2023年11月25日发(作者:)
IE劫持原理(解析雅虎与百度流氓原理-IE劫持)
为什么“浏览器劫持”能够如此猖狂呢?放眼众多论坛的求助贴,我们不时可以看到诸如“我的IE被主页
被改了,我用杀毒工具扫了一遍都没发现病毒,我把主页改回自己的地址,可是一重启它又回来了!”、
“我的系统一开机就跳出一个广告,我明明用了最新版的杀毒软件的啊!”等这类关于IE异常问题的求助,
80%的提问者都表示纳闷,他们已经安装了杀毒软件,可是IE仍然被“黑”了,这又是为什么?
其实这些都是典型的“浏览器劫持”现象,但是受害者不是已经安装了杀毒软件吗?为什么浏览器依
然躲不过这只黑手?许多用户对这个领域都存在一种误区心理:浏览器劫持?我有最新的杀毒软件,我不
怕!
于是,当他们遭遇“浏览器劫持”时,惊讶了。
要知道,杀毒软件自身也只是一种辅助工具,它不可能完全保护系统的安全,更何况,杀毒软件用户
必须知道一个事实:“浏览器劫持”的攻击手段是可以通过被系统认可的“合法途径”来进行的!杀毒软
件只能通过“特征码”的形式来判断程序是否合法,但这是建立在人为定义以后的,而实施“浏览器劫持”
的程序可以有很多,防不胜防。
为什么说“浏览器劫持”可以说是合法的呢?因为大部分浏览器劫持的发起者,都是通过一种被称为
“BHO”(Browser Helper Object,浏览器辅助对象)的技术手段植入系统的。
BHO是微软早在1999年推出的作为浏览器对第三方程序员开放交互接口的业界标准,它是一种可以
让程序员使用简单代码进入浏览器领域的“交互接口”(INTERACTIVED Interface)。通过BHO接口,第
三方程序员可以自己编写代码获取浏览器的一些行为(Action)和事件通知(Event),如“后退”、“前
进”、“当前页面”等,甚至可以获取浏览器的各个组件信息,像菜单、工具栏、坐标等。由于BHO的交
互特性,程序员还可以使用代码去控制浏览器的行为,比如常见的修改替换浏览器工具栏、在浏览器界面
上添加自己的程序按钮等操作,而这些操作都被视为“合法”的,这就是一切罪恶根源的开始。
BHO的出现帮助程序员更好的打造个性化浏览器或者为自己的程序实现了方便简洁的交互功能,可以
说,如果没有BHO接口的诞生,我们今天就不能用一些工具实现个性化IE的功能了。从某一方面来看,
BHO的确是各种缤纷网络互动功能的幕后功臣,但是一切事物都是有两面性的,这个恒古不变的真理同样
对BHO有效,于是就有了今天让安全界头痛的“浏览器劫持”的攻击手段诞生。
看看前面我提到的BHO接口特性,你想到了什么?BHO可以获知和实现浏览器的大部分事件和功能,
也就是说,它可以利用少量的代码控制浏览器行为。程序员可以设计出一个BHO按钮以实现用户点击时通
知浏览器跳转到某个页面完成交互功能,当然就可以进一步写出控制浏览器跳转到他想让用户去的页面,
这就是最初的“浏览器劫持”的成因:BHO劫持。
在描述BHO劫持之前,我们先要对BHO接口的启动做个简单介绍:符合BHO接口标准的程序代码被写为
DLL动态链接库形式在注册表里注册为COM对象,还要在BHO接口的注册表入口处进行组件注册,以后
每次IE启动时都会通过这里描述的注册信息调用加载这个DLL文件,而这个DLL文件就因此成为IE的一
个模块(BHO组件),与IE共享一个运行周期,直到IE被关闭。
IE启动时,会加载任何BHO组件,这些组件直接进入IE领域,而IE则成为它们的父进程和载体,从
此IE的每一个事件都会通过IUnknown接口传递到BHO用以提供交互的IObjectWithSite接口里,这是BHO
实现与IE交互的入口函数。
