论文部分内容阅读
笔者的电脑运行速度越来越慢,系统经常弹出奇怪的警告窗口。于是决定重新安装系统,安装过程很顺利,当安装完毕后,系统的运行速度果然飞快。但是,当打开IE后,却发现里面可谓乱七八糟,收藏夹中充斥着垃圾网址,工具栏上按钮凌乱,而且自动打开某个内容杂乱的网页。将IE整理干净,笔者颇有信心,于是将收藏夹中垃圾网址清除,将杂乱的IE加载项,BHO插件等删除。但是,当试图恢复被绑架的IE主页时,却遇到了不小的麻烦,在IE选项窗口中发现和主页相关的内容和按钮全部处于灰色状态,无法对其进行修改,默认的主页为“www.5258.cc”。
使用常规方法,无法为IE主页“松绑”
笔者请出了金山急救箱这款安全利器,对系统进行安全扫描,果然发现一些IE被非法窜改的项目,执行修复操作,原以为这样可以解决问题,不过奇怪的是打开IE后,主页依然被锁定。换用诸如QQ安全管家的修复工具,也无法拯救IE主页。考虑到和IE主页相关的设定信息全部保存在注册表中,笔者决定亲自动手,将IE主页调整回来。
运行Registry WorkShop这款注册表专业编辑工具,在其主界面中点击菜单“Search”-“Find”项,在搜索窗口(如图1)中的“Find what:”栏中输入“www.5258.cc”,点击“Find”按钮,执行搜索操作,Registry WorkShop搜索速度极快,果然在窗口底部的检测列表中发现6处相关的注册表项目遭到非法修改。接着点击“Ctrl+R”项,在替换窗口中的“Replace with”栏中输入“www.baidu.com”,点击“Replace”按钮,执行替换操作,即将原来的垃圾网址替换为指定的网址。当Registry WorkShop替身替换成功后,笔者打开IE,觉得主页应该已经变成自己需要的地址了。但是,网址“www.5258.cc”依然“顽固”地占据着主页,自动打开的还是垃圾页面。
发现端倪,寻找绑架主页的“幕后黑手”
看来,仅仅依靠安全工具,或者对注册表进行修复是无法解决问题的,一定有流氓程序在后台运行,对注册表的变动情况进行监视,当发现IE主页被修复后,立刻对注册表进行恶意修改,恢复对IE主页的控制权。笔者运行“msconfig.exe”程序,在系统配置窗口中的“启动”面板(如图2)中仔细查看,果然发现名为“Printer Services”的启动项比较可疑,与其关联的程序名为“HPGuard.exe”,位于“C:\Users\Administrator\AppData\Roaming\HPGuard”文件夹中。从名称上看,似乎是与HP打印机相关的程序,但是本机上并没有安装任何打印机。笔者打开命令提示符窗口,执行“taskkill /im hpguard.exe /f”命令,将该可疑进程关闭。之后按照上述方法,对注册表进行修复,发现IE的主页终于恢复正常了。
清除流氓程序,自由设置IE主页
进入该程序的目录中,果然发现其并非善类,打开其中名为“HomePage.ini”的文件,发现其中分别针对IE、谷歌浏览器、世界之窗浏览器、360安全浏览器、QQ浏览器、搜狗浏览器等大家常用的浏览器,设置了恶意绑架网站以及对应的命令行参数(如图3)。看来,该恶意程序不仅绑架IE,还绑架其他的常用浏览器。打开“ShutCut.ini”文件,发现其特别针对360安全浏览器,进行了“贴心”的设计,包括对360安全浏览器个人桌面、公共桌面、任务栏等项目,分别进行了路径设定,“精心”为其预备了名为“daohang.5258.cc”的恶意网址(如图4)。可以肯定,对于使用360安全浏览器的用户来说,一定频繁遭到其骚扰。该目录中的“HpHook.dll”文件可能是封装恶意代码的动态库。
不过,打开其中的“$$a$$.bat”批处理文件,发现这是一个卸载程序,看来恶意程序的“开发者”还有些良知,允许用户卸载该恶意程序。了解以上原理后,先将“HPGuard.exe”进程关闭,之后删除该目录,最后清除名为“Printer Services”的启动项,这样终于将IE恢复正常了。至于IE选项窗口中和主页相关的“使用当前页”、“使用默认值”、“使用空白页”等项被锁定呈灰色显示的情况,需要运行“regedit.exe”程序,打开“HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel”、“ HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel”、“ HKEY_USERS\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel”等分支,分别将其右侧的名为“HomePage”的键值设置为0,就可以摆脱上述限制了。
