作者:   付謙                              

　　通過閱讀上篇文章，你是否對自己的瀏覽器抱有更大信心了呢？我相信經(jīng)過這樣一番強化后，日常瀏覽接觸到的內(nèi)容將不會再對你的瀏覽器構成什么威脅了。然而，對于那些常常將瀏覽器置身于危險環(huán)境中的朋友們，你們將不可避免地遭到惡意代碼的侵襲，這時請不要慌張，正確的處理將使你們化險為夷。

　　第一部分：

　　首先我們來說說潛在威脅：通常情況下，當你瀏覽一個含有惡意腳本的網(wǎng)站時，你會碰到不止一種惡意腳本，而是多個。它們分工明確：一部分負責修改注冊表；一部分負責將自己添加到進程和啟動程序。這一切有可能發(fā)生在一分鐘之內(nèi)，但也有可能發(fā)生在你重起電腦后。當然，這一切很有可能沒有完成就因為其它原因終止了，而我們要做的就是養(yǎng)成一些好的習慣，這樣即使我們受到了惡意腳本的侵擾，良好的習慣也可以減輕甚至破壞它們的攻擊過程。

　　其實所謂消除潛在威脅無非是定期清除一下internet臨時文件夾、歷史紀錄、自動完成和cookie，但有兩處我認為一些符合我描述條件的朋友需要注意：若你是使用頁面模式進行登錄的管理員或者你的郵箱非常的重要，例如論壇版主或郵件服務，如果黑客想竊取你們的權限搞破壞或竊取個人資料，那么機器中存留的cookie會成為黑客得逞的助手之一，所以如果有必要，可以將需要輸入用戶名和密碼的頁面放入編輯cookie策略中

　　若像論壇之類必須要cookie支持的頁面則最好每次登錄時都選擇不保存cookie，這樣在你關閉瀏覽器的時候cookie就會被刪除。

　　第二處需要注意的地方在internet臨時文件夾，不過需要注意的人只是習慣脫機瀏覽或者常常去這個文件夾找東西的人。一把情況下，我們可以選中關閉瀏覽器時清空internet臨時文件夾。

　　但當你需要保留這個文件夾中的內(nèi)容時，這個選項就必須禁止

　　因為開啟這項IFRAME功能同樣意味著緩存中的有害程序可以直接執(zhí)行，這無異于增加了我們的危險

　　第二部分：

　　簡單的防范工作只是前站，下面才是真正的恢復之旅。在恢復的時候，多種方法的使用得當可以使我們干凈徹底地恢復瀏覽器和系統(tǒng)。下面我將以非常具體的操作來展示如何恢復。

　　還記得上篇一張圖中的被描述成五毒俱全的網(wǎng)站嗎？我已經(jīng)故意讓它徹底地感染了我。

　　先看看它都做了些什么：

　　1、  瀏覽器被改得面目全非慘不忍睹

　　瀏覽器的相貌徹底被改變了，畫框的地方被加上了不應該有的內(nèi)容，這是ActiveX控件干的

　　2、  注冊表編輯器被鎖

　　3、  瀏覽器自動打開一些網(wǎng)頁和不明進程出現(xiàn)

　　4、  磁盤中出現(xiàn)未知可執(zhí)行文件

　　5、  啟動項被改，rundll32.exe和IE被加shell

　　至于這些惡意程序?qū)ψ员砗蜑g覽器程序進行的修改就更多了，但由于這部分比較雜，況且最終可以修復，我就不羅列了，反正此時的瀏覽器確實已經(jīng)比較慘了。

　　接下來就是修復的步驟：

　　1、  斷開網(wǎng)路連接、清除所有上網(wǎng)記錄。

　　這樣做的目的主要是為了斷絕二次感染的途徑，在清除的上網(wǎng)記錄中我們需要清除包括internet臨時文件夾、歷史記錄、cookie、記住密碼和自動完成表單。這樣還不夠，我們需要到%windows% Downloaded Program Files查看已經(jīng)被安裝的ActiveX控件