BHO接收到IE接口传递来的参数后开始判断IE正在做什么,理论上BHO可以获取IE的大部分事件,
然后根据程序员编写的代码,BHO持有对特定事件做出反应的决定权,例如一个可以实现“中文网址”的
BHO,就是通过GetSite方法获取到IE当前打开的站点URL(或通过IURLSearchHook接口来获知),如
果BHO发现获取到的URL和内置的判断条件匹配,该BHO就会启用SetSite方法强制IE跳转到程序员设
定的页面去,这个过程就是利用about:blank篡改主页的“浏览器劫持”方法之一,它的实现原理其实很
简单,程序员编写一个恶意BHO组件,当它获取到IE窗口的当前站点为“about:blank”时就强制IE内部
跳转到指定的广告页面,于是闹出了不久之前沸沸扬扬的“IE空白页劫持事件”。
了解了这种类似恶作剧的作案手段,要解决它就容易了,只要找到并删除这个隐藏在系统里的BHO程
序即可。
除了这类“广告软件”性质的BHO,还有一种利用IURLSearchHook接口实现的另一类更隐蔽的BHO,
这种BHO从某些方面来说大概不算BHO,因为它并不是响应IUnknown,而是等待IE创建IURLSearchHook
来启动。IURLSearchHook被浏览器用来转换一个未知的URL协议地址,当浏览器企图去打开一个未知协
议的URL地址时,浏览器首先尝试从这个地址得到当前的协议,如果不成功,浏览器将寻找系统里所有注
册为“URL Search Hook”(资源搜索钩子,USH)的对象并把这个IE不能理解的地址发送过去,如果某
个USH对象“认识”这个地址,它就返回一个特定的标识告诉IE它知道怎么打开这个地址,然后IE就根
据约定的方法调用它,最终打开这个地址。其实USH对象并不陌生,我们一些偷懒的用户就经常为了省事
而不输入“”,但是IE最终还是能认出并打开某个地址,就是USH的功劳,但是这一点又被恶意
程序员拿来磨刀了,通过创建自己的USH对象,恶意程序员能够命令IE在找不到一些网站时自动跳转到
事先设置的站点里,如果这个站点带毒或者挂马,用户就完了。
这类BHO的解决方法和前面一样,只是它比较隐蔽,除非用户经常偷懒,否则可能直到系统崩溃也不会知
道自己已经感染了这种东西。也许你会说,只要用户的输入永远不会让IE无法识别,这种渗透不就白费了?
但是事实不容乐观,我们无法得知BHO作者还会不会通过其他方法拦截IE,说不定每隔一段时间就让IE
弹出一个广告呢?
上面说了这么多BHO和IE合作搞破坏的事例,可能会给读者造成一种“BHO必须在IE传递数据后才
能行动”的误解,然而事实并非如此,浏览器自身也是一个标准的可执行程序,而BHO只是借用这个程序
进程启动的DLL,它并非API那种要用的时候就让你过来忙活,忙活完了就一脚踹开的奴隶形态DLL,前
面说过了,BHO是一种在浏览器加载时一同启动的例程,它相当于一种自身运行逻辑不太明确的子进程(里
面都是对IE事件的响应和操作代码),这个特性就造成了BHO DLL和API DLL本质的区别,BHO并不需
要所有事件都必须依赖这个大家伙,它可以有自己决定的权利,只要适当的修改,就能用BHO实现类似
DLL木马的功能,当然,这并不是说我们就能在IE眼皮下公然的肆无忌弹干坏事的,由于BHO自身是作
为IE子进程启动的,它就必须受到一些限制,例如程序员不能在里面自己创建网络连接,这样会导致IE
报错崩溃并供出你写的DLL,害怕BHO成为另一种后门的用户可以松口气了,要在BHO里实现Winsock
大概只能在IE休息的时候才可以,但是会有哪个用户开着个开空IE什么事情都不做呢?
