论文部分内容阅读
摘要:文章通过分析常见网页恶意代码的作用原理,引导用户通过修改系统注册表的方法消除网页恶意代码对电脑系统造成的不良影响,并在此基础上提出具体的病毒清除及预防方案。
关键词:网页恶意代码 修复 防范
互联网发展到今天,已经和我们的工作、学习和日常的生活密切相关,上网冲浪,成为了越来越多人每天固定要做的一件事,但网上并不太平,相信不少用户都遇到过这种情况:当打开一个网页过后,就发现注册表和IE设置被修改了,自己的IE标题栏换成了其他网站的名字、默认主页被换成了不知名的网站、系统被改得乱七八糟……
当然,我们可以通过安装杀毒软件,设置网络防火墙,阻止大部分网页恶意代码的入侵,但仍有一些漏网之鱼,大摇大摆地骗过杀毒软件和防火墙,肆意更改我们的系统设置,因此,主动出击,积极应对,不失为我们应对网页恶意代码入侵的一个快捷、有效的方法。
1. 什么是网页恶意代码?
网页恶意代码实质上是一种内嵌在网页中的病毒程序,它通过把代码在不被察觉的情况下镶嵌到另一段程序中,纂改电脑注册表中的源代码,达到更改用户系统设置,造成用户每次开机直接拨号、主页无法改回、弹出众多窗口耗尽资源等严重危害。
这种非法恶意程序能够得以被自动执行,在于它完全不受用户的控制。用户一旦浏览含有该病毒的网页,即可在不知不觉的情况下马上中招,给用户的系统带来一般性的、轻度性的、严重恶性等不同程度的破坏。令用户苦不堪言,甚至损失惨重无法弥补。
2. 常见网页恶意代码的症状分析与修复办法
(1)注册表被锁定
注册表被锁定这一招是比较恶劣的,它使一般用户即使会简单修改注册表使其恢复的条件下,困难又多了一层。症状是在开始菜单中点击“运行”,在运行框中输入regedit命令时,注册表不能够使用,并发现系统提示用户没有权限运行该程序,然后让你联系系统管理员。这是由于注册表中:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System下的DWORD值“DisableRegistryTools”被修改为“1”的缘故,将其键值恢复为“0”即可恢复注册表的使用。
修复办法:
用户自己动手制作一个解除注册表锁定的工具,就是用记事本编辑一个任意名字的.reg文件,比如recover.reg,内容如下:
REGEDIT4
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System]“DisableRegistryTools”=dword:00000000
要特别注意的是:如果用这个方法制作解除注册表锁定的工具,要严格按照上面的书写格式进行,不能遗漏更不能修改;完成上述工作后,点击记事本的文件菜单中的“另存为”项,文件名可以随意,但文件扩展名必须为.reg,然后点击“保存”。这样一个注册表解锁工具就制作完成了,之后用户只须双击生成的工具图标,系统会提示是否将这个信息添加进注册表,点击“是”,随后系统提示信息已成功输入注册表,再点击“确定”即可将注册表解锁了。
(2)篡改IE的默认页
有些IE被改了起始页后,即使设置了“使用默认页”仍然无效,这是因为IE起始页的默认页也被篡改了。具体说就是以下注册表项被修改:
HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Main/Default_Page_URL
“Default_Page_URL”这个子键的键值即起始页的默认页。
修复办法:
运行注册表编辑器,然后展开上述子键,将“Default_Page_URL”子键的键值中的那些篡改网站的网址改掉就行了,或者将其设置为IE的默认值。
(3)修改IE浏览器缺省主页,并且锁定设置项,禁止用户更改
主要是修改了注册表中IE设置的下面这些键值(DWORD值为1时为不可选):
HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel
"Settings"=dword:1
HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel
"Links"=dword:1
HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel
"SecAddSites"=dword:1
修复办法:
将上面这些DWORD值改为“0”即可恢复功能。
(4)IE的默认首页灰色按扭不可选
这是由于注册表:
HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/Internet Explorer/Control Panel
下的DWORD值“homepage”的键值被修改的缘故。原来的键值为“0”,被修改后为“1”(即为灰色不可选状态)。
修复办法:
将“homepage”的键值改为“0”即可。
(5)IE标题栏被修改
在系统默认状态下,是由应用程序本身来提供标题栏的信息,但也允许用户自行在上述注册表项目中填加信息,而一些恶意的网站正是利用了这一点来得逞的:它们将串值Window Title下的键值改为其网站名或更多的广告信息,从而达到改变浏览者IE标题栏的目的。具体说来受到更改的注册表项目为:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main/Window Title
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/Window Title
修复办法:
①在Windows启动后,点击“开始”→“运行”菜单项,在“打开”栏中键入regedit,然后按“确定”键;
②展开注册表到
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main下,在右半部分窗口中找到串值“Window Title” ,将该串值删除即可,或将Window Title的键值改为“IE浏览器”等你喜欢的名字;
