是一种非常危险的网页黑手，它是通过IE执行ActiveX部件并调用Format.com或Deltree.exe来进行格式化或者删除文件夹的。
除了以上十种常见现象之外，还有利用更改msconfig.exe的启动项中的程序来达到目的的，比如：开机就会弹出某个网页；每次修改了注册表后，重新启动注册表又被改回去；每隔一段时间就弹出IE窗口等等。而且，网络的日新月异，也使我们不可能穷尽所有的现象。总之，只要是在上网的过程中，出现的异常现象，我们都要提高警惕。
二、对付网页“黑手”的方法
了解了网页“黑手”的常见手法及现象之后，我们就来对症下药，看看如何防范或修理这些不受欢迎的“黑手”！
如果你的机器尚未中毒，恭喜你！但做好预防工作却是刻不容缓的。但首先要有安全意识。请记住以下几条上网操作安全规则：不要轻易进入不了解的网站，尤其是那些看起来非常诱人的网站；不要随便打开陌生人发来的E-mail中的附件，比如扩展名是VBS、HTML、HTM、DOC、EXE的文件；下载文件最好到软件的开发商或者开发商所指定的网站去下载。
1、常见的防范措施
①做好注册表的备份
虽然系统每次启动时已经为我们进行了注册表的备份，但为了防止无法进入“实模式”等异常情况的发生，手工进行注册表的备份还是必要的。操作方法是：在Windows环境下，运行“regedit.exe”，然后选择“注册表”｜“导出到注册表文件”。在“导出范围”处选中“全部”，设定保存备份文件的磁盘（最好不要选择C：盘）和位置，输入备份文件名，点击“确定”即可。如果是在DOS环境下，可运行“regedit /e d:\bak\regbak.reg ”将注册表文件全部备份到d:\bak文件夹下。万一被黑的情况下，如何恢复注册表呢？在windows状态下，可以直接双击以前备份的.reg文件进行导入恢复；在DOS状态下，执行：“regedit /c d:\bak\regbak.reg”即可重建注册表。如果事先没有手工备份注册表，可以用“scanreg /restore”命令恢复系统自动保存的注册表。
②打开注册表，删除以下主键：
A、HKEY_CLASSES_ROOT\CLSID\{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}
B、HKEY_CLASSES_ROOT\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}
这两个主键依次对应WScript.Shell的注册ID和FileSystemObject 对象的注册ID；而这两个对象都是我们用来现对各种脚本的运行和在脚本中访问文件系统的。删除了这两个主键，对我们的系统不会有任何影响。在很大程度上可以预防各种在网页中对于注册表的非法修改和在硬盘里面生成文件。
③将几个比较危险的外部命令改名存放
像Format.com，deltree.exe等，因为他们本身的功能很强大，而且对系统的破坏力极强，为了防止意外，我们可以把他们更名存放。比如：将format.com改为Fmat.com，将deltree.exe 更改为dtree.com，既安全又缩短了命令的长度。
④设定安全级别，将ActiveX插件和控件、Java脚本等全部禁止
鉴于很多攻击是通过包含有恶意脚本实现攻击，可以提高IE的级别。在IE窗口中点击“工具→Internet选项”，在弹出的对话框中选择“安全”标签，再点击“自定义级别”按钮，就会弹出“安全设置”对话框。把其中所有ActiveX插件和控件以及Java相关全部选择“禁用”即可。不过，这样做虽然比较安全，但在以后的网页浏览过程中可能会造成一些正常使用ActiveX的网站无法浏览。
⑤对于Windows98第二版的用户，请打开C:\WINDOWS\JAVA\Packages\Kiz1b5jf.zip，把其中的“ActiveXComponent.class”删掉；对于WindowsMe用户，请打开
C:\WINDOWS\JAVA\Packages\5NZVFPF1.ZIP，把其中的“ActiveXComponent.class”删掉。请放心，删除这个组件不会影响到你正常浏览网页的。
⑥采取“以毒攻毒”的方法，以其治人之道还治其人之身。既然这类网页是通过修改注册表来破坏我们的系统，我们何不自己事先把注册表加锁，来达到预防的目的呢？加锁方法如下：
(1)运行注册表编辑器regedit.exe；
(2)展开注册表到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下，新建一个名为DisableRegistryTools的DWORD值，并将其值改为“1”，即可禁止使用注册表编辑器Regedit.exe。
如果我们自己需要修改注册表，怎么办？当然需要先解锁。解锁方法如下：
将以下内容存入名为unlock.reg的文件中：
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
需要使用注册表编辑器时，只需双击unlock.reg即可。对于Win2000或WinXP用户，请将“REGEDIT4”写为Windows Registry Editor Version 5.00。
⑦过滤指定网页
对于一些包含有恶意代码的网页，可以将其屏蔽，执行“工具/Internet选项”命令，选择内容选项卡，在“分级审查”中单击［启用］按钮，打开“分级审查”对话框，选择“许可站点”选项卡，输入不想去的网站网址，如输入：http://on888.home.chinaren.com，然后单击［从不］按钮，再单击［确定］按钮。
⑧卸载或升级WSH
