反黑风暴-第17章

按键盘上方向键 ← 或 → 可快速上下翻页，按键盘上的 Enter 键可回到本书目录页，按键盘上方向键 ↑ 可回到本页顶部！
————未阅读完？加入书签已便下次继续阅读！


算机系统，即可完成对IE浏览器默认首页中的按钮恢复。

5．篡改IE浏览器的标题栏

正常情况下，打开IE浏览器的主页，其标题栏后面都会有“MicrosoftInterExplorer”的字样。但当网站受到恶意代码的攻击后，这些恶意网站就利用注册表将后面的字样修改成为网址或一些广告信息。标题栏后面的字样由“MicrosoftInterExplorer”变成了“。zhonghua。”。

这种情况是由于恶意代码修改了注册表中的“HKEY_LOCAL_MACHINESoftwareMicrosoftInterExplorerMain”键值项和“HKEY_CURRENT_USERSoftwareMicrosoftInterExplorerMain”键值项中的“WindowTitle”键值项。

要解决这个问题，可按照下面的步骤进行操作。

步骤01打开【注册表编辑器】窗口，在左侧窗口中依次展开“HKEY_LOCAL_MACHINESoftwareMicrosoftInterExplorerMain”键值项，在右侧窗口中找到“WindowTitle”键值项并右键单击，在弹出的快捷菜单中选择【删除】菜单项。

步骤02此时，即可弹出【确认数值删除】对话框。单击【是】按钮，删除该数值，并重启计算机系统，即可完成对IE浏览器标题栏的修复。

6。篡改IE鼠标右键快捷菜单项

当用户打开IE浏览器，在工作区域中右键单击，即可发现在弹出菜单中被加入了一些乱七八糟的内容，甚至有些功能被禁止或直接把鼠标右键的功能屏蔽掉。

如果IE鼠标右键快捷菜单项被加入了一些乱七八糟的内容，这种情况可能是用户打开的某个网站被恶意代码攻击了，恶意代码利用注册表修改“HKEY_CURRENT_USERSoftwareMicrosoftInterExplorerMenuExt”项中的子选项，造成IE鼠标右键快捷菜单项增加一些无关紧要的内容。

要删除右键快捷菜单项中的不必要的内容，可按照如下方法进行操作：

打开【注册表编辑器】窗口，在左侧窗口中依次展开“HKEY_CURRENT_USERSoftwareMicrosoftInterExplorerMenuExt”项，将“MenuExt”项下相关的广告信息删除。

如果IE鼠标右键快捷菜单项中的某些功能被禁止，那么可通过下面的方法修改注册表中的相应键值项，来恢复这些功能。其具体操作步骤如下：

步骤01打开【注册表编辑器】窗口，在左侧窗口中依次展开“HKEY_CURRENT_USERSoftwarePoliciesMicrosoftRestrictions”项，在右侧窗口中找到“NoBrowserContextMenu”键值项。

步骤02双击“NoBrowserContextMenu”键值项，在弹出的【编辑DWORD值】对话框中，将其键值修改为“1”。单击【确定】按钮，即可恢复IE鼠标右键快捷菜单项中的某些功能。

7．系统启动时弹出网页或对话框

当系统启动时，在进入桌面之前就会自动弹出网页或对话框。这也是恶意代码修改注册表造成的后果，修改的注册表项为“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWinlogon”。恶意代码会在其下建立字符串“LegalNoticeCaption”和“LegalNoticeText”，其中“LegalNoticeCaption”是提示框的标题，“LegalNoticeText”是提示框的文本内容。

由于它们的存在，使用户每次登录到Windows桌面前都出现一个提示窗口，显示这些网页的信息要避免启动时，再次弹出这些网页或对话框，可将注册表中的这两项删除。

6。4。3恶意代码攻击的防范

要禁止恶意代码的运行，从而避免恶意网页的攻击，可以采取一些有效的措施进行防范。用户首先要做好IE的安全设置。下面介绍几种可以有效地防止恶意代码攻击的设置方法。

1．设置IE安全级别

具体的操作步骤如下：

步骤01打开IE浏览器，选择【工具】→【Inter选项】菜单项，打开【Inter选项】对话框。切换到【安全】选项卡，单击其中的【自定义级别】按钮。

步骤02打开【安全设置】对话框，在下方的“重置为”下拉列表中选择“安全级…高”选项，将安全级别由“中”改为“高”。

2．禁用ActiveX控件与相关选项

ActiveX控件和Applets有较强的功能，但也存在被恶意程序利用的隐患，网页中的恶意代码往往就是利用这些控件编写的小程序，只要打开网页就会被运行。所以要避免恶意网页的攻击，就要禁止这些恶意代码的运行。禁用ActiveX控件与相关选项的具体设置方法如下：

