超强IE 也可由你轻松打造(下)

  作者:   付谦                              

   

  通过阅读上篇文章,你是否对自己的浏览器抱有更大信心了呢?我相信经过这样一番强化后,日常浏览接触到的内容将不会再对你的浏览器构成什么威胁了。然而,对于那些常常将浏览器置身于危险环境中的朋友们,你们将不可避免地遭到恶意代码的侵袭,这时请不要慌张,正确的处理将使你们化险为夷。

  第一部分:

  首先我们来说说潜在威胁:通常情况下,当你浏览一个含有恶意脚本的网站时,你会碰到不止一种恶意脚本,而是多个。它们分工明确:一部分负责修改注册表;一部分负责将自己添加到进程和启动程序。这一切有可能发生在一分钟之内,但也有可能发生在你重起电脑后。当然,这一切很有可能没有完成就因为其它原因终止了,而我们要做的就是养成一些好的习惯,这样即使我们受到了恶意脚本的侵扰,良好的习惯也可以减轻甚至破坏它们的攻击过程。

  其实所谓消除潜在威胁无非是定期清除一下internet临时文件夹、历史纪录、自动完成和cookie,但有两处我认为一些符合我描述条件的朋友需要注意:若你是使用页面模式进行登录的管理员或者你的邮箱非常的重要,例如论坛版主或邮件服务,如果黑客想窃取你们的权限搞破坏或窃取个人资料,那么机器中存留的cookie会成为黑客得逞的助手之一,所以如果有必要,可以将需要输入用户名和密码的页面放入编辑cookie策略中

  若像论坛之类必须要cookie支持的页面则最好每次登录时都选择不保存cookie,这样在你关闭浏览器的时候cookie就会被删除。

  第二处需要注意的地方在internet临时文件夹,不过需要注意的人只是习惯脱机浏览或者常常去这个文件夹找东西的人。一把情况下,我们可以选中关闭浏览器时清空internet临时文件夹。

  但当你需要保留这个文件夹中的内容时,这个选项就必须禁止

 

  因为开启这项IFRAME功能同样意味着缓存中的有害程序可以直接执行,这无异于增加了我们的危险

  第二部分:

  简单的防范工作只是前站,下面才是真正的恢复之旅。在恢复的时候,多种方法的使用得当可以使我们干净彻底地恢复浏览器和系统。下面我将以非常具体的操作来展示如何恢复。

  还记得上篇一张图中的被描述成五毒俱全的网站吗?我已经故意让它彻底地感染了我。

  先看看它都做了些什么:

  1、  浏览器被改得面目全非惨不忍睹

  浏览器的相貌彻底被改变了,画框的地方被加上了不应该有的内容,这是ActiveX控件干的

  2、  注册表编辑器被锁

  3、  浏览器自动打开一些网页和不明进程出现

  4、  磁盘中出现未知可执行文件

  5、  启动项被改,rundll32.exe和IE被加shell

  至于这些恶意程序对注册表和浏览器程序进行的修改就更多了,但由于这部分比较杂,况且最终可以修复,我就不罗列了,反正此时的浏览器确实已经比较惨了。

  接下来就是修复的步骤:

  1、  断开网路连接、清除所有上网记录。

  这样做的目的主要是为了断绝二次感染的途径,在清除的上网记录中我们需要清除包括internet临时文件夹、历史记录、cookie、记住密码和自动完成表单。这样还不够,我们需要到%windows% Downloaded Program Files查看已经被安装的ActiveX控件

  如果不清除这其中有害的控件,不管你之前做了哪些修改,再次连接到网络时系统也会把它们默认成为可安全执行的操作而再次污染你的浏览器。所以清除的最后一步就是通过查看这些控件的属性确定哪些是有用的,至于不确定和肯定是有害的,不妨一并删除,反正不确定的那个部分时可以再次下载的。图中的那个IEToolbarCab插件就是先前图中在IE底端出现的那个工具栏,我将它删除后工具栏便立刻消失了。像图中前三个插件,通过查看它们属性中的基本代码你就会发现其中的奥秘,原来这些插件就是用来在每次启动时读取有害文件,篡改浏览器的,元凶就是最底下的那行基本代码。读不懂它不要紧,直接删除它我们就可以不再受到它的影响了。