③同理,展开注册表到
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main
然后按②中所述方法处理。
④退出注册表编辑器,重新启动计算机,运行IE,问题解决。
(6)IE右键菜单被修改
受到修改的注册表项目为:
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/MenuExt下被新建了网页的广告信息,并由此在IE右键菜单中出现。
修复办法:
打开注册表编辑器,找到
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/MenuExt删除相关的广告条文即可。
(7)IE默认搜索引擎被修改
在IE浏览器的工具栏中有一个搜索引擎的工具按钮,可以实现网络搜索,被篡改后只要点击那个搜索工具按钮就会链接到那个篡改网站。出现这种现象的原因是以下注册表被修改:
HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Search/CustomizeSearch
HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Search/SearchAssistant
修复办法:
运行注册表编辑器,依次展开上述子键,将“CustomizeSearch”和“SearchAssistant”的键值改为某个搜索引擎的网址即可。
3. 网页恶意代码的清除方案
网页恶意代码的流行直接影响到了不少的用户,理所当然,怎样才能有效地避免恶意代码与修复网页浏览器就成了用户最关注的问题。但如今的网页恶意代码是越来越厉害,有时根本不能修改一下注册表就能恢复正常。根据笔者多次的经验和总结,发现网页恶意代码虽然有“道高一尺,魔高一丈”,但同时也适用于“万变不离其踪”的道理。
既然有“万变不离其踪”的道理,那么只要弄清“踪”就可以将网页恶意代码彻底清除。在弄清“踪”之前有必要先把症状进行分析,对症下药。
第一步,症状分析。
在这一步中,用户主要是分清计算机的异常是属网页恶意代码或者其它什么病毒造成的,这一步非常关键,这可以对照上面的叙述的症状,一般来说,网页恶意代码主要破坏的是IE浏览器,如果有其它症状建议先到网上查一下是否是其它病毒所致,这样能够大致确定自己计算机是否中的是网页恶意代码。
第二步,抓住要害。
网页恶意代码“万变不离其踪”的“踪”就是修改注册表。网页恶意代码就在访问恶意网页的那一瞬间对注册表进行修改。但并不代表就修改这一次,
4. 网页恶意代码的防范
与其等到中毒之后杀毒,不如防范于未然,只要用户做好防范工作,就能在最大限度上远离网页恶意代码的困扰。
(1)要避免被网页恶意代码感染,首先关键是不要轻易去一些并不信任的站点,尤其是一些带不健康内容的网址。但是这个并不能真正防止网页恶意代码的攻击,因为这些恶意代码有可能在任何地方出现。所以也可以参考进行以下的设置。
(2)运行IE时,点击“工具→Internet选项→安全→ Internet区域的安全级别”,把安全级别由“中”改为“高”。网页恶意代码主要是含有恶意代码的ActiveX或Applet、JavaScript的网页文件,所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以减少被网页恶意代码感染的几率。具体方案是:在IE窗口中点击“工具”→“Internet选项”,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。但是,这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。而对于使用Windows98的计算机用户,请打开 C:WINDOWSJAVAPackagesCVLV1NBB.ZIP,把其中的“ActiveXComponent.class”删掉;对于使用Windows Me的计算机用户,请打开C:WINDOWSJAVAPackages5NZVFPF1.ZIP,把其中的“ActiveXComponent.class”删掉。
(3)一定要在计算机上安装网络防火墙,并要时刻打开“实时监控功能”。
(4)设置注册表编辑器中的相关项值:
* 运行打开注册表编辑器命令regedit.exe进入注册表;
*在HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionPoliciesSystem下,增加名为DisableRegistryTools的DWORD值项,将其值改为“1”,即可禁止使用注册表编辑器命令regedit.exe。
特殊原因需要修改注册表,可参考上文编辑一个recover.reg 文件,然后双击运行此文件即可。
(5)随时升级IE浏览器的补丁。
结束语:网页恶意代码虽然在当前互联网上活动非常猖獗,但用户只要充分认识到它们的作用原理,从容应对,并在此基础上做好防范措施,快乐上网,其实不难实现。
参考文献:
[1]熊忠阳,张玉芳. WINDOWS注册表配置与实例[M] .上海:上海科学普及出版社,2000, 2
[2]卿斯汉,刘文清,温红子.操作系统安全[M].北京:清华大学出版社,2004
关键词:网页恶意代码 修复 防范
互联网发展到今天,已经和我们的工作、学习和日常的生活密切相关,上网冲浪,成为了越来越多人每天固定要做的一件事,但网上并不太平,相信不少用户都遇到过这种情况:当打开一个网页过后,就发现注册表和IE设置被修改了,自己的IE标题栏换成了其他网站的名字、默认主页被换成了不知名的网站、系统被改得乱七八糟……
当然,我们可以通过安装杀毒软件,设置网络防火墙,阻止大部分网页恶意代码的入侵,但仍有一些漏网之鱼,大摇大摆地骗过杀毒软件和防火墙,肆意更改我们的系统设置,因此,主动出击,积极应对,不失为我们应对网页恶意代码入侵的一个快捷、有效的方法。
1. 什么是网页恶意代码?