通过前面的学习我们知道，有些利用VBScript编制的病毒、蠕虫病毒，比如 “I LOVE YOU”和“Newlove”，它们都包含了一个以 VBS为后缀名的附件，打开附件后，用户就会被感染。这些病毒是利用Windows内嵌的 WSH进行启动和运行的。也就是说，如果将WSH��载，隐藏在VB脚本中的病毒就无法被激活了。
在Windows 98中删除WSH，打开“添加/删除”程序，选择“Windows 设置/附件”，并单击“详细资料”，取消“Windows Scripting Host”选项，完成后单击［确定］按钮即可。
在Windows 2000中删除WSH的方法是，双击“我的电脑”图标，然后执行“工具/文件夹选项”命令，选择“文件类型”选项卡，找到“VBS VBScript Script File”选项，并单击［删除］按钮，最后单击［确定］即可。
另外，还可以升级WSH 5.6，或者到www.microsoft.com下载最新版本的WSH。在新版本的WSH中，已经堵住了这一安全漏洞。
2、“中毒”后的对策
如果你不幸已经“中毒”，则应具体问题具体分析。如果你对手工修复注册表很有把握，而且在注册表没有被锁定的情况下，你完全可以发扬DIY的精神，自己修复注册表。或者用你最近一次对注册表所做的备份来覆盖当前注册表。还有，别忘了运行一下你的msconfig（系统配置实用程序），去掉“启动”标签下所有的程序项，特别是其中的网页文件、hta、vbs、js文件。当然，如果你对注册表并不是十分了解，或者说注册表已经被锁住的话，这里给你推荐几个实用的工具软件供你选择。
①自编recover.htm或recover.reg文件修改注册表
在《网页“黑手”是如何攻击你的Windows系统的？》一文中，我们曾经探讨过如何把脚本置于网页之中，来修改注册表的问题。既然“黑客”们用这种方法“黑”了自己一把，那我们也不妨来一次“虎口拔牙”，再把改掉的键值改回来！下面是Windows 9X环境下对付常见恶意代码的网页文件recover.htm的内容：
'Recover.htm 这是该网页的文件名
<html>
<script language=vbs>
Dim RegWsh,sPrompt
sPrompt="本代码将帮助你修复大部分被恶意代码破坏的主键和键值！"
sPrompt=sPrompt&chr(13)&chr(10)&"请按<确定>键开始修复……"
MsgBox sPrompt
Set RegWsh = CreateObject("WScript.Shell")
'解除对注册表的限制
RegWsh.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system\
DisableRegistryTools", 0,"REG_DWORD"
'使系统恢复“运行”项
RegWsh.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun",
0,"REG_BINARY"
'让操作系统恢复“关闭系统” 选项
RegWsh.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose", 0, "REG_BINARY"
'让操作系统恢复“注销”选项
RegWsh.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoLogOff", 0, "REG_BINARY"
'让操作系统恢复逻辑驱动器C
RegWsh.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives", 0, "REG_DWORD"
'解除对运行所有的DOS应用程序的禁止
RegWsh.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\Disabled",
0,"REG_BINARY"
'允许操作系统切换至传统DOS的实模式下
RegWsh.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\NoRealMode",
0,"REG_BINARY"
' 删除系统登录时显示的那个登录窗口
RegWsh.Regdelete "HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon\"
'以下是对IE 相关注册表项值项的恢复
' 设置浏览器默认主页为空白页
RegWsh.RegWrite "HKCU\Software\Microsoft\Internet Explorer\Main\Start Page", ""
' 修改启动中的输入法启动项
RegWsh.RegWrite "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\internat.exe","english"
RegWsh.RegWrite "HKCU\Software\Policies\Microsoft\Internet Explorer\control panel\Homepage", 0,"REG_DWORD"
' 恢复浏览器的标题栏
RegWsh.RegWrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\main\Windows Title", 0
RegWsh.RegWrite "HKCU\SOFTWARE\Microsoft\Internet Explorer\main\Windows Title", 0
sPrompt="现在请放心吧，已经成功修复了本机的注册表:)"
sPrompt=sPrompt&chr(13)&chr(10)&"请重新启动后，再看看问题是否解决^_^"
MsgBox sPrompt
