恶意代码分析与防护-培训课件.pptVIP

6.4 常见恶意代码感染迹象与处理 （3）下载运行木马程序 　　危害程度：★★★ 　　感染概率：＊＊＊ 　　现象描述：在网页上浏览也会中木马？当然，由于IE5.0本身的漏洞，使这样的新式入侵手法成为可能，方法就是利用了微软的可以嵌入exe文件的eml文件的漏洞，将木马放在eml文件里，然后用一段恶意代码指向它。上网者浏览到该恶意网页，就会在不知不觉中下载了木马并执行，其间居然没有任何提示和警告！ 　　解决办法：第一个办法是升级您的IE5.0，IE5.0以上版本没这毛病；此外，安装金山毒霸、Norton等病毒防火墙，它会把网页木马当作病毒迅速查截杀。 6.4 常见恶意代码感染迹象与处理 （4）注册表的锁定 　　危害程度：★★ 　　感染概率：＊＊＊ 　　现象描述：有时浏览了恶意网页后系统被修改，想要用Regedit更改时，却发现系统提示你没有权限运行该程序，然后让你联系管理员。 　　解决办法：能够修改注册表的又不止Regedit一个，找一个注册表编辑器，例如：Reghance。将注册表中的HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼System下的DWORD值DisableRegistryTools键值恢复为0，即可恢复注册表。  6.4 常见恶意代码感染迹象与处理 （5）默认主页修改 　　危害程度：★★★ 　　感染概率：＊＊＊＊＊ 　　现象描述：一些网站为了提高自己的访问量和做广告宣传，利用IE的漏洞，将访问者的IE不由分说地进行修改。一般改掉你的起始页和默认主页，为了不让你改回去，甚至将IE选项中的默认主页按钮变为失效的灰色。　　解决办法：①起始页的修改。展开注册表到HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Internet Explorer＼Main，在右半部分窗口中将Start Page的键值改为about:blank即可。同理，展开注册表到HKEY_CURRENT_USER＼Software＼Microsoft＼Internet Explorer＼Main，在右半部分窗口中将Start Page的键值改为about:blank即可。 　 6.4 常见恶意代码感染迹象与处理 （5）默认主页修改 　　　注意：有时进行了以上步骤后仍然没有生效，估计是有程序加载到了启动项的缘故，就算修改了，下次启动时也会自动运行程序，将上述设置改回来，解决方法如下： 运行注册表编辑器Regedit.exe，然后依次展开HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run主键，然后将下面的registry.exe子键（名字不固定）删除，最后删除硬盘里的同名可执行程序。退出注册编辑器，重新启动计算机，问题就解决了。 　 6.4 常见恶意代码感染迹象与处理 （5）默认主页修改 　　②默认主页的修改。运行注册表编辑器，展开HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Internet Explorer＼Main，将DefaultURL子键的键值中的那些恶意网站的网址改正，或者设置为IE的默认值。 　　③IE选项按钮失效。运行注册表编辑器，将HKEY_CURRENT_USER＼Software＼Policies＼Microsoft＼Internet Explorer＼Control Panel中的DWORD值Settings=dword:1、Links=dword:1、SecAddSites=dword:1全部改为0，将HKEY_USERS.DEFAULT＼Software＼Policies＼Microsoft＼Internet Explorer＼Control Panel下的DWORD值homepage的键值改为0。 6.4 常见恶意代码感染迹象与处理 （6）篡改IE标题栏 　　危害程度：★ 　　感染概率：＊＊＊＊＊ 　　现象描述：在系统默认状态下，由应用程序本身来提供标题栏的信息。但是，有些网络流氓为了达到广告宣传的目的，将串值Windows Title下的键值改为其网站名或更多的广告信息，从而达到改变IE标题栏的目的。非要别人看他的东西，而且是通过非法的修改手段，除了无耻两个字，再没有其它形容词了。 　　解决办法：展开注册表到HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Internet Explorer＼Main下，在右半部分窗口找到串值Windows Title，将该串值删除。重新启动计算机。  6.4 常见恶意代码感染迹象与处理