剖析各类恶意网页对策分析—注册表使用全攻略之七
剖析各类恶意网页对策分析—注册表使用全攻略之七
互联网利用IE等的漏洞完全可以让你通过浏览网页让你的电脑面目全非,或者格盘,甚至中下木马,传播病毒,而且这种形式的传播愈演愈烈,闲话少说了,现在来分析一下各类恶意网页。
分析前先介绍一下注册表的修改方法,因为注册表在网页病毒中是中枢,就是通过它让你的电脑面目全非。
第一种方法:直接修改法
就是在运行里敲入regedit,然后进行编辑,这是大家通常修改注册表的方法。
第二种方法:reg包导入法
现在以解锁注册表为例(其实解锁用兔子等工具更好更方便,这里只是说明如何建立reg包)
对于WIN 9x/ME/NT 4.0来说,在记事本把下面的内容另存为*.reg文件,导入即可
REGEDIT4
;这里一定要空一行,否则将修改失败
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dWord:00000000
对于WIN 2000或XP,把 REGEDIT4 改为Windows Registry Editor Version 5.00即可
第三种方法:inf安装法
对于98/ME,把下面的内容保存为.inf后缀文件,右键单击给文件选择安装即可
[version]
signature="$CHICAGO$"
[DEFAULTINSTALL]
ADDREG=unlock.ADD.REG
DELREG=unlock.DEL.REG
[unlock.ADD.REG]
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\system
[unlock.DEL.REG]
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\system
若为2000或XP,将CHICAGO修改为Windows NT
至于其他修改格式,这里不多说,可以自己找找资料,真的不会建立其它的inf包可以和我联系:)
第四种方法:vbs脚本法
把下面的内容保存为.vbs后缀文件
Dim unlock
Set unlock = WScript.CreateObject("WScript.Shell")
unlock.Popup "将为您解开注册表"
unlock.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",0,"REG_DWORD"
第五种方法:呵呵,是以其人之道还治其人之身的方法,这里不介绍
至于在DOS下编辑注册表,这里不再举例说明
请大家切记,修改注册表前一定要备份注册表!!切记!!
知道了方法,现在就来分析各类恶意网站和对付的方针
恶意网站大致可以分成以下几类:
一 利用IE的文本漏洞通过编辑的脚本程序修改注册表的行为
1。轻度修改注册表:比如标题拦,默认主页,搜索页,添加广告等,先来看看其中的一段原代码
//a.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");恶意网页就是通过这个ID修改注册表的。
//Shl.RegWrite("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\ Policies\\Explorer\\NoRun", 01, "REG_BINARY"); 这一句代码可以让你的运行菜单消失。
清除方法:
本文对一般的被修改浏览器的解决方案不作提供,因为现在网上关于如何通过修复注册表来恢复的文章很多 ,大家可以自己找来看看
我认为这一类的修改一般可以通过注册表修复工具来修复,不必手动去修改。
[1] [2] [3] [4] [5]
常用工具有:超级兔子魔法,优化大师,3721魔宝石,杀毒王自带的IE修复器等
瑞星的注册表修复工具:http://it.rising.com.cn/newSite/Channels/anti_virus/Antivirus_Base/TopicExplorerPagePackage/spite ;ful.htm
毒霸的注册表修复工具:http://sh.duba.net/download/other/tool_011027_RegSolve.htm ;
推荐一个很好的在线修复网站www.j3j4.com
补丁:WINDOWS 2000:http://www.microsoft.com/china/windows2000/SP2.htm ;
WINDOWS 9X用户 :http://www.microsoft.com/downloads/release.asp?ReleaseID=32558 ;
2。修改注册表禁止命令形式的修改,目的是不让用户通过注册表修复回去。
最通常的修改是锁住注册表,还有破坏关联:比如.reg,.vbs,.inf等
关于解锁注册表,在前面已经介绍了方法,至于被修改关联,只要我前面说的注册表修改的方法里的关联还 能用,就可以用其中的任意一个,但如果.reg,.vbs,.inf都被修改了,怎么办啊?,也不用怕,把 .exe 后缀改为.com后缀,我一样可以编辑注册表,.com也被改了,怎么办?没那么狠吧,行,我再改后缀为.scr 。嘿嘿,一样还可以修改。
最好的最简单的办法,马上重新启动,按F8进入DOS下,敲入SCANREG/RESTORE,选择以前的正常时的注册表 还原就可以,注意了,一定要选择没被修改时的注册表!如果发现连scanreg都被删除了(一些网站就是这么 狠的,用A盘COPY一个scanreg.exe到COMMAN下即可
有必要在这里说说常见的文件关联的默认值
正常的exe关联为[HKEY_CLASSES_ROOT\exefile\shell\open\command]
默认的键值为:"%1 %*" 将此关联改回去即可使用exe文件
3。修改注册表后留后门,目的让你修改注册表好像成功,重新启动后又恢复到被修改的状态。
这主要是在启动项里留了后门,大家可以打开注册表到(也可以用一些工具比如优化大师等来察看)
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersionRun-
看看有没有可疑的启动项目,这一点最多朋友忽略,哪些启动可疑呢?
我这里给出几个大家需要注意的,启动项里键值有出现.hml和.htm后缀的,最好都去掉,还有有.vbs后缀的 启动项也去掉,还有一个很重要的,如果有这一个启动项,出现有类似键值的,比如:
[1] [2] [3] [4] [5]
system 键值是regedit -s c:\windows……请注意,这个regedit -s 是注册表的一个后门参数,是用来导 入注册表的,这样的选项一定要去掉
还有一类修改会在c:\windows\产生.vbs后缀的文件,或是.dll文件,其实.dll文件实际是.reg文件
此时你要看看c:\windows\win.ini文件,看看load=,run=,这两个选项后面应该是空的,如果有其他程序 修改load=,run=,将=后面程序删除,删除前看看路径和文件名,删除后在到system下删除对应的文件
《剖析各类恶意网页对策分析—注册表使用全攻略之七》相关文章
- 剖析各类恶意网页对策分析—注册表使用全攻略之七
- › 剖析各类恶意网页对策分析—注册表使用全攻略之七
- › 剖析各类恶意网页和IE漏洞对策分析
- 在百度中搜索相关文章:剖析各类恶意网页对策分析—注册表使用全攻略之七
- 在谷歌中搜索相关文章:剖析各类恶意网页对策分析—注册表使用全攻略之七
- 在soso中搜索相关文章:剖析各类恶意网页对策分析—注册表使用全攻略之七
- 在搜狗中搜索相关文章:剖析各类恶意网页对策分析—注册表使用全攻略之七
tag: 注册表,怎么打开注册表,注册表怎么打开,维修资料 - 电脑维修 - 注册表