但这并不是说BHO就一定能无害了,虽然用它不能做到远程控制,但是别忘记,BHO能看到IE的所
有东西,也就能任意的访问用户文件和注册表,在这个条件成立的前提下,入侵者可以编写代码查找用户
隐私,然后在适当时候通过SetSite提交出去——谁叫现在Webmail这么流行呢?这就是为什么许多厂商
发布诸如“中文网址”、“网络搜索”、“IE定制”、“IE监视”这些功能的BHO的同时都保证“不搜
集用户隐私”的原因,只要你想要,BHO就能得到一切。
有些人也许会想,既然BHO是微软浏览器的权利,那我不用IE了,我用Opera、Firefox不行?对于
这点固然无可厚非,但是你用不用Windows?用不用共享软件?如果你用Windows,那么,你仍然可能处
于被BHO接触到的世界,因为Windows本身就是和IE紧密结合的,这就把“IE进程”的范围给扩大了,
细心的用户大概会发现,IE里能直接访问“我的电脑”,“我的电脑”窗口也能迅速变成IE,因为它们实
质都是依赖于IE内核的,正因为这个原因,BHO可以在你打开一个文件夹时跟着偷偷启动。同时,现在
的网络正处于一种“共享软件捆绑战略”大肆实施的时代,你再小心也不能避免某些共享软件固定捆绑了
BHO的行为,安装后你才会发现文件夹上又多了个什么“助手”、“搜索”了。要想彻底逃开BHO的围
困,大概只能放弃使用Windows了。
Hook,你钩住浏览器了
正如《侏》里的这句话一样,入侵者也在不断寻找他们的新出路,虽然上面我说了这么多BHO的负面
事例,但是真正的危机并不是只有BHO的,在一些使用BHO行不通的场合里,入侵者开始投掷他们的钩
子。
什么是钩子?让我们先看看它的官方定义:
钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口
的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理
它。钩子机制允许应用程序截获处理window消息或特定事件。
钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有
到达目的窗口前,钩子程序就先捕获该消息,亦即钩子函数先得到控制权。这时钩子函数即可以加工处理
(改变)该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。
可能上面的官方定义对一部分读者理解有点困难,其实,钩子就像是一切程序的“先知”,一个实现
了钩子的程序自身虽然也是普通程序,但是它总能在别的程序得到数据之前就已经知道了一切,这是为什
么呢?对Windows系统有一定了解的读者应该知道,Windows系统是一个通过“信息处理机制”运作的
系统,在这个系统里传递的数据都是通过“消息”(Message)的形式发送的,各个消息都遵循了官方的
约定,否则就不能让系统产生回应。而且这个传递步骤是颠倒的,例如我们关闭了某个程序,我们可能会
认为是程序自己关闭后通知系统的,其实不然,当用户点击关闭按钮的时候,Windows就会把一个叫做
WM_CLOSE的消息传递给这个程序,程序接收到消息后就执行卸载自身例程的操作。理解了这点,就能知
道钩子的原理了,所谓钩子程序,就是利用了系统提供的Hook API,让自己比每一个程序都提前接收到系
统消息,然后做出处理,如果一个钩子拦截了系统给某个程序的WM_CLOSE消息,那么这个程序就会因为
接收不到关闭消息而无法关闭自身。除了消息以外,钩子还可以拦截API,像我们都熟悉的屏幕翻译软件
就是Hook了一些文本输出函数如TextOutA而达到了目的。
技术让编程人员可以轻松获取其他程序的一些有用数据或传递相关数据,像现在常见的一些游戏外挂,
它们就是利用Hook技术钩住了游戏窗体,然后就可以识别游戏里面的行为和模拟发送按键鼠标消息,最
终实现电脑自己玩游戏的功能。把这个技术应用到浏览器上面,就成了另一种控制浏览器行为的方法。
钩子有两种,本地钩子(Local Hook)和全局钩子(Global Hook),本地钩子只在本进程里起作用,
故不属于讨论范围;全局钩子代码必须以DLL形式编写,以便在钩子生效时被其它进程所加载调用,因此
我们看到的大部分Hook程序都是DLL形式的。
其实之前提到的BHO也可以视为一种针对IE的钩子,它钩的是IE的事件,这就是IE与BHO交互的
起点,但是对于再复杂一点的操作,例如判断IE下载的是GIF图片还是JPEG图片,BHO无能为力,因为
它仅仅知道IE的事件为DownloadBegin和DownloadComplete,对于具体内容,IE本身是不会告诉它的,
否则IE岂不是要忙死了?至少我也没见过哪个领导还需要向秘书汇报中午吃了鸡肉还是鸭肉的吧,BHO
可不是IE的老婆,或者说IE没有气管炎。
所以,为了得到IE的更多数据,程序员开始钩IE了。与BHO不同,钩子不需要被动的等待IE事件,
它直接和IE形成上司对下属的关系,这次轮到IE要做什么都得经过它批准了。Hook形式的控制不需要
DLL文件必须与IE的注册表入口产生组件关系,它可以是一个独立的DLL,通过或自带的
Loader EXE启动,而且由于它属于Hook形式,在钩子有效的情况下会被系统自动插入其他程序的进程中,
是不是有点像DLL木马呢?