</script>
</html>
对于Win2000用户，因为部分键值发生了变化，上面的文件需要作一些调整。为了拓宽思路，我们不再制作成.htm的网页形式（读者朋友如果感兴趣，当然可以自己模仿着上面的recover.htm来转换，呵呵），而改用自己编制的注册表文件（.reg文件）导入到注册表中的方法进行修复。下面是 recover.reg文件的内容，选带命令行的安全模式，用命令regedit recover.reg导入，然后重启机器即可修复受损的注册表了。
recover.reg文件内容如下：
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000095
"NoRun"=hex: 0
"NoLogOff"=hex: 0
"NoDrives"=dword:00000000
"RestrictRun"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp]
"Disabled"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp]
"NoRealMode"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon]
"LegalNoticeCaption"=""
"LegalNoticeText"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Window Title"=""
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Window Title"=""
②注册表被修改后的恢复工具大观
为了有效地预防和查杀这些恶意代码，安装比较好的杀毒软件是必需的。网络上的病毒日新月异，所以我们不能因为安装了某一款杀毒软件就高枕无忧，还就经常下载一些最新的病毒库来升级，更新自己的软件、增强他们的免疫力。这里，我首先给大家推荐下载的是“金山毒霸”的系列防黑小工具――注册表修复器（310K）、专杀工具之“中国黑客”系列（52K）、新欢乐时光专杀工具（52K）。下载的网址依次是：http://www.iduba.net/download/other/tool_011027_RegSolve.htm、Duba_RunOuce.htm、ScanVBSKJ.htm。这几个软件下载之后，都无需安装即可使用。其中“注册表修复器”可对IE进行全面的恢复，而且还提供了启动运行任务和IE右键菜单的管理工具，操作界面直观，就没必要多费口舌了，请大家自己搞定。
另外，以下几个小工具也各有特色，值得下载备用：
a.IE伴侣V2.4 （132K）
下载地址：http://go7.163.com/chinabds/或者http://www.skycn.net/soft/7308.html
使用和功能说明：
下载得到的是一个ZIP压缩文件，解压至某一文件夹中，双击其中的iemate.exe即可启动“IE伴侣”。启动后，没有常规的窗口出现，但可以发现在任务栏的右下角的系统托盘处，有一个滴溜溜转动的小眼睛图标。这就是“IE伴侣”了！在此图标上按下鼠标右键，将相应选项选中，即可调出相应的窗口。如下图，看到了吧？如此小巧的软件竟然包含了这么多实用的功能，赶快下载试试吧？

IE伴侣的主要功能是关闭弹出的广告窗口和恢复被修改了的IE设置。前者只需在上图所示的选项中划勾即可，对于后者，它可以对IE进行全面的设置和恢复。我们既可通过键盘输入来获得个性化的IE，更可用来去除各种恶意代码对IE实施的各种侵害。完成之后，只需单击“保存设置”，然后“返回”即可。
另外，值得一提的是IE伴侣的“系统工具”中包含的“进程管理”工具，可以让我们实时的查看系统当前所使用的进程情况。特别适合老鸟们作反黑研究时使用！
b.IE修复专家V2.2 （502K）
下载地址：http://www.kai3.com/或者http://www.skycn.net/soft/6909.html
使用功能说明：
相对于IE伴侣来讲，IE修复专家在界面的设计和布局上要略胜一筹。它采用单一窗口多标签式的流行设计，各项功能一目了然。不过，其中对IE的修改仅限于一些开关选项的选择（启用/禁止），所以感觉比IE伴侣在修改IE的项目数量上稍少一点。它的功能与IE伴侣相似，这从上图的各个标签就可以看出，唯一不同的是增加的收藏夹管理功能，可方便的对收藏夹以及历史网址中的项目进行删除和再访问的操作。不过这个管理功能并不强大，比如缺少对收藏夹的项目进行重新组织（排序）的功能、从历史网址直接拖动到收藏夹的功能，而且与网络安全关系不大，因此不再多述。
c.IE反修改精灵 V2.0 Beta 2 （189K）
下载地址：http://www.chinagaw.com/或者http://www.skycn.net/soft/6066.html
使用功能说明：
下载安装完IE反修改精灵，启动后，眼前为之一亮，一片绿色呈现在眼前，如果你不仔细看，还看不出其中可操作的按钮在哪里！这应该也是作者的一点创意吧:)它可以自动恢复IE的默认设置，也可以由你自己进行随意的修改。方法是：单击“安全修改精灵”，右边窗口中列出了“Internet选项……”和“开机程序管理……”这两个子项。这两项的功能与IE修复专家的相关设计非常相象。但它的运行速度却不敢恭维，开始我还以为是点击之后没起作用，正欲重新点击，窗口却“冒”了出来:(
通过以上两篇文章的学习，想必大家对网络安全的实质、网页脚本的正确运用以及对网页“黑手”的防范和打击有了一些认识了吧？当然，更重要的是，增强网络安全意识，刻不容缓。

原作者：陈劲宏

地主发表时间: 07/29 04:07