打开【Inter选项】对话框，切换到【安全】选项卡，单击其中的【自定义级别】按钮，即可打开【安全设置】对话框，在“设置”列表框中建议用户将ActiveX控件与相关选项都设置为禁用，就可以避免受到带有恶意代码的网页的攻击。

3．禁止访问某些站点

网络上有很多站点都带有恶意代码，容易使浏览者中招。如果用户知道哪些站点存在恶意代码，可以在IE中做一些设置，以便以后永远不进该站点。具体的操作步骤如下：

步骤01打开【Inter选项】对话框，切换到【内容】选项卡。单击“分级审查”区域中的【启用】按钮。

步骤02打开【内容审查程序】对话框，切换到【许可站点】选项卡，在“允许该网站”文本框中输入不想去的网站网址，单击【从不】按钮。

步骤03在设置完成后，单击【确定】按钮，则用户以后都不会进入该站点中。

4。禁止使用注册表

为了避免一些不怀好意的黑客利用注册表更改里面某些项的值，可以为注册表“加锁”。其具体操作步骤如下：

步骤01单击【开始】→【运行】按钮，在打开的【运行】对话框中输入“regedit”，并单击【确定】按钮，即可打开【注册表编辑器】窗口。

步骤02在窗口左侧的树形目录中依次选择“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem”选项并右键单击，在弹出的快捷菜单中选择【新建】→【DWORD值】菜单项，即可新建一个DWORD值项。

步骤03将新建的DWORD值项重命名为“DisableRegistryTools”，并双击该项，将其值更改为“1”。单击【确定】按钮，即可禁止使用注册表编辑器。

此外，还要尽量避免受到恶意代码的攻击，用户在日常操作中还需要注意如下几点：

●要避免被网页恶意代码感染，首先关键是不要轻易去一些并不信任的站点，尤其是一些不知名的、带有ActiveX控件等的网址。但是这个并不能真正地防止恶意代码的攻击。

●一定要在计算机上安装网络防火墙，并要一直打开“实时监控功能”。

●随时升级IE浏览器的补丁，以免IE出现漏洞，恶意代码趁虚而入。

●建议使用“超级兔子”备份正常的注册表中的Classes。dat、System。dat、System。ini、User。dat、Win。ini等文件，恶意代码一般都是通过修改这些文件来达到其目的的。

●定期还原正常注册表。当用户察觉到自己可能受到恶意代码攻击时，最好定期还原正常的注册表。这样做虽然不能彻底删除此类恶意程序，但却能让其完全禁止运行，因为这类程序是通过修改注册表来达到随机运行的目的的，只不过我们无法通过手工删除干净。

第五章　专家课堂（常见问题与解答）

点拨1：使用综合代码植入和流程控制技术实施缓冲区溢出攻击时，代码植入和缓冲区溢出一定要在一次动作内完成吗？

解答：代码植入和缓冲区溢出不一定要在一次动作内完成。攻击者可以在一个缓冲区内放置代码，但是不能溢出缓冲区。攻击者再通过溢出另外一个缓冲区来转移程序的指针。这种方法一般用来解决可供溢出的缓冲区不够大（不能放下全部的代码）的情况。

点拨2：为了防止恶意代码修改注册表，可禁止使用注册表编辑器。但若因为特殊原因需要修改注册表，应如何解锁注册表？

解答：用记事本编辑一个任意名字的。reg文件，比如jiesuo。reg，其中的内容如下：

REGEDIT4

；这里一定要空一行，否则将修改失败

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem

〃DisableRegistryTools〃=DWORD：00000000

对于WindowsXP系统，把“REGEDIT4”改为“WindowsRegistryEditorVersion5。00”即可。

第一章　恐怖的网络钓鱼攻击

网络钓鱼（Phishing）一词是英文单词“Fishing”和“Phone”的综合，由于黑客始祖最初是以电话作案的，所以用“Ph”取代了“F”，创造了“Phishing”，Phishing的发音也与Fishing相近。网络钓鱼属于社会工程学攻击的一种，就其本身来说，网络钓鱼称不上是一种攻击手段，更像是一种诈骗方法。

