Win10/Win11如何刪除search-ms URI搜索協(xié)議相關(guān)的注冊(cè)表項(xiàng)?

發(fā)布時(shí)間：2024-06-14 09:04:36 作者：佚名

Win10/Win11系統(tǒng)有攻擊者濫用 Windows Search 協(xié)議（search-ms URI），通過(guò)推送托管在遠(yuǎn)程服務(wù)器上的批處理文件，實(shí)現(xiàn)傳播惡意軟件的目的，我們可以使用下面兩個(gè)命令防范

網(wǎng)絡(luò)安全公司 Trustw a v e 于 6 月 11 日發(fā)布博文，表示有攻擊者濫用 Windows Search 協(xié)議（search-ms URI），通過(guò)推送托管在遠(yuǎn)程服務(wù)器上的批處理文件，實(shí)現(xiàn)傳播惡意軟件的目的。

Windows Search 協(xié)議是一個(gè)統(tǒng)一資源標(biāo)識(shí)符（URI），應(yīng)用程序通過(guò)調(diào)用可以打開(kāi) Windows 資源管理器，使用特定參數(shù)執(zhí)行搜索。

雖然大多數(shù) Windows 搜索會(huì)查看本地設(shè)備的索引，但也可以強(qiáng)制 Windows Search 查詢遠(yuǎn)程主機(jī)上的文件共享，并為搜索窗口使用自定義標(biāo)題。

我們?cè)?Trustwa ve 報(bào)告，已經(jīng)有證據(jù)表明，黑客通過(guò)濫用 Windows Search 協(xié)議，實(shí)現(xiàn)分發(fā)惡意軟件的目的。

Trustwa ve 注意到一封惡意電子郵件，其中包含一個(gè)偽裝成發(fā)票文檔的 HTML 附件，該附件被放置在一個(gè)小的 ZIP 壓縮包中。ZIP 有助于躲避安全 / A V 掃描儀，因?yàn)檫@些掃描儀可能無(wú)法解析存檔中的惡意內(nèi)容。

HTML 文件使用<meta http-equiv="refresh"> 標(biāo)記，讓瀏覽器在打開(kāi) HTML 文檔時(shí)自動(dòng)打開(kāi)惡意 URL。

如果由于瀏覽器設(shè)置阻止重定向或其他原因?qū)е略⑿率?，作為一種后備機(jī)制，錨標(biāo)簽（anchor tag）會(huì)提供一個(gè)指向惡意 URL 的可點(diǎn)擊鏈接，不過(guò)這需要用戶參與操作。

攻擊者通過(guò)以下參數(shù)，在遠(yuǎn)程主機(jī)上執(zhí)行搜索：

Query: 搜索標(biāo)有“INVOICE”的項(xiàng)目。
Crumb：指定搜索范圍，通過(guò) Cloudflare 指向惡意服務(wù)器。
Displayname: 將搜索顯示重新命名為 "下載"，以模仿合法界面。
Location: 使用 Cloudflare 的隧道服務(wù)掩蓋服務(wù)器，將遠(yuǎn)程資源顯示為本地文件，讓其看起來(lái)合法。

接下來(lái)，搜索會(huì)從遠(yuǎn)程服務(wù)器檢索文件列表，顯示一個(gè)以發(fā)票命名的快捷方式（LNK）文件。如果受害者點(diǎn)擊該文件，就會(huì)觸發(fā)同一服務(wù)器上的批腳本（BAT）。

為防范這種威脅，Trustwa ve 建議執(zhí)行以下命令，刪除與 search-ms / search URI 協(xié)議相關(guān)的注冊(cè)表項(xiàng)：

