|
发信人: gzcsl(诗亮.福尔摩诗) 整理人: gzcsl(2002-07-16 20:13:06), 站内信件 |
| 现在最让网迷头痛的除了木马、病毒之外,恐怕就是那种修改注册表的恶意代码了,它们不仅随意篡改用户IE浏览器的各种属性,如标题栏、起始页等等,甚至有时还会在注册表中加入一些特殊的键值来达到禁用注册表编辑或限制程序运行的目的。面对如此猖獗的恶意代码,我们岂能坐以待毙,下面笔者谈谈自己的一些经验和体会。
一、诊 查知被篡改的键值 常用的方法是已知恶意代码修改的键值,并将其改回。但显然这不是万全之计,如果代码所修改的是一些我们不熟悉的键值,那我们岂不是要大动干戈地还原注册表,所以必须学会一种以不变应万变的查知法。 可以对注册表被修改键值进行监控的软件有很多,比如RegShot、RegSnap等等,笔者就以RegSnap为例,简单地介绍一下其使用方法: 
首先要记录原始注册表的信息,双击运行RegSnap,在“Startup wizard”对话框中点击[New snap],然后在弹出的“Save snapshot”窗口中点击[OK]对注册表进行第一次扫描,扫描结束后会产生一个快照文件,我们将其保存为“Regsmp1.rgs”。当注册表被恶意代码篡改后,再次运行RegSnap进行第二次扫描,并打开原先保存的“Regsmp1.rgs”,单击工具栏的[Compare]按钮进行比较,程序会自动分析两个快照文件,并将对比结果整理出来(默认为网页格式),这样我们就可以非常容易地找到恶意代码在注册表中修改或新建的键值。 二、疗 妙手偏方还原大法 使用手工的方法对被修改的键值进行还原,未免过于麻烦,尤其是那些经常被恶意代码关照的用户。如果恶意代码在注册表[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]分支中加入“RestrictRun”键值来限制程序的运行或者利用注册表来运行一个自启动程序,你恐怕就有苦难言了。我们可以将一些极有可能被修改的键值和重要的注册表分支合并编写了一个REG文件,比如E:\Haiyuan.reg,内容大致如下: REGEDIT4 [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <导出的RUN分支> …… 编写时注意不同分支间应空行,分支前面的减号表示先将此分支删除,否则导入时新建的键值将会保留下来,你可以自行添删其中的注册表项目。当恶意代码修改了注册表,造成登录后屏幕被锁死或者程序被限制运行,可以在系统启动时按[F8]键,进入菜单选项,选择“Command Prompt Only”(注意,并非像有的文章所说的直接用软、光盘启动进入纯DOS状态),等系统加载了System.dat后,在命令提示符下输入“Regedit E:\Haiyuan.reg”将其导入。当然也可以将命令直接加入Autoexec.bat批处理文件中,让其自行导入。 三、防 多管齐下安全为先 为了阻止恶意代码修改注册表,建议采取以下三种预防措施。 1、将IE升级到6.0,再打开含有此类典型代码的网页时,会询问你是否下载Java虚拟机组件,不进行下载就可以避免恶意代码的运行。 2、安装最新的杀毒软件,比如《瑞星2002增强版》、《KV3000杀毒王》等,这些软件能在一定的范围内处理常见的恶意网页代码。 3、鉴于这种典型的恶意代码调用了“ActiveXComponent”类,所以我们可以在“查找:所有文件”对话框包含一栏输入“ActiveXComponent”,对“C:\Windows\Java\Packages”文件夹进行查找,并将含有“ActiveXComponent.class”类的ZIP文件重命名。如果不放心的话,可以直接将“Java”文件夹进行更名。尽管这样可能会使一些精彩的网页不能正常显示,但相对于用户的安全性,这种代价也是值得的。 ---- 宽带网络 广州IELTS 流水情怀 童年往事 筝雨飞扬  
|
|
[关闭][返回] |