2024年2月18日发(作者:)
清除恶意代码
关于恶意代码清除
现在仍不时听到关于恶意代码的问题,其实这个东西已经落伍了。
目前所说的[恶意代码]通常是指嵌入网页中的部分代码,或利用IE漏洞、或利用合法的Script进行恶作剧或恶意破坏。
一.首先还是把这些代码进行分类。
1.利用IE溢出代码进行破坏
2.利用合法的脚本语句进行破坏
3.通过IE5.0的漏洞利用ActiveX进行破坏
常见的就是修改注册表项目及运行程序、生成文件等。
(其实平时常说的也就是这类被杀毒软件评为网页病毒的恶意代码,我们今天主要讨论的也是这类的问题)
二.接着说一下防治方法
1.对于第1类,只有及时打补丁,别无他法。就目前我找到的这类代码而言,其功能都是十分有限的。不过劝你还是及时打下补丁。
2.对于第2类,禁止脚本可能带来很多麻烦,此方法并不现实。所以,也没有较好的方法,只能尽量不要打开陌生的页子。
3.对于第3类,防范方法很多,依次介绍一下。
a).这是最简单最实用的方法,不借助第三方软件
运行,将注册表中的[HKEY_CLASSES_ROOTCLSID{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}]主键全部删除。
删除后并不影响系统运行及网页浏览。
b).如果你对注册表操作的方法有所顾忌,试试下面的方法,同样不借助第三方软件
将Windows98中的Windows Script Host卸载,把Windows2K中的Remote Registry Service服务禁用。
c).禁用脚本
这样做会带来很多麻烦,所以不实用。
还有很多方法也不实用,在此不作介绍。
d).特别说明--错误方法
错误解释:
因为该页子修改注册表,所以可以先锁定来达到预防其修改注册表的目的。
错误原因:
修改注册表是因为IE5的漏洞利用ActiveX修改注册表,并没有使用命令。
我曾经在《电脑报》、《网友世界》、《黑客防线精华本》以及某杀毒软件的官方网站上看到如此不负责的解释,真让人感到遗憾。
(以上均属事实,言语不当望见谅)
4.这里特别说一下关于Win98SE的解析虚拟设备名漏洞的问题
此为系统漏洞,对Win98SE之前版本有效,即使使用IE6.0也依然蓝屏。
(据说Win98第三版解决了此问题)
三.最后说一下常见的恢复方法(注册表项)
首页被改
找到[HKEY_CURRENT_USERSoftwareMicrosoftInternet
ExplorerMain]和[HKEY_LOCAL_MACHINESoftwareMicrosoftInternet
ExplorerMain],将子键"Start Page"改为你的IE首页。
2.禁止修改IE首页
找到[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel]和[HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftInternet ExplorerControl Panel],删除子键"Homepage"。
标题栏被改
找到[HKEY_CURRENT_USERSoftwareMicrosoftInternet
ExplorerMain]和[HKEY_LOCAL_MACHINESoftwareMicrosoftInternet
ExplorerMain],删除子键"Window Title",当然也可以改为你喜欢的标题。
4.禁止使用修改注册表
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies
System]和[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPolicies
System]下,找到子键"DisableRegistryTools",置零或删除该子键。
右键菜单被改
[HKEY_CURRENT_USERSoftwareMicrosoftInternet
ExplorerMenuExt]和[HKEY_LOCAL_MACHINESoftwareMicrosoftInternet
ExplorerMenuExt]下,找到多余的子键,删除即可。
6.修改登录时的警告信息
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
Winlogon]下,找到子键"LegalNoticeCaption"和"LegalNoticeText",删除即可。
7.系统限制
Explorer]和[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPolicies
Explorer]下
"NoClose"=1,禁止[关闭计算机]
"NoRun"=1,禁止[运行]
"NoLogOff"=1,禁止[注销]
设置为0或者直接删除即可解除限制。
8.出于安全考虑,只列出较常用的子键及键名。
另,[HKEY_CURRENT_USER]和[HKEY_LOCAL_MACHINE]两个主键下同级子键的设置优先权不同,具体的就不多说了。哪位有兴趣可以自己试一下。
附:本人收集整理的[恶意代码专辑],CHM文档。
下载地址word/media/_blank>/freebuluo/new/down/
在介绍清除木马的方法之前,先讲一下开机时运行的一些程序。
Win98系统盘根目录下,自动执行
Win98系统盘windows目录下,启动Windows之前运行
Win98系统盘windows目录下,[windows]下[load=]和[run=]为启动程序内容
Win98系统盘windows目录下,[boot]下[shell=]正常时为桌面程序
5.开始-程序-启动
进入Windows后运行的程序
6.注册表中
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersion]和[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion]下所有与run有关的子键,进入windows后运行
7.[HKEY_CURRENT_USERSOFTWAREMicrosoftWindows
NTCurrentVersion]和[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersion]下,键名为load的字符型数据,进入Win2K后运行
通常的木马一般只修改注册表,以达到开机运行的目的。
现在就根据其类型分别介绍一下清除方法。
1.冰河类
这类木马,不但在注册表里添加启动项,而且修改某类常用文件的默认打开方式。如冰河修改txt文本文件的打开放式,广外女生修改exe文件和txt文件的打开方式(据说有种更垃圾的木马,修改7种常用文件的打开方式,好像是Sub7)。
清除方法:
a).运行,通过查看注册表里的启动项,确定已执行的程序名。暂时不要关闭regedit窗口。
b).通过软件结束该程序,删除该程序,删除启动项。
c).恢复文件的打开方式
exe文件:
[HKEY_CLASSES_ROOTexeopenmand]主键下,字符串子键"默认"为“"%1" %*”。(双引号“”除外)
txt文件:
[HKEY_CLASSES_ROOTtxtopenmand]主键下,字符串子键"默认"为“C: %1”。(双引号“”除外)
(若先删除了木马导致无法运行exe文件,可先将其改为文件)
2.广外男生类
采用线程插入技术,不修改文件打开放式,只添加一个启动项。但因为使用线程插入,任务管理器不显示该程序。
清除方法:
a).运行,查看启动项,确定木马程序的名称及位置。
其实这类没有指明路径的启动文件一般都在windowssystem[98系统]或winntsystem32[2K系统]下。
b).找到该程序,确定其文件大小。搜索同样大小的文件,一般应该在相同目录下,记下这2个文件名。(广外男生为一个exe文件和一个dll文件)
c).开机进入纯DOS模式或2K的命令行模式,删除这2个文件。
d).清除注册表启动项。
3.其他类
我见过的木马不多,所以也只能再介绍一类了。
中木马后,木马在每个驱动器下生成一个木马程序及一个可以运行木马程序的文件。这样,每次打开驱动器就会运行木马。
a).打开驱动器,确定 b).终止该程序,并从注册表启动项里去处。
指定的文件名。
发布评论