2023年12月1日发(作者:)
・
网络地带
几种常见形式的浏览器主页劫持及防范
陈金莲(黄冈职业技术学院电子信息学院,湖北黄冈438002)
摘 要:浏览器主页劫持是一种常见的网络安全问题,劫持目的不一、顽固程度也不一样,给互联网用户带来很大的困扰。分析各种劫持形
式、劫持原理,为广大用户提供一些安全参考。
关键词:浏览器;劫持;注册表;病毒;防范
1什么是浏览器主页劫持
USER\Software\Pol icies\Microsoft\Internet Explorer\
Pane1]下的 homepage ,将其值改为0,或者直接删除 Control
在互联网应用飞速发展的今天,人们对互联网的依赖性越
来强,但各种网络安全问题也层出不穷,极大地干扰着人们的
注册表中该项。如果注册表编辑器被恶意代码禁用,则只能编
写一个注册表文件,内容如下:
工作、学习和生活。在这些安全问题中,浏览器主页劫持可能是
最常见的安全问题之一。浏览器主页劫持即恶意代码通过修改
Windows Registry Editor Version 5.00
用户浏览器的主页设置项,将用户引导到恶意代码所指定的网
页中去,从而实现一些不可告人的目的,如增加访问量,实现广
告宣传,甚至在访问的网页中挂马等“ 。
2浏览器主页劫持的各种不同的形式分析及防范
下面,将一些常见的浏览器劫持形式、修复方法及防范技
术进行阐述,给读者提供一些安全参考。
2.1修 ̄[start page的值
恶意代码通过修改注册表中[HKEY—CURRENT—USER\
S0ftware\Microsoft\Internet Explorer\Main]] Start
Page 值项的值,如修改为http://www.2345.com/?uuc,则当用
户打开浏览器时,便会引导到相应的恶意页面中去。这~种劫
持方式的结果反映在IE游览器的“internet选项”中的主页文
本框中,一般的用户都能通过修改主页属性值还原IE的正常状
态,其顽固性基本没有。
2.2修改startpae的值,并让“Internet选项”中的主页文本框
变成灰色,不可更改
恶意代码不仅修改注册表中[HKEY—CURRENT—USER\
software\Microsoft\Internet Explorer\Main]] 的 Start
Page 的值,而且让“Internet选项”中的主页文本框呈现如图
1所示状态,此时,用户想通过修改主页属性值还原IE已经变得
不可能了。这种劫持的顽固性又比上一种要强大得多,且不是
一
般用户能够还原的 。
出现以上状态的原因是,恶意代码进一步修改了注册
表中[HKEY CURRENT USER\Software\Pol icies\Micr0soft\
Internet Explorer\Control Pane1]下的 homepage的值,当
其值为1时,主页文本框及相关按钮变灰,内容不可编辑。
这种劫持形式的手工修复方法所需的专业的知识就比上
一
种要多,至少要求用户对注册表有一些了解才行,有以下两种
方法可以修复:一是打开注册表编辑器,找到mKEY CURRENT_
作者简介:陈金莲(1973一),女,硕士,高级工程师,研究方向:
网络工程、网络安全。
[HKEY CURRENT USER\Software\Po1icies\Microsoft\
Internet Explorer\Control Pane1]
homepage ̄=dword:00000000
然后双击该文件,将其注入到注册表中去 。
2.3用间隔时间运行的脚本修改注册表中“start page”的值
故障的表现形式为“Internet选项”的主页区被改成了恶
意网址,可以修改为正常网址,但几秒钟后,又变成恶意网址。
出现这种情况的原因一定是有个脚本或~个EXE程序在运
这个脚本或程序间隔一段时间,一般是几秒钟,就修改—下
主页设置,使得用户的修复操作变得无用。
如,首先创建包含如下代码的批处现程序,程序名为
modimain.bat。
@echo off
@reg delete HKEYCURRENT
—
USER\Software\
Microsoft\Internet Exp1orer\Main /v Start Page
瞧
@reg add HKEY
CURRENT
_
_
USER\Software\Micr0s0ft\
Internet Explorer\Main /v Start Page /t regsz/d
h ̄tp://www.2345.com/?uuc
再用一脚本程序去待循环调用上面的批处理程序,类似代
码如下。
set a=Wscript.Create0bject( Wscript.Shell )
Do While True
a.run"modimain.bat",0
WScript.Sleep 6000
Loop
当以上脚本程序运行时,便会每隔6秒就去修改 RE的主
页,所以用户发现每次修正主页设置之后,再打开Internet选
项时主页仍然是恶意代码的主页。
对于这种形式的浏览器主页劫持,必须先结束恶意程序进
程,清除恶意程序,再去还原主页设置才行 。
2.4建立浏览器的快捷方式
故障的表现形式为浏览器的“Internet选项”中的主页
设置是A网址,打开浏览器时导向的却是B网址。出现这种情况
的原因是恶意代码创建了一个浏览器的快捷方式,并修改快捷
方式的目标,如设为 C:\Program Files\Internet Explorer\
IEXPLORE.EXE http://www.2345.com/?uuc,并修改注册表,
网络地带・
去掉了快捷方式上的小箭头,同时删除了桌面上的真实的的浏
何网址。与第五种方式类似,只不过这个浏览器不是系统原来
的浏览器,而是病毒新建的浏览器 。
览器,这样,当用户双击浏览器的快捷方式时,不论“Internet
选项”中的主页设置是什么地位,导向的都是快捷方式中所指
3小结
定的网址。
浏览器劫持一般发生于曾经浏览过一些不正规的网站或
对于这种劫持方式,解决方式很简单,打开快捷方式的属
从不正规网站下载过软件,在本机安装,所以,预防浏览器劫持
性窗口,修改目标框中的参数,去掉其后的网址即可。
的初步方法也就是尽量避免登陆那些不正规网站,如果确实无
法避免,则要打开杀毒软件的注册表监控功能,因为绝大多数
2.5一种更为隐蔽的劫持方式
病毒通过修改注册表中浏览器的打开命令,如修改为:
[HKEY
CLASSES
R00T\cLsID\{871c5380—42A0—1069一A2EA—
浏览器劫持都要对注册表进行相应的更改。当然,预防只是第
一
步,一旦遭遇浏览器劫持,在清除了病毒之后,一般都可通过
O8002B303O9D)\shell\0pen\Command]
导入事先备份的注册表来解决问题。
@= C:\\Program Files\\Internet Explorer\\iexplore.