  2、  查看可疑的系统进程、服务和启动项

  这个部分是我们与恶意程序进行斗争的关键一步,在这部分的操作都只是为了一个目的:消除任何可导致恶意程序在系统重起时不被加载。做好这一步,即使我们的硬盘中会留有一些恶意程序的运行文件,这些程序也许会隐藏在很深的地方,但是由于缺少了启动它们的手段,所以想感染我们也会很困难了。在这里我向大家推荐一个大家非常熟悉但却几乎不怎么用到的工具:系统信息。

  在图中我们清楚地看到红框标记的地方其实就是当前进程、服务项、启动项和IE文件管理。这四个部分时我们常用的,但我们几乎不怎么在这里用。通过图大家会发现系统信息提供的进程与资源管理器中的相比不仅列出了进程,而且还表明了进程的路径,这对我们来说是个莫大的帮助,因为这样我们可以轻而易举地判定哪些是恶意程序的进程并直接找到它们的所在位置。当然系统信息有个小小的缺憾,那就是它只能够查看不能修改,不过这个问题当然难不倒我们,我们都知道哪些其他地方可以打开它们。

  IE文件管理的用处最后会提到,我们先来具体地操作一下,看看如何干净彻底地断绝恶意程序的生路。

  首先我们来查看进程中有哪些比较可疑

  很明显地红框标示的相当可疑,于是我记下他们的路径和文件名等待一会删除。大家看到那个svch0st.exe了吗?这是恶意程序最常用也最容易得逞的方法之一,就是通过伪装文件名骗过我们的眼睛,除了像这个进程这样更改名称,还有改变大小写、使用shell(可以通过路径判断)的手段,所以我们在查看可疑程序时一定仔细分辨,有些人一定会问windows的进程那么多我怎么知道哪些是真的?其实很简单,在google上可以找到许多详尽的进程描述。

  接下来是服务

  这次故意被感染一个遗憾的地方就是我没有受到以建立服务方式进行的攻击,但却有恶意程序会在你的电脑里建立一个服务,通常情况下使用这种手段的恶意程序还很厉害,所以这里仍然不能放过。服务项确实也有很多,想了解详细的服务仍然 可以在google上找到很多。

  启动项

  这里已经不再有什么秘密,这是一个所有人都回第一个想到的地方。把在这里看到的和进程中的相结合,恶意程序被我们挖出来了。

  

  结合这三处观察,我们就可以使用相关程序进行操作了:杀掉进程,删除源文件,然后再将启动项中的垃圾清理掉------我们已经完成了一半的工作了

  3、  恢复受损的注册表

  注册表的恢复手段多样,可繁可简,根据实际情况大家可以挑选其中一个方法。

  (1)最后一次正确配置

  如果你的受损情况不是很严重,并且你及时的发现并采取了措施,那么可以重新启动系统,在系统启动前按F8键,然后选择“最后一次正确配置”,这样可以非常简单的恢复。

  (2)组策略恢复

  适用于系统的可视化部分被大量更改和熟悉组策略的用户,在运行菜单中输入gpedit.msc可以进入组策略编辑器,然后找到用户配置—系统,在这里可以解锁被锁的注册表。除此而外,在组策略中还有许多针对IE浏览器和桌面的设置,大家有兴趣可以自己找找看。事实上,组策略编辑器就是注册表键值的编辑器,在这里进行的所有操作和网上许多文章中介绍的效果是一样的,当然我使用它的一个主要目的是解除锁定。

  (3)第三方软件恢复

  可能是最多人使用的方法,而且网上这方面内容比较多,常用的像3721之类。其实它们工作的原理就是修改注册表的相关键值,不过有一点我们必须明确,这些程序是死的,它们不能做到面面俱到,所以就算是使用它们恢复,我们也需要留意有没有被修复的地方并及时做出处理。

  4、  重新启动计算机,检查还没杀掉的shell

  看到这个提示有些人可能会比较亲切,事实上当我们看到这个提示后首先想到的就是有shell,找到它的办法很简单,我们只需要在注册表中输入提示中的那个文件,然后搜索。我通过搜索后发现这个提示被挂接载在explorer.exe上了,于是我将键值多余的地方改掉下次开机便没有这个提示了。同时也希望大家记住这个键值