　　如果不清除這其中有害的控件，不管你之前做了哪些修改，再次連接到網(wǎng)絡時系統(tǒng)也會把它們默認成為可安全執(zhí)行的操作而再次污染你的瀏覽器。所以清除的最后一步就是通過查看這些控件的屬性確定哪些是有用的，至于不確定和肯定是有害的，不妨一并刪除，反正不確定的那個部分時可以再次下載的。圖中的那個IEToolbarCab插件就是先前圖中在IE底端出現(xiàn)的那個工具欄，我將它刪除后工具欄便立刻消失了。像圖中前三個插件，通過查看它們屬性中的基本代碼你就會發(fā)現(xiàn)其中的奧秘，原來這些插件就是用來在每次啟動時讀取有害文件，篡改瀏覽器的，元兇就是最底下的那行基本代碼。讀不懂它不要緊，直接刪除它我們就可以不再受到它的影響了。

　　2、  查看可疑的系統(tǒng)進程、服務和啟動項

　　這個部分是我們與惡意程序進行斗爭的關鍵一步，在這部分的操作都只是為了一個目的：消除任何可導致惡意程序在系統(tǒng)重起時不被加載。做好這一步，即使我們的硬盤中會留有一些惡意程序的運行文件，這些程序也許會隱藏在很深的地方，但是由于缺少了啟動它們的手段，所以想感染我們也會很困難了。在這里我向大家推薦一個大家非常熟悉但卻幾乎不怎么用到的工具：系統(tǒng)信息。

　　在圖中我們清楚地看到紅框標記的地方其實就是當前進程、服務項、啟動項和IE文件管理。這四個部分時我們常用的，但我們幾乎不怎么在這里用。通過圖大家會發(fā)現(xiàn)系統(tǒng)信息提供的進程與資源管理器中的相比不僅列出了進程，而且還表明了進程的路徑，這對我們來說是個莫大的幫助，因為這樣我們可以輕而易舉地判定哪些是惡意程序的進程并直接找到它們的所在位置。當然系統(tǒng)信息有個小小的缺憾，那就是它只能夠查看不能修改，不過這個問題當然難不倒我們，我們都知道哪些其他地方可以打開它們。

　　IE文件管理的用處最后會提到，我們先來具體地操作一下，看看如何干凈徹底地斷絕惡意程序的生路。

　　首先我們來查看進程中有哪些比較可疑

　　很明顯地紅框標示的相當可疑，于是我記下他們的路徑和文件名等待一會刪除。大家看到那個svch0st.exe了嗎？這是惡意程序最常用也最容易得逞的方法之一，就是通過偽裝文件名騙過我們的眼睛，除了像這個進程這樣更改名稱，還有改變大小寫、使用shell（可以通過路徑判斷）的手段，所以我們在查看可疑程序時一定仔細分辨，有些人一定會問windows的進程那么多我怎么知道哪些是真的？其實很簡單，在google上可以找到許多詳盡的進程描述。

　　接下來是服務

　　這次故意被感染一個遺憾的地方就是我沒有受到以建立服務方式進行的攻擊，但卻有惡意程序會在你的電腦里建立一個服務，通常情況下使用這種手段的惡意程序還很厲害，所以這里仍然不能放過。服務項確實也有很多，想了解詳細的服務仍然 可以在google上找到很多。

　　啟動項

　　這里已經(jīng)不再有什么秘密，這是一個所有人都回第一個想到的地方。把在這里看到的和進程中的相結合，惡意程序被我們挖出來了。

　　結合這三處觀察，我們就可以使用相關程序進行操作了：殺掉進程，刪除源文件，然后再將啟動項中的垃圾清理掉------我們已經(jīng)完成了一半的工作了

　　3、  恢復受損的注冊表

　　注冊表的恢復手段多樣，可繁可簡，根據(jù)實際情況大家可以挑選其中一個方法。

　?。?）最后一次正確配置

　　如果你的受損情況不是很嚴重，并且你及時的發(fā)現(xiàn)并采取了措施，那么可以重新啟動系統(tǒng)，在系統(tǒng)啟動前按F8鍵，然后選擇“最后一次正確配置”，這樣可以非常簡單的恢復。

