浏览器(IE)劫持的常规解决办法
- 格式:pdf
- 大小:635.15 KB
- 文档页数:26
6
二、浏览器劫持的分析与解决办法
编辑 hosts文件 修改注册表项目
通过浏览器加载项方式及木马进行劫持 修改浏览器快捷方式
用Hook钩住浏览器 。。。。。。
7
编辑hosts文件
HOSTS文件存在于Windows\System32\Drivers\Etc目 录 中。如果恶意网页将正常的域名映射到恶意网页的 IP地址,则输入正常网址便会连接到恶意程序指定的 网页上。
当输入正常的网址却被打开一个不知名的网站, 则很有可能是因为HOSTS文件被修改了。用记事本打 开这个文件,手工删除被恶意程序添加的项目并保存 文件,就可以正常访问你要浏览的网站了(如果你从 未使用过该文件,则直接删除所有内容后保存也可)。
8
修改注册表项目
IE浏览器的主页地址、浏览器标题、默认搜索页地址 等信息都是记录在系统注册表当中的,恶意程序通 过对注册表的修改就可以控制这些项目的内容。
12
注册表 [HKEY_CURRENT_USER\Software\Policies\Microsoft\Int ernet Explorer\Control Panel]项下的“HomePage”值为 1(HomePage值类型是DWORD),把它改为0即可。
13
14
通过浏览器加载项方式及木马进行劫持
15
修改浏览器快捷方式
可能是桌面上的浏览器快捷方式被恶意替换了,右击 桌面上的浏览器快捷方式选择属性看下目标是不是 被改了。
16
17
用Hook钩住浏览器
钩子(Hook),是Windows消息处理机制的一个平台,应 用程序可以在上面设置子程以监视指定窗口的某种消 息,而且所监视的窗口可以是其他进程所创建的。当 消息到达后,在目标窗口处理函数之前处理它。钩子 机制允许应用程序截获处理window消息或特定事件。
3
“浏览器劫持”,通俗点说就是故意误导浏览器的 行进路线的一种现象,常见的浏览器劫持现象有:访 问正常网站时被转向到恶意网页、当输入错误的网址 时被转到劫持软件指定的网站、输入字符时浏览器速 度严重减慢、IE浏览器主页/搜索页等被修改为劫持 软件指定的网站地址、自 动添加网站到“受信任站 点”等。
11
修改IE浏览器缺省主页,并且锁定设置项,禁止用户更改 回来。 主要是修改了注册表中IE设置的下面这些键值 (DWORD值为1时为不可选): 1、 HKEY_CURRENT_USER\Software\Policies\Microsoft\Intern et Explorer\Control Pan el "Settings"=dword:1 2、 HKEY_CURRENT_USER\Software\Policies\Microsoft\Intern etExplorer\Control Panel "Links"=dword:1 3、 HKEY_CURRENT_USER\Software\Policies\Microsoft\Intern etExplorer\Control Panel "SecAddSites"=dword:1
18
钩子实际上是一个处理消息的程序段,通过系统调用, 把它挂入系统。每当特定的消息发出,在没有到达 目的窗口前,钩子程序就先捕获该消息,亦即钩子 函数先得到控制权。这时钩子函数即可以加工处理 (改变)该消息,也可以不作处理而继续传递该消息, 还可以强制结束消息的传递。
19
例如我们关闭了某个程序,我们可能会认为是程序自 己关闭后通知系统的,其实不然,当用户点击关闭 按钮的时候,Windows就会把一个叫做WM_CLOSE 的消息传递给这个程序,程序接收到消息后就执行 卸载自身例程的操作。
22
钩子有两种,本地钩子(Local Hook)和全局钩子(Global Hook),本地钩子只在本进程里起作用;全局钩子代 码必须以DLL形式编写,以便在钩子生效时被其它进 程所加载调用,因此我们看到的大部分Hook程序都 是DLL形式的。
23
IE钩子程序载入进程后便能获知所有的消息类型、 API和内容,一旦发现某个符合要求的消息,如IE执行 了某个事件,或者用户输入了特定内容,钩子的处理 代码就开始工作了,它先拦截系统发送给IE的消息,然 后分析消息内容,根据不同消息内容作出修改后再发 给IE,就完成了一次Hook篡改过程。
一些恶意程序作为IE加载项(Plugins)的方式启动自 己,每次IE浏览器后都会自动运行恶意程序。通常恶 意程序用来定时弹出广告,在IE的右键菜单中添加恶 意网站链接以及动态修改注册表等。另外木马方式运 行的浏览器劫持程序,目的与浏览器加载项方式类似, 只是自启动方式不同。 这种木马方式的劫持程序运行更隐蔽,清除更复杂, 可以自动更新程序,并且可能同时具备上面的几种劫 持方式。
9
10
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 项下的"Default_Page_URL"、"Start Page"的值
24
三、非常规解决办法
1、安全模式进行清除; 2、使用360、 IE清道夫、金山急救箱、 SREng等小软件; 3、使用第三方浏览器,比如:firefox等。 4、进行系统杀毒;
5、系统覆盖。Biblioteka 6、。。。。。。25
谢 谢!
26
浏览器(IE)劫持 常规解决办法
主要内容
浏览器劫持的基本概念 浏览器劫持的分析
浏览器劫持的解决办法 非常规方法
2
一、浏览器劫持的基本概念
浏览器劫持是一种恶意程序,通过浏览器插件、BHO(浏 览器辅助对象)、WinsockLSP等形式对用户的浏览器进行 篡改,使用户的浏览器配置不正常,被强行引导到商业网 站。 所谓浏览器劫持是指网页浏览器(IE等)被恶意程序修改。 常见现象为主页及互联网搜索页变为不知名的网站、经常 莫名弹出广告网页输入正常网站地址却连接到其他网站。 收藏夹内被自动添加陌生网站地址等等。
20
所谓钩子程序,就是利用了系统提供的Hook API,让自 己比每一个程序都提前接收到系统消息,然后做出处 理,如果一个钩子拦截了系统给某个程序的 WM_CLOSE消息,那么这个程序就会因为接收不到关 闭消息而无法关闭自身。
21
Hook技术让编程人员可以轻松获取其他程序的一些有用 数据或传递相关数据,像现在常见的一些游戏外挂, 它们就是利用Hook技术钩住了游戏窗体,然后就可以 识别游戏里面的行为和模拟发送按键鼠标消息,最终 实现电脑自己玩游戏的功能。把这个技术应用到浏览 器上面,就成了另一种控制浏览器行为的方法。
动添加网站到“受信任站点”、不经意的插件提示安 装、收藏夹里自动反复添加恶意网站链接等。
4
流氓网站,使用不正当手段修改你主页的网站,它们 是在臭名昭著的流氓软件衰败后冒出的。部分流氓 网站还与病毒勾肩搭背,借助一些木马下载器推广 一起暗算你的电脑。
5
浏览器劫持从技术方面来说,它是一种常见的在 线攻击类型,黑客可通过这种方式控制的计算机 的浏览器,并更改网上冲浪的方式和冲浪时所显 示的内容。 浏览器劫持分为多种不同的方式,从最简单的修 改IE默认搜索页到最复杂的通过病毒修改系统设 置并设置病毒守护进程,劫持浏览器。