  HLMsoftwaremicrosoftinternet explorerwinntcurrentversionwinlogon

  藏在这里的shell比较多。

  5、  修复受损的文件

  文章终于接近尾声了,在我们进行了上面的操作以后,恶意程序已经基本被我们赶出了计算机,剩下的工作只有清扫一下受损的文件了。还记得刚才那个在系统信息中记录IE浏览器文件情况的对话框吗??如果你发现文件有缺失,你可以有针对性地copy一份到你的本地计算机,如果你的浏览器因为修改造成无法启动,还有一个更彻底的办法就是卸载浏览器。卸载浏览器可不是覆盖安装,我们要彻底清楚注册表中的垃圾就必须卸载,但浏览器又不能从添加/删除中卸载,怎么办呢?别着急,我们可以用以下方法:

  首先将windows xp光盘插入光驱,然后单击“开始→运行”命令,在“运行”对话框中输入“rundll32 setupapi,installhinfsectiondefaultinstall 132 c :windowsinfie.inf”命令,回车后系统会打开安装进程对话框,开始重新安装ie6.0。

  提示:如果你的windows xp系统不是安装在c盘,请将“c\windows\inf\ie.inf”修改为“%systemroot%\inf\ie.inf”。  ------引自ZDNet China 论坛jackma同学的文章

  这样浏览器就可以被完全的恢复了。

  然后如果我们发现系统文件有损坏比如显示不正常或者功能受损,我们可以在“运行”中输入SFC,这个命令用来检查受损的系统文件并修复。通过这最后一个步骤,我们就彻底完成了对恶意程序的查杀和系统的恢复。

  结束语:写到最后,我又看到了对IE浏览器不利的消息,然而,不管我们使用IE还是网景还是opera,网上的攻击将永不停息。从这个角度看,我们一方面等待微软推出更加出色的浏览器,另一方面我们也应该注意日常上网的防护工作,只有这样我们才能真正尽兴地在互联网中畅游。

(0)

相关推荐

  • 超强IE 也可由你轻松打造(下)

    作者:   付谦                               通过阅读上篇文章,你是否对自己的浏览器抱有更大信心了呢?我相信经过这样一番强化后,日常浏览接触到的内容将不会再对你的浏览器构成什么威胁了.然而,对于那些常常将浏览器置身于危险环境中的朋友们,你们将不可避免地遭到恶意代码的侵袭,这时请不要慌张,正确的处理将使你们化险为夷. 第一部分: 首先我们来说说潜在威胁:通常情况下,当你浏览一个含有恶意脚本的网站时,你会碰到不止一种恶意脚本,而是多个.它们分工明确:一部分负责修改注册

  • 超强IE 也可由你轻松打造(上)

    作者:   付谦                               没有人可以否认,作为一款出色的并被广泛使用的浏览器,IE同时受到了如此多的批评和赞扬.当你坐在电脑前使用IE的时候,你会习惯于它的简单易用和强大的整合功能,但同时你也会受到针对IE漏洞设计的恶意脚本和病毒的侵扰.正所谓鱼和熊掌不可兼得,在微软努力修补漏洞的同时,我们又能做些什么呢? 为了方便大家更加熟悉和了解如何更好的使用IE,我以一个干净的,未经任何保护的IE为开始,通过配置逐渐地将它变得安全,更为重要的是,文章不光

  • CSS编辑工具Topstyle轻松打造网页风格

    本文特意为你找来了一款CSS编辑利器--Topstyle,利用它你能轻松做出更有风格的网页来! 精彩.漂亮是每一个设计者在制作网页时的不懈追求,而网页的精彩几乎都离不开CSS的强力"支撑":CSS是一种为超文本标签语言提供增强补充服务的技 术,可对每一个html的标签做精雕细刻的修饰.活用CSS,将会使网页更加生动活泼.不过,普通的网页编辑工具在CSS方面,表现难能让人满意:为了充 分发挥CSS潜能,设计出更加美丽的网页. 最新版本:3.11 文件大小:3836KB 软件性质:共享 使