网页恶意代码实质上是一种内嵌在网页中的病毒程序,它通过把代码在不被察觉的情况下镶嵌到另一段程序中,纂改电脑注册表中的源代码,达到更改用户系统设置,造成用户每次开机直接拨号、主页无法改回、弹出众多窗口耗尽资源等严重危害。
这种非法恶意程序能够得以被自动执行,在于它完全不受用户的控制。用户一旦浏览含有该病毒的网页,即可在不知不觉的情况下马上中招,给用户的系统带来一般性的、轻度性的、严重恶性等不同程度的破坏。令用户苦不堪言,甚至损失惨重无法弥补。
2. 常见网页恶意代码的症状分析与修复办法
(1)注册表被锁定
注册表被锁定这一招是比较恶劣的,它使一般用户即使会简单修改注册表使其恢复的条件下,困难又多了一层。症状是在开始菜单中点击“运行”,在运行框中输入regedit命令时,注册表不能够使用,并发现系统提示用户没有权限运行该程序,然后让你联系系统管理员。这是由于注册表中:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System下的DWORD值“DisableRegistryTools”被修改为“1”的缘故,将其键值恢复为“0”即可恢复注册表的使用。
修复办法:
用户自己动手制作一个解除注册表锁定的工具,就是用记事本编辑一个任意名字的.reg文件,比如recover.reg,内容如下:
REGEDIT4
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System]“DisableRegistryTools”=dword:00000000
要特别注意的是:如果用这个方法制作解除注册表锁定的工具,要严格按照上面的书写格式进行,不能遗漏更不能修改;完成上述工作后,点击记事本的文件菜单中的“另存为”项,文件名可以随意,但文件扩展名必须为.reg,然后点击“保存”。这样一个注册表解锁工具就制作完成了,之后用户只须双击生成的工具图标,系统会提示是否将这个信息添加进注册表,点击“是”,随后系统提示信息已成功输入注册表,再点击“确定”即可将注册表解锁了。
(2)篡改IE的默认页
有些IE被改了起始页后,即使设置了“使用默认页”仍然无效,这是因为IE起始页的默认页也被篡改了。具体说就是以下注册表项被修改:
HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Main/Default_Page_URL
“Default_Page_URL”这个子键的键值即起始页的默认页。
修复办法:
运行注册表编辑器,然后展开上述子键,将“Default_Page_URL”子键的键值中的那些篡改网站的网址改掉就行了,或者将其设置为IE的默认值。
(3)修改IE浏览器缺省主页,并且锁定设置项,禁止用户更改
主要是修改了注册表中IE设置的下面这些键值(DWORD值为1时为不可选):
HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel
"Settings"=dword:1
HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel
"Links"=dword:1
HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel
"SecAddSites"=dword:1
修复办法:
将上面这些DWORD值改为“0”即可恢复功能。
(4)IE的默认首页灰色按扭不可选
这是由于注册表:
HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/Internet Explorer/Control Panel
下的DWORD值“homepage”的键值被修改的缘故。原来的键值为“0”,被修改后为“1”(即为灰色不可选状态)。
修复办法:
将“homepage”的键值改为“0”即可。
(5)IE标题栏被修改
在系统默认状态下,是由应用程序本身来提供标题栏的信息,但也允许用户自行在上述注册表项目中填加信息,而一些恶意的网站正是利用了这一点来得逞的:它们将串值Window Title下的键值改为其网站名或更多的广告信息,从而达到改变浏览者IE标题栏的目的。具体说来受到更改的注册表项目为:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main/Window Title
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/Window Title
修复办法:
①在Windows启动后,点击“开始”→“运行”菜单项,在“打开”栏中键入regedit,然后按“确定”键;
②展开注册表到
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main下,在右半部分窗口中找到串值“Window Title” ,将该串值删除即可,或将Window Title的键值改为“IE浏览器”等你喜欢的名字;
③同理,展开注册表到