IE钩子程序载入进程后便能获知所有的消息类型、API和内容,一旦发现某个符合要求的消息,如IE
执行了某个事件,或者用户输入了特定内容,钩子的处理代码就开始工作了,它先拦截系统发送给IE的消
息,然后分析消息内容,根据不同消息内容作出修改后再发给IE,就完成了一次Hook篡改过程。用著名
的3721实名搜索做例子,一些人会以为它是采用了BHO或者IURLSearchHook完成中文域名的识别跳转
的,其实它是用了能够第一个得到Windows消息的Hook技术,这样一来就可以避免被其他的竞争对手抢
先解析域名了:3721的主程序就是一个Hook DLL,它监视IE地址栏的消息,一旦用户输入的是中文,它
便在其他BHO类插件工作之前拦截了这个消息,并调用自身代码完成中文域名到英文URL的转换工作,
然后返回(也可能与自己的BHO DLL配合)一个让IE跳转到英文URL的消息,完成域名的翻译任务。
IE钩子能帮助程序员用少量代码完成更多的IE交互工作,但是一旦这个钩子被用于犯罪,其后果也是
严重的,恶意程序员可以写一个拦截IE输入的键盘钩子,达到窃取密码的作用,这样无论你是用HTTP明
文协议还是SecurityHTTP加密协议都不能逃避密码被盗的下场了,因为它抓的是你在IE里的输入,后面
的数据传输已经不重要了。
Winsock LSP
全称为“Windows Socket Layered Service Provider”(分层服务提供商),这是Winsock 2.0才有的
功能,它需要Winsock支持服务提供商接口(Service Provider Interface,SPI)才能实现,SPI是一种不
能独立工作的技术,它依赖于系统商已经存在的基本协议提供商,如TCP/IP协议等,在这些协议上派分出
的子协议即为“分层协议”,如SSL等,它们必须通过一定的接口函数调用,LSP就是这些协议的接口。
通过LSP,我们可以比分析基本协议更简单的得到我们想要的数据内容,如直接得到系统上运行的浏
览器当前正在进行传输的地址和内容,不管这个浏览器是IE,还是Opera或Firefox,因为LSP是直接从
Winsock获取信息的,即使不用微软生产的汽车,至少你这辆汽车一直是在微软建造的公路上跑的吧。
LSP用在正途上可以方便程序员们编写监视系统网络通讯情况的Sniffer,可是现在常见的LSP都被用
于浏览器劫持,使用户又多了个噩梦。
亡羊补牢,还是居安思危?
也许大部分家庭用户都是在经历过一次入侵或中毒事件后才知道安全防范的重要性的,能亡羊补牢当
然是好事,但是如果能对自己的要求提高一点,做到未雨绸缪岂不是更好?我们总是依赖于别人的技术,
依赖于模式化的杀毒手段,但那些始终都是别人的东西,控制权不能掌握在自己手上,这并不是很好的事
情,也许,该是暂时放弃游戏挂级、搜集明星电影,好好研读一下安全方面和系统原理书籍的时候了,否
则在这个不安全的网络中,我们随时可能会迷失自己。
可能有人会想,又在发感慨了。也许是的,因为清除“浏览器劫持”一般都需要手工进行,虽然现在
已经有了多个检测浏览器劫持的工具如HijackThis、Browser Hijack Recover等软件面世,但是如果你抱着
和以往使用杀毒工具那样“一开扫描就安枕无忧”想法的话,你会发现自己真的会迷失了,由于BHO的特
殊性(别忘记,它是合法的),这些工具只会把系统的进程、BHO项目、启动项、LSP等需要有一定技术
基础方能理解的东西显示给你,然后由你自己决定IE的明天,如果你不曾重视过安全技术,那么就会觉得
这些工具如同另一种折磨你的病毒了。
学,还是不学?这是个必须考虑的问题„„
色情网站不断弹出,默认主页无端变脸,右键菜单突然失效。相信所有上网的朋友都碰到过这样的问题。
这事实上大都与浏览器劫持有关,是黑客们利用浏览器的缺陷,向你种植了恶意的代码或程序,导致上述
问题的发生,下面就教你彻底杜绝这个问题。
一、超级菜鸟的保障——提前做好预防IE劫持的措施
如果你的IE浏览器设置的得当,是不容易被恶意网站攻击的,如果你不希望天天为你的菜鸟朋友恢复
浏览器,最好采取下边的操作。在IE里设置安全级别的常规方法这里就不多说了,自己到“Internet 选项”
里去找吧,把Java跟ActiveX禁用即可(这样做可能会导致在浏览某些网页时无法正常显示)。