  • SyntaxHighlighter配合CKEditor插件轻松打造代码语法着色

    上网搜索了一下相关的文章不少,大同小异,本人一直使用的是CKeditor的文字编辑器,所以偿试使用网上很多网友介绍的SyntaxHighlighter配合CKEditor插件的方式实现.可能是因为SyntaxHighlighter和CKEditor版本不同,过程中遇到了一些问题,解决的同时也根据个人理解做部分调整,所以本文所描述的方法仅供参考. 一.SyntaxHighlighter简介 SyntaxHighlighter(原名:dp.SyntaxHighlighter)是一套在浏览器上对各种代

  • IIS5.1安装配置图文教程 轻松打造ASP运行环境

    制作动态网页就需要进行环境配置,一般用微软的IIS,但是默认安装情况下IIS是没有被安装的,所以使用的时候需要进行安装配置,具体操作步骤如下图: 在控制面板里打开添加删除程序选项 这一步可能出现:xp系统无法打开添加与删除windows组件的情况,点击这里解决. 按上图中的提示操作,安装过程中需要一些文件,如果找不到IIS相关文件,点击这里下载IIS安装包

  • Android之RecyclerView轻松实现下拉刷新和加载更多示例

    今天研究了下RecyclerView的滑动事件,特别是下拉刷新和加载更多事件,在现在几乎所有的APP显示数据列表时都用到了.自定义RecyclerView下拉刷新和加载更多听上去很复杂,实际上并不难,只要是对滑动事件的监听和处理. 一.自定义RecyclerView实现下拉刷新和加载更多 1.如何判断RecyclerView是在上滑还是下滑 在RecyclerView的OnScrollListener滑动事件监听中有个好用的方法,就是onScrolled(RecyclerView recycle

  • 国外十大最流行的PHP框架排名

    以下为十个目前最流行的基于MVC设计模式的PHP框架. 1. Yii Yii是一个基于组件的高性能的PHP的框架,用于开发大规模Web应用.Yii采用严格的OOP编写,并有着完善的库引用以及全面的教程.从MVC,DAO/ActiveRecord,widgets,caching,等级式RBAC,Web服务,到主体化,I18N和L10N,Yii提供了今日Web 2.0应用开发所需要的几乎一切功能.而且这个框架的价格也并不太高.事实上,Yii是最有效率的PHP框架之一. 2. CodeIgniter

  • jQuery多级手风琴菜单实例讲解

    手风琴菜单一般用于下拉导航,由于外观非常简洁,使用起来跟手风琴一样可以拉伸和收缩而得名,项目中适当应用手风琴效果会给用户带来非常好的体验.本文借助jQuery插件轻松打造一个非常不错的手风琴效果的菜单. HTML 首先在head间引用jQuery和插件. <script type="text/javascript" src="js/jquery.js"></script> <script type="text/javascri

  • 快速分辨清楚 IaaS、PaaS、BaaS和SaaS

    2006年,Amazon发表了弹性运算服务云端(EC2)和简单储存服务(S3),这几项服务为云计算技术在21世纪开启了一个新篇章,云服务就此从 IaaS 进展到了 PaaS层级.之后,云计算服务继续发展.演变,又新出现一批_aaS系云服务:SaaS和BaaS. 这下,除了部分专业的人员,吃瓜群众们全懵了,完全搞不清楚. 帮助大家简单快速分辨清楚 IaaS.PaaS.BaaS和SaaS. 这些云服务模式最直接的区分方式在于--整个云计算的架构,服务涵盖的范围都各有所不同. 见下表格 看不懂?没关系

  • Python函数式编程指南(三):迭代器详解

    3. 迭代器 3.1. 迭代器(Iterator)概述 迭代器是访问集合内元素的一种方式.迭代器对象从集合的第一个元素开始访问,直到所有的元素都被访问一遍后结束. 迭代器不能回退,只能往前进行迭代.这并不是什么很大的缺点,因为人们几乎不需要在迭代途中进行回退操作. 迭代器也不是线程安全的,在多线程环境中对可变集合使用迭代器是一个危险的操作.但如果小心谨慎,或者干脆贯彻函数式思想坚持使用不可变的集合,那这也不是什么大问题. 对于原生支持随机访问的数据结构(如tuple.list),迭代器和经典fo

随机推荐