LSP劫持及对策.docVIP

浏览器劫持 “浏览器劫持”是个沉重的话题，经常上网的朋友恐怕无一幸免，“浏览器劫持”(Browser Hijack)是一种流行的网络攻击手段，它主要通过BHO、控件注册、DLL插件、Hook技术、Winsock LSP、远程进程、RootKit等技术渗透到用户的浏览器或操作系统中为所欲为，轻者把用户带到自家门户网站，严重的则会在用户计算机中收集敏感信息，危及用户隐私安全。但在大多情况下，用户只有在受到劫持后才会发现异常情况，这时候已经太迟了。目前，浏览器劫持已经成为Internet用户最大的威胁之一，从这个角度看，打响一场浏览器劫持的反击战迫在眉睫了。　　BHO(Browser Helper Object，浏览器辅助对象)是微软早在1999年推出的作为浏览器对第三方程序员开放交互接口的业界标准，它是一种可以让程序员使用简单代码进入浏览器领域的“交互接口”。通过BHO接口，第三方程序员可以自己编写代码获取浏览器的一些行为(Action)和事件通知(Event)，如“后退”、“前进”、“当前页面”等，甚至可以获取浏览器的各个组件信息，像菜单、工具栏、坐标等。由于BHO的交互特性，程序员还可以使用代码去控制浏览器的行为，比如常见的修改替换浏览器工具栏，在浏览器界面上添加自己的程序按钮等操作，而这些操作都被视为“合法”的，这就是一切罪恶的根源。　　防御一：到BHO软件安装文件夹或控制面板中去看一看有没有卸载程序，如果有就直接卸载了。　　防御二：通过IE自带的工具“管理加载项”(只有Windows XP SP2的IE6中才有，SP1或Windows 2000下的用户可用3721IE修复专家中的“高级修复”)，把其中一些不常见或是自己不知道的加载项禁用。禁用成功后，可重启计算机，然后到相应的文件夹下，把该程序删除即可。如果到这一步能成功，那就“谢天谢地了”。如果不成功，到安全模式下，再用上面的方法试一试。　　防御三：用HiJackThis工具清除。HiJackThis是国外程序员写得相当不错的系统检查程序，它能够检查系统中几乎所有可以隐藏不良程序的角落，让他们现出原形，因此大家可以下载学习一下，尤其对于中高级用户进行手工清除时，这个工具可以说是必不可少的。对于BHO可以先用它进行系统扫描，列出的就是BHO的内容，选择可疑项进行修复。在正常模式下如果删不掉，也可到安全模式下试一试。　　可能有战友会遇到这样的情形，不管在正常模式还是在安全模式下都不能成功禁用BHO，尤其出现删除文件时提示“文件正在被使用，无法删除”，那就还要费些力气。这是因为BHO是可以被Windows的外壳进程加载的，也就是那个Explorer，进了系统，只要桌面和窗口还在，那么就别想删除掉它。要解决这个问题，先要尝试用Regsvr32.exe程序来去除它的组件注册信息，Regsvr32.exe是32位系统下的DLL注册和反注册工具。例如反注册mmsassist.dll，只需要用命令提示符进入文件的目录里，执行Regsvr32.exe /u mmsassist.dll即可(可以在控制面板中看到，其实有些程序的卸载就是用的这个命令)，然后打开任务管理器，把Explorer.exe进程停掉，最后直接在任务管理器里执行cmd，进入文件目录后输入del mmsassist.dll就完成了该文件的清理工作。　　 揪出潜藏的内鬼 　　如果清理了恶意劫持，重启机器后却发现它又回来了，这就是Windows系统中自启动技术在给它们“帮忙”。用HiJackThis软件的混合工具，生成启动项列表，就可以发现自启动程序的地方足足有几十处之多。也就是说系统提供给程序几十种自启动的方法，给那些别有用心的人以尽情发挥的广阔天地，也让网络用户防不胜防!　　但也不用气馁，只要耐心去处理，再借助一些工具软件，还是可以战胜它们的。　　经典的启动菜单　　单击“开始→程序”，你会发现一个“启动”菜单，这就是经典的Windows启动位置，右击“启动”菜单选择“打开”即可将其打开，其中的程序和快捷方式都会在系统启动时自动运行。　　最常见的启动位置当前用户的自启动文件夹，所有用户的自启动文件夹。　　注册表的启动键　　注册表是启动程序藏身之处最多的地方，主要有以下几项。　　1.Run键　　Run键是病毒最青睐的自启动之所，该键位置是[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]和[HKEY_LOCAL_MACHINE\Software\M-icrosoft\Windows\CurrentVersion\Run]，其下的所有程序在每次启动登录时都会按顺序自动执行。还有一个不被注意的Ru