清理不法驱动文件,恢复IE正常功能
一般来说,当发现IE主页被绑架后,可以打开注册表编辑器,点击“Ctrl+F3”键,输入恶意网址内容,对注册表进行全面搜索,发现并清除隐藏恶意网站的键值。但是,有些恶意网址可能会被进行加密处理,例如对于“www.5258.cc”网址来说,经过加密后,会变成“http://%77%77%77%2E%35%32%35%38%2E%63%63/”字样,隐藏在特定的注册表键值中,则很难搜索到。为此可以运行Sreng这款安全工具。在其主界面(如图5)左侧点击“智能搜索”按钮,点击“扫描”按钮,操作完毕后,将扫描结果保存为独立的文件。在该文件中的“浏览器加载项”部分就很容易发现加密后的恶意网址,以及对应的注册表位置,进入可以将其找到并清除。 对以上拯救IE主页的实例分析,可以看到,越来越多的恶意程序已经不满足于对注册表进行简单修改,来实现对IE的劫持,而是采用更加高级的手段进行破坏活动。例如,其可能采用创建驱动程序的手法,从底层侵入系统,这样,当系统启动后,就会自动加载该不法驱动模块,当其被激活后,就会对IE主页以及其他配置项目进行窜改,即使您对注册表进行全面搜索,也无法发现其踪迹。利用AutoRuns这款安全工具,可以看穿其真面目。
在AutoRuns主界面中打开“驱动”面板(如图6),可以显示所有的驱动模块。对于可疑模块,AutoRuns会以黄色进行标识。对于危险性高的模块,AutoRuns会以红色进行标识,对其进行比较分析,可以很容易发现其中的不法分子,对于拿不准的模块,可以在其右键菜单上点击“在线搜索”项,对其进行详细分析。对于确认的不法驱动模块,可以在其右键菜单上点击“删除”项,将其清除。也可以进入WinPE环境,来删除对应的垃圾驱动文件。为了防止出错,可以先点击“跳转到文件夹”项,将对应的驱动文件复制出来,如果删除出错可以及时恢复。
删除恶意DLL模块,让IE远离骚扰
此外,恶意程序还会采用将特制的DLL动态库注入到IE进程中,来动态地绑架IE主页。对此可以运行PowerTool这款安全工具,对进程进行仔细检查,来发现问题所在。例如,当发现IE设置被窜改,使用正常方法无法修复时,可以运行PowerTool,在其主界面中打开“进程管理”面板(如图7),在进程列表中选择“iexplorer.exe”,在窗口底部的“模块”栏中仔细查找,就很容易发现可疑的DLL文件。
清除的方法是关闭IE,然后再打开其存储的路径(例如“C:\Windows\system32”等),找到该DLL文件并对其更名或者删除,并重启系统就可以恢复IE正常设置项目了。有时,当您在修改IE快捷方式各项属性时,系统会弹出“无法将所做的改动保存到 Internet Explorer.lnk 拒绝访问”的提示,表明恶意程序将该快捷方式设置成了只读属性,只需将其属性恢复到正常状态,就可以进行所需的调整操作了。
恢复IE主页的其它小技巧
此外,恶意程序也可能将相关路径的属性设置为只读,例如将“C:\Documents and Settings\Administrator\桌面”、“C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch”等特殊文件夹设置为只读属性,同样可以阻挡用户恢复IE快捷方式的相关属性。如果出现无法取消只读属性的问题,说明权限设置被恶意修改。在上述文件夹属性窗口中的“安全”面板检查当前用户是否拥有对该文件夹的完全控制、修改等权限,设置好合适的权限后,再对其进行修改。
如果对注册表进行修改时,系统弹出错误提示的话,这说明恶意程序对相关注册表键值的权限进行了封锁,为此可以在对应子健的右键菜单上点击“权限”项,针对当前账户启用“完全控制”和“读取”两项权限。如果恶意程序将当前账户从权限列表中删除,则需要点击“高级”按钮,之后添加当前账户,然后赋予其权限,就可以正常操作注册表了。此外,如果在Windows 7等系统中遇到桌面上IE图标无法删除和修改的话,很可能是恶意程序将IE快捷方式设置为共享状态的缘故,处于共享状态的快捷方式是无法被删除的。处理方法很简单,打开IE快捷方式的共享设置界面,将其共享属性消除,之后就可以对其进行修改或删除操作。