exe”http://www.2345.com/?uuc
[参考文献]
则当打开浏览器时,不论主页中设置是什么网址,都会首
[1]http://baike.baidu.com/view/99703.htm.
先导入到以上设置的网址。这种劫持方式相当隐蔽,一般的用
[2]张涛.网络安全管理技术专家门诊[M].北京:清华大学出版社,2005
户是难以发现的 。
[3]微软帮助文件
2.6隐藏真实的浏览器,建立假的浏览器
[4]肖军模,等.网络信息安全[M].北京:机械工业出版社,2006.
病毒通过注册表隐藏或删除桌面上的真实浏览器,再用注
[5]罗诗尧.黑客攻防实战进阶[M].北京:电子工业出版社,2008.
册表建立一个假的浏览器,可在注册表中把假的浏览器导向任
[6]吴秀梅.防火墙技术及应用教程.北京:清华大学出版社2009.
(上接第25页)
和保护,并用数据包过滤是透明的,过滤路由器的工作效率高,
状态检测型所采用的机制是基于连接状态的,其把连接相
速度快。但是其不足就是只可能按照数据包的目标、端口以及
同的所有数据包都视为一个整体的数据流,从而形成连接状态
来源来判断网络信息,对于一些地址欺骗却无法彻底的防止;
表,通过状态表与规则表共同配合,来识别每个连接的状态因
数据包过滤并非适用于所有的应用协议,而且某些安全策略也
素。这种动态连接表中所记录的内容可以是之前的通信信息,
无法被执行;此外,对于黑客的攻击无效,无法支持应用层协
也可以是与其相关的应用程序的信息,因此状态检测技术相对
议,对于所出现的新的安全威胁往往束手无策。
来说更具灵活性及安全性的特点。不过其也存在不足,即这些
网络地址转换一NAT是一种将原IP地址标准转换为临时的、
记录、测试以及相关的分析工作可能会导致网络连接的迟滞,尤
外部的且需要注册的IP地址标准,网络中的每台机器均需取得 其是同时激活多种连接或者存在大量过滤网络通信规则时。
所注册的IP地址。当内部网络经过安全网卡去访问外部网络
3结束语
时,系统在与外部连接时,就会把外出的源端口及源地址映射
总之,计算机网络的安全问题是当前需要引起广大用户重
为一个伪装地址及端口,这样真实的网络地址就被安全隐藏。
视的问题,要利用各种安全策略保证计算机网络不受非法用户
当外部网络访问内部网络时,对于内部网络的真实连接情况并
的侵入,保护自身的隐私利益不受侵犯。
不知情,只是利用一个开放的端口吸引IP地址请求访问。防火墙
就按照定义好的映射规则对该访问做出判断,判断其是否可以
[参考文献]
按受。
[1]赵真.浅析计算机网络的安全问题及防护策略[J].上海工程技术大学
应用代理型防火墙工作在OSI的应用层,其特点是把网络
教育研究,2010(2).
通信流进行完全阻隔,利用对各种应用服务所编制的专门的代
[2]何婧.浅谈计算机网络安全问题及防范措施[J].计算机与网络,
理程序,实现对应用层通信流的监视及控制。相对来说,应用
2009(4).
代理型防火墙的安全性比较高,可以对应用层估侦测及扫描,
[3]王策.浅谈计算机网络安全问题[J].延边教育学院学报,2010(5).
从而有效地对付基于应用层的病毒及非法入侵。但是其不足是
[4]王能辉.我国计算机网络及信息安全存在的问题和对策[J].科技信息,
2010(7).
对系统整体性能的影响比较大,并且代理服务器要针对客户机
[5]李风祥.试析计算机网络安全问题与对策[J].科技风,2OLO(11).
所可能产生的全部应用类型做逐一设计,提高了系统的复杂
性。
发布评论