reg delete HKEY_CLASSES_ROOT\search /f
reg delete HKEY_CLASSES_ROOT\search-ms /f

Tag：Win10 Win11 搜索協(xié)議注冊(cè)表

相關(guān)文章

Win11怎么不顯示聚焦圖片? 通過(guò)注冊(cè)表設(shè)置是否顯示聚焦圖片的方法
win11聚焦圖片可以自己設(shè)置顯示或者不顯示，很多朋友不會(huì)設(shè)置，今天我們就來(lái)看看通過(guò)修改注冊(cè)表來(lái)實(shí)現(xiàn)這個(gè)功能的技巧
2024-03-28
如何解決win11粘滯鍵無(wú)法關(guān)閉? Win11更改注冊(cè)表禁用粘滯鍵的技巧
如何解決win11粘滯鍵無(wú)法關(guān)閉？粘滯鍵可以幫助我們實(shí)現(xiàn)一些快速操作，但是玩游戲的時(shí)候，經(jīng)常會(huì)按到粘滯鍵彈出而影響了游戲操作，詳細(xì)請(qǐng)看下文介紹
2024-01-02
Win11怎么將Copilot添加到右鍵菜單? Win11注冊(cè)表將Copilot加入右鍵快捷
Win11怎么將Copilot添加到右鍵菜單？右鍵菜單中有很多常用功能，想要將Copilot加入，該怎么操作呢？下面我們就來(lái)看看Win11注冊(cè)表將Copilot加入右鍵快捷的技巧
2023-11-06
在 Win11上無(wú)法通過(guò)策略或注冊(cè)表禁用微軟 Defender的解決方法
IT 管理員反饋：在 Win11 上無(wú)法通過(guò)策略或注冊(cè)表禁用微軟 Defender，本文就為大家?guī)?lái)了詳細(xì)的介紹，一起看看吧
2023-10-17
如何更改Windows標(biāo)準(zhǔn)用戶? Win11注冊(cè)表更改標(biāo)準(zhǔn)用戶UAC行為的技巧
如何更改Windows標(biāo)準(zhǔn)用戶？win11系統(tǒng)中想要修改用戶賬戶控制行為，在哪里設(shè)置呢？下面我們就來(lái)看看Win11注冊(cè)表更改標(biāo)準(zhǔn)用戶UAC行為的技巧
2023-10-14
Windows11解決任務(wù)欄圖標(biāo)無(wú)法打開(kāi)恢復(fù)注冊(cè)表并修復(fù)關(guān)聯(lián)應(yīng)用
這篇文章主要為大家介紹了Windows11解決任務(wù)欄圖標(biāo)無(wú)法打開(kāi)問(wèn)題，并恢復(fù)注冊(cè)表并修復(fù)關(guān)聯(lián)應(yīng)用，有需要的朋友可以借鑒參考下，希望能夠有所幫助，祝大家多多進(jìn)步，早日升職
2023-10-12
如何修改注冊(cè)表跳過(guò)Win11檢測(cè)?修改注冊(cè)表跳過(guò)Win11檢測(cè)詳細(xì)教程
由于一些舊款電腦硬件不符合Win11的最低要求，很多用戶面臨著無(wú)法升級(jí)的困境，用戶就想通過(guò)修改注冊(cè)表的方式跳過(guò)Win11的硬件檢測(cè)，下文就為大家?guī)?lái)了詳細(xì)方法，一起看看吧
2023-07-26
Win11注冊(cè)表找不到MMC? Win11注冊(cè)表沒(méi)有MMC項(xiàng)的解決辦法
Win11注冊(cè)表找不到MMC？Win11中的注冊(cè)表找不到mmc，該怎么解決這個(gè)問(wèn)題呢？下面我們就來(lái)看看Win11注冊(cè)表沒(méi)有MMC項(xiàng)的解決辦法
2023-02-01
注冊(cè)表成罪魁禍?zhǔn)?微軟確認(rèn)部分Win11/10開(kāi)始菜單存在Bug
微軟確認(rèn)部分 Win11/10 打開(kāi)“開(kāi)始”菜單、搜索和 UWP 應(yīng)用時(shí)存在問(wèn)題，罪魁禍?zhǔn)资菗p壞的注冊(cè)表項(xiàng)或數(shù)據(jù)，這些注冊(cè)表項(xiàng)或數(shù)據(jù)會(huì)影響使用 Microsoft Office API 的應(yīng)用程序
2023-01-25
Win11無(wú)法將值寫入注冊(cè)表項(xiàng)怎么辦?Win11無(wú)法將值寫入注冊(cè)表項(xiàng)解決方法
當(dāng)我們?cè)趙in11安裝軟件或更改設(shè)置時(shí)，可能會(huì)遇到彈出無(wú)法將值寫入注冊(cè)表項(xiàng)的問(wèn)題，這時(shí)候可以嘗試更改組策略或者添加注冊(cè)表權(quán)限的方式來(lái)解決。需要的朋友一起看看吧
2022-07-05