使用常规方法,无法为IE主页“松绑”
笔者请出了金山急救箱这款安全利器,对系统进行安全扫描,果然发现一些IE被非法窜改的项目,执行修复操作,原以为这样可以解决问题,不过奇怪的是打开IE后,主页依然被锁定。换用诸如QQ安全管家的修复工具,也无法拯救IE主页。考虑到和IE主页相关的设定信息全部保存在注册表中,笔者决定亲自动手,将IE主页调整回来。
运行Registry WorkShop这款注册表专业编辑工具,在其主界面中点击菜单“Search”-“Find”项,在搜索窗口(如图1)中的“Find what:”栏中输入“www.5258.cc”,点击“Find”按钮,执行搜索操作,Registry WorkShop搜索速度极快,果然在窗口底部的检测列表中发现6处相关的注册表项目遭到非法修改。接着点击“Ctrl+R”项,在替换窗口中的“Replace with”栏中输入“www.baidu.com”,点击“Replace”按钮,执行替换操作,即将原来的垃圾网址替换为指定的网址。当Registry WorkShop替身替换成功后,笔者打开IE,觉得主页应该已经变成自己需要的地址了。但是,网址“www.5258.cc”依然“顽固”地占据着主页,自动打开的还是垃圾页面。
发现端倪,寻找绑架主页的“幕后黑手”
看来,仅仅依靠安全工具,或者对注册表进行修复是无法解决问题的,一定有流氓程序在后台运行,对注册表的变动情况进行监视,当发现IE主页被修复后,立刻对注册表进行恶意修改,恢复对IE主页的控制权。笔者运行“msconfig.exe”程序,在系统配置窗口中的“启动”面板(如图2)中仔细查看,果然发现名为“Printer Services”的启动项比较可疑,与其关联的程序名为“HPGuard.exe”,位于“C:\Users\Administrator\AppData\Roaming\HPGuard”文件夹中。从名称上看,似乎是与HP打印机相关的程序,但是本机上并没有安装任何打印机。笔者打开命令提示符窗口,执行“taskkill /im hpguard.exe /f”命令,将该可疑进程关闭。之后按照上述方法,对注册表进行修复,发现IE的主页终于恢复正常了。
清除流氓程序,自由设置IE主页
进入该程序的目录中,果然发现其并非善类,打开其中名为“HomePage.ini”的文件,发现其中分别针对IE、谷歌浏览器、世界之窗浏览器、360安全浏览器、QQ浏览器、搜狗浏览器等大家常用的浏览器,设置了恶意绑架网站以及对应的命令行参数(如图3)。看来,该恶意程序不仅绑架IE,还绑架其他的常用浏览器。打开“ShutCut.ini”文件,发现其特别针对360安全浏览器,进行了“贴心”的设计,包括对360安全浏览器个人桌面、公共桌面、任务栏等项目,分别进行了路径设定,“精心”为其预备了名为“daohang.5258.cc”的恶意网址(如图4)。可以肯定,对于使用360安全浏览器的用户来说,一定频繁遭到其骚扰。该目录中的“HpHook.dll”文件可能是封装恶意代码的动态库。
不过,打开其中的“$$a$$.bat”批处理文件,发现这是一个卸载程序,看来恶意程序的“开发者”还有些良知,允许用户卸载该恶意程序。了解以上原理后,先将“HPGuard.exe”进程关闭,之后删除该目录,最后清除名为“Printer Services”的启动项,这样终于将IE恢复正常了。至于IE选项窗口中和主页相关的“使用当前页”、“使用默认值”、“使用空白页”等项被锁定呈灰色显示的情况,需要运行“regedit.exe”程序,打开“HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel”、“ HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel”、“ HKEY_USERS\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel”等分支,分别将其右侧的名为“HomePage”的键值设置为0,就可以摆脱上述限制了。