IE中包含一个功能组件——WSH(Windows Script Host),它是一种与语言无关的脚本解释机制,它使
得脚本能够直接在Windows桌面或命令提示符下运行。利用WSH,用户能够操纵WSH对象、Active对象、
注册表和文件系统。而由于这个东西的先天漏洞,才使得我们会被各种恶意网站劫持,当你把WSH升级到
5.6版本后,几乎可以杜绝所有的浏览器劫持问题,它会修改你的启动组,使得IE重启后也能自动恢复默
认的标题;此外,它还可以预防混客绝情炸弹,禁止修改IE首页,禁止IE主页地址栏变灰、改右键;禁
止修改你的注册表、禁止修改OE标题栏等。软件可以到/Soft/下载。
如果你实在不放心,就把VBScript和JScript脚本文件都删除,对于Windows 2000/XP,打开资源管理
器,选择“工具→文件夹选项文件类型”,把VBScript和JScript脚本都删除。对于Windows 98/NT,则打
开资源管理器,选择“查看→选项→文件类型”,也是删除VBScript和JScript。或者干脆把WSH删除,如
图1所示。
图1 删除WSH可能会使运行JAVA或VB脚本的网页无法正常显示
有些网页恶意代码会修改机器上的Hosts文件,此文件文件里保存有你曾访问过的网站的IP地址与域名
的对应关系。如果这个文件中记录的内容有误,我们将失去最基本的安全,即使在IE地址栏中输入:
,都可能打开恶意网站。因此有必要把Hosts文件设为只读,虽然这样做会对我们访
问网站的速度有一点影响。对于Windows 98/ME系统,选择“开始→运行”,在里边输入:%SystemRoot%
后回车,在弹出窗口中即可找到hosts文件,对于Windows 2000/XP系统,在运行中输
入:%SystemRoot%system32driversetc,在这里也可以找到hosts文件。
二、中招菜鸟的稻草——用软件挽救你的IE
对于那些网页已经被篡改的菜鸟们,推荐使用系统自带的工具或者IE的修复工具来恢复浏览器。本文
以HijackThis为例向大家介绍,软件可以到/down/200549/下载。
软件的扫描和日志功能非常强大,可以修复大部分被恶意修改的内容,其日志功能可以显示十分详尽的内
容。
如果下载得到的文件是一个压缩包,首先要将其解压出来。不要在临时目录中运行软件,也不要直接在
压缩包中运行。因为使用HijackThis进行修复操作时,它会自动给修改的项目做备份,保留这些备份文件
是个好习惯,一旦修复错了,可以利用这些备份文件恢复原先的状态。临时文件目录可能随时被清空,而
在压缩包中直接运行HijackThis的话,无法生成备份文件的。单击“Scan”按钮,如图2所示,里边会详细
列出与IE浏览器捆绑的内容。
图2 扫描速度非常快
好了,我们来找一项分析一下,勾选中:O3-Toolbar:FlashGet Bar,然后单击“关于该项目的帮助信息”
按钮,会弹出如图3所示的按钮,根据提示我们知道这是一个加载到IE上的工具栏,根据其安装路径,可
以基本确定该工具栏来自FlashGet,由于它对我们来说没什么大用,完全可以删除。单击“立即修复”按钮
即可将其从IE中剔除。
图3 查看加载项的具体含义
如果出现误操作,你还可以利用软件的备份功能将其恢复回来,单击“Config”按钮,选择“备份”标签,
如图4所示,你可以将误删除的加载项恢复。
图4 可以恢复误删除的文件
如果你实在不知道什么程序是可疑的,你可以单击程序主界面中的“保存日志”按钮,保存后访问:
,将你的日志全文粘贴到网页中,然后单击“Analyze”按钮,稍等片刻即可在页面
下方生成日志检测报告,虽然有很多程序它无法识别,如常用的FlashGet、QQ等。但是它可以准确无误
的告诉你绝对可信的程序,如图5所示,这可以帮助你减少很多的麻烦。
图5 轻松找出可信程序
在设置菜单中还提供了“生成自启动程序列表”,用于生成自行启动程序的列表,通过分析列表有助于找
到隐藏在后台的恶意程序。需要注意的是,这个程序只能够帮助你取消挂载在IE上的程序,如果这个问题
是由于木马或病毒引起的还需要配合杀毒的操作。使用HijackThis修复完成后,建议重启系统,然后按F8