攻击者利用伪造的电子邮件和伪造的Web站点来进行诈骗活动，诱骗访问者访问其伪造的页面，并获取受害人的一些个人信息，如信用卡号、账户和口令等个人隐私内容，以获取非法利益。诈骗者通常会将自己的伪装成知名银行、在线零售商和信用卡公司等可信的品牌。这就是典型的网络钓鱼攻击方式，这里的“鱼铒”就是欺骗性的电子邮件与伪造的Web站点。

攻击者为了扩大攻击范围，会利用邮件、IM即时通讯工具批量群发这些欺骗性信息，甚至会通过使用高级黑客手段（蠕虫式感染等）来进行攻击。钓鱼式攻击属于社会工程学攻击的一种。

网络钓鱼攻击的主要方法有如下7种。

1。发送电子邮件，以虚假信息引诱用户中圈套

钓鱼者以垃圾邮件的形式向受害者发送大量的欺诈性邮件，这些邮件多以中奖、顾问、对帐等内容引诱用户在邮件中填入金融账号和密码，或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息，继而盗窃用户资金。

如，钓鱼者自称是某个购物网站或某商业网站的客户代表，告诉用户，如果不登录其所提供的某伪造网站并提供自己的身份信息，则该用户在该购物网站的账号就有可能被封掉。

当然，这种钓鱼方法在早期的网络钓鱼攻击中比较常见，现在的网络钓鱼者往往通过远程攻击一些防护薄弱的服务器获取客户名称的数据库，并通过钓鱼邮件投送给明确的目标。

2。利用浏览器漏洞实现钓鱼技术

利用浏览器的地址栏欺骗漏洞和跨域脚本漏洞可以实现完美的钓鱼攻击。利用地址栏欺骗漏洞，钓鱼攻击者可以在真实的URL地址下伪造任意的网页内容；利用跨域脚本漏洞，钓鱼攻击者可以跨域名跨页面修改网站的任意内容。

当用户访问一个URL时，返回给用户的却是攻击者可以控制的内容，如果这里伪造的是一个钓鱼网页内容，普通用户就会无从分辨真伪。

利用这种方法实现钓鱼攻击，对用户来说危害是最严重的，因为这类攻击利用的是客户端软件漏洞，完全不受服务端程序和网络环境的限制，是网站管理员无法控制的。用户只能在知道漏洞的情况下，及时安装软件补丁，或使用安全软件修补客户端软件的漏洞。

3。利用URL编码实现钓鱼技术

浏览器除了支持ASCII码字符的URL，还支持ASCII码以外的字符，同时支持对所有的字符进行编码。URL编码就是将字符转换成16进制，并在前面加上“％”前缀，比如“”的ASCII码是92，92的十六进制是5c，所以“”的URL编码就是“％5c”。这样的URL编码浏览器和服务端都能够正常支持。

从这些原理分析来看，攻击者是如何通过URL编码进行钓鱼攻击呢？

钓鱼攻击者常用攻击伎俩就是混淆URL，通过利用相似的域名和内容骗取受害者信任，这里就存在一个相似度的值，通过URL编码就能提高URL的相似度。如，用户看到经常使用的域名。baidu。，往往会不加思索地直接单击，但若看到域名“。diaoyu。”，可能就会迟疑。

但如果用户看到域名“//。baidu。％2e％64％69％61％6f％79％75％2e％63％6f％6d”，可能也会直接单击。因为对普通用户来说，这个域名就是百度的域名，只是在后面加了一些页面地址而已，是可以绝对信任的。

其实，这个域名是经过URL编码的，还原回来的域名是“。baidu。。diaoyu。”。这个域名跟百度一点关系也没有，是攻击者在这个域名上伪造了一个百度的页面和相关功能，而普通用户是很难分辨出真伪的。用户就极易进入钓鱼网站，被攻击的可能性也大大增加。

4。建立假冒网上银行、网上证券网站，骗取用户账号和密码

不法分子还经常会创建域名和网页内容都与真实的网上银行系统、网上证券交易平台极为相似