浏览器劫持
“浏览器劫持”是个沉重的话题,经常上网的朋友恐怕无一幸免,“浏览器劫持”(Browser Hijack)是一种流行的网络攻击手段,它主要通过BHO、控件注册、DLL插件、Hook技术、Winsock LSP、远程进程、RootKit等技术渗透到用户的浏览器或操作系统中为所欲为,轻者把用户带到自家门户网站,严重的则会在用户计算机中收集敏感信息,危及用户隐私安全。但在大多情况下,用户只有在受到劫持后才会发现异常情况,这时候已经太迟了。目前,浏览器劫持已经成为Internet用户最大的威胁之一,从这个角度看,打响一场浏览器劫持的反击战迫在眉睫了。
  BHO(Browser Helper Object,浏览器辅助对象)是微软早在1999年推出的作为浏览器对第三方程序员开放交互接口的业界标准,它是一种可以让程序员使用简单代码进入浏览器领域的“交互接口”。通过BHO接口,第三方程序员可以自己编写代码获取浏览器的一些行为(Action)和事件通知(Event),如“后退”、“前进”、“当前页面”等,甚至可以获取浏览器的各个组件信息,像菜单、工具栏、坐标等。由于BHO的交互特性,程序员还可以使用代码去控制浏览器的行为,比如常见的修改替换浏览器工具栏,在浏览器界面上添加自己的程序按钮等操作,而这些操作都被视为“合法”的,这就是一切罪恶的根源。
  防御一:到BHO软件安装文件夹或控制面板中去看一看有没有卸载程序,如果有就直接卸载了。
  防御二:通过IE自带的工具“管理加载项”(只有Windows XP SP2的IE6中才有,SP1或Windows 2000下的用户可用3721IE修复专家中的“高级修复”),把其中一些不常见或是自己不知道的加载项禁用。禁用成功后,可重启计算机,然后到相应的文件夹下,把该程序删除即可。如果到这一步能成功,那就“谢天谢地了”。如果不成功,到安全模式下,再用上面的方法试一试。
  防御三:用HiJackThis工具清除。HiJackThis是国外程序员写得相当不错的系统检查程序,它能够检查系统中几乎所有可以隐藏不良程序的角落,让他们现出原形,因此大家可以下载学习一下,尤其对于中高级用户进行手工清除时,这个工具可以说是必不可少的。对于BHO可以先用它进行系统扫描,列出的就是BHO的内容,选择可疑项进行修复。在正常模式下如果删不掉,也可到安全模式下试一试。
  可能有战友会遇到这样的情形,不管在正常模式还是在安全模式下都不能成功禁用BHO,尤其出现删除文件时提示“文件正在被使用,无法删除”,那就还要费些力气。这是因为BHO
是可以被Windows的外壳进程加载的,也就是那个Explorer,进了系统,只要桌面和窗口还在,那么就别想删除掉它。要解决这个问题,先要尝试用程序来去除它的组件注册信息,是32位系统下的DLL注册和反注册工具。例如反注册mmsassist.dll,只需要用命令提示符进入文件的目录里,执行 /u mmsassist.dll即可(可以在控制面板中看到,其实有些程序的卸载就是用的这个命令),然后打开任务管理器,把进程停掉,最后直接在任务管理器里执行cmd,进入文件目录后输入del mmsassist.dll就完成了该文件的清理工作。
 
揪出潜藏的内鬼
有程序正在修改镜像劫持  如果清理了恶意劫持,重启机器后却发现它又回来了,这就是Windows系统中自启动技术在给它们“帮忙”。用HiJackThis软件的混合工具,生成启动项列表,就可以发现自启动程序的地方足足有几十处之多。也就是说系统提供给程序几十种自启动的方法,给那些别有用心的人以尽情发挥的广阔天地,也让网络用户防不胜防!