清理不法驱动文件,恢复IE正常功能
一般来说,当发现IE主页被绑架后,可以打开注册表编辑器,点击“Ctrl+F3”键,输入恶意网址内容,对注册表进行全面搜索,发现并清除隐藏恶意网站的键值。但是,有些恶意网址可能会被进行加密处理,例如对于“www.5258.cc”网址来说,经过加密后,会变成“http://%77%77%77%2E%35%32%35%38%2E%63%63/”字样,隐藏在特定的注册表键值中,则很难搜索到。为此可以运行Sreng这款安全工具。在其主界面(如图5)左侧点击“智能搜索”按钮,点击“扫描”按钮,操作完毕后,将扫描结果保存为独立的文件。在该文件中的“浏览器加载项”部分就很容易发现加密后的恶意网址,以及对应的注册表位置,进入可以将其找到并清除。 对以上拯救IE主页的实例分析,可以看到,越来越多的恶意程序已经不满足于对注册表进行简单修改,来实现对IE的劫持,而是采用更加高级的手段进行破坏活动。例如,其可能采用创建驱动程序的手法,从底层侵入系统,这样,当系统启动后,就会自动加载该不法驱动模块,当其被激活后,就会对IE主页以及其他配置项目进行窜改,即使您对注册表进行全面搜索,也无法发现其踪迹。利用AutoRuns这款安全工具,可以看穿其真面目。
在AutoRuns主界面中打开“驱动”面板(如图6),可以显示所有的驱动模块。对于可疑模块,AutoRuns会以黄色进行标识。对于危险性高的模块,AutoRuns会以红色进行标识,对其进行比较分析,可以很容易发现其中的不法分子,对于拿不准的模块,可以在其右键菜单上点击“在线搜索”项,对其进行详细分析。对于确认的不法驱动模块,可以在其右键菜单上点击“删除”项,将其清除。也可以进入WinPE环境,来删除对应的垃圾驱动文件。为了防止出错,可以先点击“跳转到文件夹”项,将对应的驱动文件复制出来,如果删除出错可以及时恢复。
删除恶意DLL模块,让IE远离骚扰
此外,恶意程序还会采用将特制的DLL动态库注入到IE进程中,来动态地绑架IE主页。对此可以运行PowerTool这款安全工具,对进程进行仔细检查,来发现问题所在。例如,当发现IE设置被窜改,使用正常方法无法修复时,可以运行PowerTool,在其主界面中打开“进程管理”面板(如图7),在进程列表中选择“iexplorer.exe”,在窗口底部的“模块”栏中仔细查找,就很容易发现可疑的DLL文件。
清除的方法是关闭IE,然后再打开其存储的路径(例如“C:\Windows\system32”等),找到该DLL文件并对其更名或者删除,并重启系统就可以恢复IE正常设置项目了。有时,当您在修改IE快捷方式各项属性时,系统会弹出“无法将所做的改动保存到 Internet Explorer.lnk 拒绝访问”的提示,表明恶意程序将该快捷方式设置成了只读属性,只需将其属性恢复到正常状态,就可以进行所需的调整操作了。
恢复IE主页的其它小技巧
此外,恶意程序也可能将相关路径的属性设置为只读,例如将“C:\Documents and Settings\Administrator\桌面”、“C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch”等特殊文件夹设置为只读属性,同样可以阻挡用户恢复IE快捷方式的相关属性。如果出现无法取消只读属性的问题,说明权限设置被恶意修改。在上述文件夹属性窗口中的“安全”面板检查当前用户是否拥有对该文件夹的完全控制、修改等权限,设置好合适的权限后,再对其进行修改。
如果对注册表进行修改时,系统弹出错误提示的话,这说明恶意程序对相关注册表键值的权限进行了封锁,为此可以在对应子健的右键菜单上点击“权限”项,针对当前账户启用“完全控制”和“读取”两项权限。如果恶意程序将当前账户从权限列表中删除,则需要点击“高级”按钮,之后添加当前账户,然后赋予其权限,就可以正常操作注册表了。此外,如果在Windows 7等系统中遇到桌面上IE图标无法删除和修改的话,很可能是恶意程序将IE快捷方式设置为共享状态的缘故,处于共享状态的快捷方式是无法被删除的。处理方法很简单,打开IE快捷方式的共享设置界面,将其共享属性消除,之后就可以对其进行修改或删除操作。