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main
然后按②中所述方法处理。
④退出注册表编辑器,重新启动计算机,运行IE,问题解决。
(6)IE右键菜单被修改
受到修改的注册表项目为:
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/MenuExt下被新建了网页的广告信息,并由此在IE右键菜单中出现。
修复办法:
打开注册表编辑器,找到
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/MenuExt删除相关的广告条文即可。
(7)IE默认搜索引擎被修改
在IE浏览器的工具栏中有一个搜索引擎的工具按钮,可以实现网络搜索,被篡改后只要点击那个搜索工具按钮就会链接到那个篡改网站。出现这种现象的原因是以下注册表被修改:
HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Search/CustomizeSearch
HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Search/SearchAssistant
修复办法:
运行注册表编辑器,依次展开上述子键,将“CustomizeSearch”和“SearchAssistant”的键值改为某个搜索引擎的网址即可。
3. 网页恶意代码的清除方案
网页恶意代码的流行直接影响到了不少的用户,理所当然,怎样才能有效地避免恶意代码与修复网页浏览器就成了用户最关注的问题。但如今的网页恶意代码是越来越厉害,有时根本不能修改一下注册表就能恢复正常。根据笔者多次的经验和总结,发现网页恶意代码虽然有“道高一尺,魔高一丈”,但同时也适用于“万变不离其踪”的道理。
既然有“万变不离其踪”的道理,那么只要弄清“踪”就可以将网页恶意代码彻底清除。在弄清“踪”之前有必要先把症状进行分析,对症下药。
第一步,症状分析。
在这一步中,用户主要是分清计算机的异常是属网页恶意代码或者其它什么病毒造成的,这一步非常关键,这可以对照上面的叙述的症状,一般来说,网页恶意代码主要破坏的是IE浏览器,如果有其它症状建议先到网上查一下是否是其它病毒所致,这样能够大致确定自己计算机是否中的是网页恶意代码。
第二步,抓住要害。
网页恶意代码“万变不离其踪”的“踪”就是修改注册表。网页恶意代码就在访问恶意网页的那一瞬间对注册表进行修改。但并不代表就修改这一次,
4. 网页恶意代码的防范
与其等到中毒之后杀毒,不如防范于未然,只要用户做好防范工作,就能在最大限度上远离网页恶意代码的困扰。
(1)要避免被网页恶意代码感染,首先关键是不要轻易去一些并不信任的站点,尤其是一些带不健康内容的网址。但是这个并不能真正防止网页恶意代码的攻击,因为这些恶意代码有可能在任何地方出现。所以也可以参考进行以下的设置。
(2)运行IE时,点击“工具→Internet选项→安全→ Internet区域的安全级别”,把安全级别由“中”改为“高”。网页恶意代码主要是含有恶意代码的ActiveX或Applet、JavaScript的网页文件,所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以减少被网页恶意代码感染的几率。具体方案是:在IE窗口中点击“工具”→“Internet选项”,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。但是,这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。而对于使用Windows98的计算机用户,请打开 C:WINDOWSJAVAPackagesCVLV1NBB.ZIP,把其中的“ActiveXComponent.class”删掉;对于使用Windows Me的计算机用户,请打开C:WINDOWSJAVAPackages5NZVFPF1.ZIP,把其中的“ActiveXComponent.class”删掉。
(3)一定要在计算机上安装网络防火墙,并要时刻打开“实时监控功能”。
(4)设置注册表编辑器中的相关项值:
* 运行打开注册表编辑器命令regedit.exe进入注册表;
*在HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionPoliciesSystem下,增加名为DisableRegistryTools的DWORD值项,将其值改为“1”,即可禁止使用注册表编辑器命令regedit.exe。
特殊原因需要修改注册表,可参考上文编辑一个recover.reg 文件,然后双击运行此文件即可。
(5)随时升级IE浏览器的补丁。
结束语:网页恶意代码虽然在当前互联网上活动非常猖獗,但用户只要充分认识到它们的作用原理,从容应对,并在此基础上做好防范措施,快乐上网,其实不难实现。
参考文献:
[1]熊忠阳,张玉芳. WINDOWS注册表配置与实例[M] .上海:上海科学普及出版社,2000, 2
[2]卿斯汉,刘文清,温红子.操作系统安全[M].北京:清华大学出版社,2004