  但也不用气馁,只要耐心去处理,再借助一些工具软件,还是可以战胜它们的。
  经典的启动菜单
  单击“开始→程序”,你会发现一个“启动”菜单,这就是经典的Windows启动位置,右击“启动”菜单选择“打开”即可将其打开,其中的程序和快捷方式都会在系统启动时自动运行。
  最常见的启动位置当前用户的自启动文件夹,所有用户的自启动文件夹。
  注册表的启动键
  注册表是启动程序藏身之处最多的地方,主要有以下几项。
  1.Run键
  Run键是病毒最青睐的自启动之所,该键位置是[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]和[HKEY_LOCAL_MACHINE\Software\M-icrosoft\Windows\CurrentVersion\Run],其下的所有程序在每次启动登录时都会按顺序自动执行。还有一个不被注意的Run键,位于注册表[HKEY_CURRENT_USER\Software\Mirosoft\Windows\CurrentVersion\Policies\Explorer\Run]和
和[HKEY_LOCAL_MACHINE\SOFTWARE\Mi-crosoft\Windows\CurrentVersion\Policies\Explorer\Run],由于系统配置实用程序并不会检测这个地方,常被一些新型后门钻空子,加载项会随着Explorer一起运行,也要仔细查看。
注册表是最常见的启动藏身之所,很多程序会选择在Run键里面落户。所以这里基本上是入门级的监控对象!
  2.RunOnce键
  RunOnce键在注册表中的位置是[HKEY_CURRENT_USER\Software\Microsoft\Wind-ows\CurrentVersion\RunOnce]和[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]键,与Run不同的是,RunOnce下的程序仅会被自动执行一次。
  3.RunServicesOnce
  RunServicesOnce键位于[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServ-icesOnce]
和[HKEY_LOCAL_MACHINE\So-ftware\Microsoft\Windows\CurrentVersion\RunServicesOnce]下,其中的程序会在系统加载时自动启动执行一次。
  4.RunServices键
  RunServices继RunServicesOnce之后启动的程序,位于注册表如下位置:[HKEY_CURRENT_USER\Software\Micr-osoft\Windows\CurrentVersion\RunServices]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-Services]键。
  5.RunOnceEx键
  该键是Windows XP/2003特有的自启动注册表项,在注册表的具体键值位置是:[HKEY_CURRENT_USER\SOFTWARE\Mi-crosoft\Windows\CurrentVersion\RunOnceEx]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOn-ceEx]。
  6.Load键
  [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]的load键值里面的程序也可以实现自启动。
  7.Winlogon键
  该键位于注册表[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlog-on]和[HKEY_LOCAL_MACHINE\SOFTWA-RE\Microsoft\Windows NT\CurrentVersi-on\Winlogon],注意下面的Notify、Userinit、Shell键值也会有自启动程序,而且其键值可用逗号分隔,从而实现登录的时候启动多个程序。
  8.其他键值
  其它注册表位置还有一些其他键值,经常会有一些程序在这里自动运行,如:[HKEY_CURRENT_USER\Software\Micro-soft\Windows\CurrentVersion\Policies\System\Shell]、[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceO
bjectDelayLoad]、[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts]、[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts]等。
 
常用的系统配置文件启动
 古老的批处理启动
  从DOS时代过来的朋友肯定知道autoexec.bat(位于系统盘根目录)这个自动批处理文件,它会在电脑启动时自动运行,早期许多病毒就看中了它,使用deltree、format等危险命令来破坏硬盘数据。如“C盘杀手”就是用一句“deltree /y c:\*.*”命令,让电脑一启动就自动删除C盘所有文件,害人无数。
  在Windows的配置文件(包括Win.ini、System.ini和wininit.ini文件)也会加载一些自动运行的程序。
  1.Win.ini文件
  使用“记事本”打开Win.ini文件,在[windows]段下的“Run=”和“LOAD=”语句后面就可以直接加可执行程序,只要程序名称及路径写在“=”后面即可。不同的是“load=”后面的程序在自启动后最小化运行,而“run=”后程序则会正常运行。
  2.System.ini文件
  使用“记事本”打开System.ini文件,到[boot]段下“shell=”语句,该语句默认为“”,启动的时候运行Windows外壳程序。病毒可不客气,如“妖之吻”病毒干脆把它改成“shell=c:\”,如果你强行删除“妖之吻”病毒程序,Windows就会提示报错,让你重装Windows,吓人不?也有客气一点的程序,如将该句变成“ 其他程序名”,看到这样的情况,后面的其他程序名一定是恶意程序。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。