　?。?）組策略恢復

　　適用于系統(tǒng)的可視化部分被大量更改和熟悉組策略的用戶，在運行菜單中輸入gpedit.msc可以進入組策略編輯器，然后找到用戶配置—系統(tǒng)，在這里可以解鎖被鎖的注冊表。除此而外，在組策略中還有許多針對IE瀏覽器和桌面的設置，大家有興趣可以自己找找看。事實上，組策略編輯器就是注冊表鍵值的編輯器，在這里進行的所有操作和網(wǎng)上許多文章中介紹的效果是一樣的，當然我使用它的一個主要目的是解除鎖定。

　　（3）第三方軟件恢復

　　可能是最多人使用的方法，而且網(wǎng)上這方面內(nèi)容比較多，常用的像3721之類。其實它們工作的原理就是修改注冊表的相關鍵值，不過有一點我們必須明確，這些程序是死的，它們不能做到面面俱到，所以就算是使用它們恢復，我們也需要留意有沒有被修復的地方并及時做出處理。

　　4、  重新啟動計算機，檢查還沒殺掉的shell

　　看到這個提示有些人可能會比較親切，事實上當我們看到這個提示后首先想到的就是有shell，找到它的辦法很簡單，我們只需要在注冊表中輸入提示中的那個文件，然后搜索。我通過搜索后發(fā)現(xiàn)這個提示被掛接載在explorer.exe上了，于是我將鍵值多余的地方改掉下次開機便沒有這個提示了。同時也希望大家記住這個鍵值

　　HLMsoftwaremicrosoftinternet explorerwinntcurrentversionwinlogon

　　藏在這里的shell比較多。

　　5、  修復受損的文件

　　文章終于接近尾聲了，在我們進行了上面的操作以后，惡意程序已經(jīng)基本被我們趕出了計算機，剩下的工作只有清掃一下受損的文件了。還記得剛才那個在系統(tǒng)信息中記錄IE瀏覽器文件情況的對話框嗎？？如果你發(fā)現(xiàn)文件有缺失，你可以有針對性地copy一份到你的本地計算機，如果你的瀏覽器因為修改造成無法啟動，還有一個更徹底的辦法就是卸載瀏覽器。卸載瀏覽器可不是覆蓋安裝，我們要徹底清楚注冊表中的垃圾就必須卸載，但瀏覽器又不能從添加/刪除中卸載，怎么辦呢？別著急，我們可以用以下方法：

　　首先將windows xp光盤插入光驅(qū)，然后單擊“開始→運行”命令，在“運行”對話框中輸入“rundll32 setupapi,installhinfsectiondefaultinstall 132 c :windowsinfie.inf”命令，回車后系統(tǒng)會打開安裝進程對話框，開始重新安裝ie6.0。

　　提示：如果你的windows xp系統(tǒng)不是安裝在c盤，請將“c＼windows＼inf＼ie．inf”修改為“％systemroot％＼inf＼ie．inf”。  ------引自ZDNet China 論壇jackma同學的文章

　　這樣瀏覽器就可以被完全的恢復了。

　　然后如果我們發(fā)現(xiàn)系統(tǒng)文件有損壞比如顯示不正?；蛘吖δ苁軗p，我們可以在“運行”中輸入SFC，這個命令用來檢查受損的系統(tǒng)文件并修復。通過這最后一個步驟，我們就徹底完成了對惡意程序的查殺和系統(tǒng)的恢復。

　　結束語：寫到最后，我又看到了對IE瀏覽器不利的消息，然而，不管我們使用IE還是網(wǎng)景還是opera，網(wǎng)上的攻擊將永不停息。從這個角度看，我們一方面等待微軟推出更加出色的瀏覽器，另一方面我們也應該注意日常上網(wǎng)的防護工作，只有這樣我們才能真正盡興地在互聯(lián)網(wǎng)中暢游。

最新評論