键进入安全模式,显示所有的隐藏文件和系统文件,删除那些被修复项目相关的文件。然后再回到正常模
式,运行HijackThis进行二次检查。有关软件生成的日志,由于内容过多,这里就不做过多解释了,具体
请参见HijackThis日志细解,可以到 *****下载。
三、得道老鸟的绝招——修改注册表还IE清白
如果想成为一个高手,掌握一些必备的反IE劫持的手工恢复技巧也是必要的。这样既可以显出你的大
虾风范,也可以避免在没有修复工具时一筹莫展。
1)让注册表复工
恶意软件在霸占了我们的浏览器后,最常做的一件事就是禁用我们的浏览器,使我们无法通过修改注册
表的方式修复IE,通常我们都是“开始→运行”中输入:regedit以打开注册表编辑器,如果“运行”被禁用,
可以打开“资源管理器”,在地址栏中输入:%SystemRoot%后回车,在里边找到,并双击运行
即可。
如果运行时得到类似:注册表都被“管理员禁用”的提示,需要建立REG文件,新建一个文本文件,输入:
REGEDIT4
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
"DisableRegistryTools"=dword:00000000
然后将其保存为:,再双击该文件即可恢复注册表的功能。
2)修复页面故障
页面故障是IE浏览器被劫持后最常见的一个故障,多表现为:主页被恶意更改或者地址栏虽显示为空
白,但是浏览器仍显示恶意网页。首先我们来解决主页被恶意窜改问题。打开注册表编辑器,分别打开:
HKEY_LOCAL_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel和
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel里边的HomePage键
值,把其值该为0,或者直接删除,这样你就可以像以前一样设置默认主页了。然后我们来解决空白页的
问题,虽然IE的首页已经是空白的了,但是启动IE后,还是会自动进入某个网站。定位到:
HKEY_CLASSES_ROOTPROTOCOLSHandlerabout,把里边东东都删除,然后建立个字符串值,命名为:
CLSID,将其值设为:{3050F406-98B5-11CF-BB82-00AA00BDCE0B}即可。
3)搞定弹出窗口
被劫持后的另外一个明显特征就是,桌面上不停的弹出网页或者窗口,关闭后不久还会再次弹出。对于
弹出的网页,可以打开注册表编辑器,分别定位到:
和HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunonce项下,将以网址为值键值统
统删除。如果依旧弹出,则需要再注册表编辑器里边按快捷键“Ctrl+F”,输入自动打开网页的网址,将找到
的值都删除。在“开始→运行”里运行:msconfig,选择“启动”标签,取消可疑启动项前边的勾选。
有的劫持者会让你的机器不停的弹出提示框,此类情况通常在注册表的:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon下边可以找到
“LegalNoticeCaption”和“LegalNoticeText”两个值项,将这两个值项都删除即可。
4)恢复右键菜单
IE强盗们在劫持浏览器的时候,还习惯对鼠标右键做手脚,通常的手段是禁用右键菜单,或者在菜单中
加入自己的网站链接。对于第一种情况,可以打开注册表编辑器,定位到:
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictions,将
“NoBrowserContextMenu”删掉即可。对于第二种情况,定位到:
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt,仔细查看其下的子项,删除跟右
键菜单中与恶意网站有关的即可。
关于浏览器劫持防范与修复的内容还有很多,这里由于篇幅的限制无法一一写出。新的劫持手段也在不
断出现,诸位朋友一定要善于利用各种工具,除了本文介绍的工具外,还有很多好用的工具,例如:超级
兔子魔法设置、雅虎助手、瑞星以及金山等。大家都可以尝试。
发布评论