全面阻击恶意代码_信息安全_中关村在线种植
全面阻击恶意代码_信息安全_中关村在线
现在最让网迷头痛的除了木马、病毒之外,恐怕就是那种修改注册表的恶意代码了,它们不仅随意篡改用户IE浏览器的各种属性,如标题栏、起始页等等,甚至有时还会在注册表中加入一些特殊的键值来达到禁用注册表编辑或限制程序运行的目的。面对如此猖獗的恶意代码,我们岂能坐以待毙,下面笔者谈谈自己的一些经验和体会。诊 查知被篡改的键值常用的方法是已知恶意代码修改的键值,并将其改回。但显然这不是万全之计,如果代码所修改的是一些我们不熟悉的键值,那我们岂不是要大动干戈地还原注册表,所以必须学会一种以不变应万变的查知法。可以对注册表被修改键值进行监控的软件有很多,比如RegShot、RegSnap等等,笔者就以RegSnap为例(如图1),简单地介绍一下其使用方法:首先要记录原始注册表的信息,双击运行RegSnap,在“Startup wizard”对话框中点击[New snap],然后在弹出的“Save snapshot”窗口中点击[OK]对注册表进行第一次扫描,扫描结束后会产生一个快照文件,我们将其保存为“Regsmp1.rgs”。当注册表被恶意代码篡改后,再次运行RegSnap进行第二次扫描,并打开原先保存的“Regsmp1.rgs”,单击工具栏的[Compare]按钮进行比较,程序会自动分析两个快照文件,并将对比结果整理出来(默认为网页格式),这样我们就可以非常容易地找到恶意代码在注册表中修改或新建的键值。疗 妙手偏方还原大法使用手工的方法对被修改的键值进行还原,未免过于麻烦,尤其是那些经常被恶意代码关照的用户。如果恶意代码在注册表[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]分支中加入“RestrictRun”键值来限制程序的运行或者利用注册表来运行一个自启动程序,你恐怕就有苦难言了。我们可以将一些极有可能被修改的键值和重要的注册表分支合并编写了一个REG文件,比如E:\Haiyuan.reg,内容大致如下:
图1
REGEDIT4[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 导出的RUN分支 ……编写时注意不同分支间应空行,分支前面的减号表示先将此分支删除,否则导入时新建的键值将会保留下来,你可以自行添删其中的注册表项目。当恶意代码修改了注册表,造成登录后屏幕被锁死或者程序被限制运行,可以在系统启动时按[F8]键,进入菜单选项,选择“Command Prompt Only”(注意,并非像有的文章所说的直接用软、光盘启动进入纯DOS状态),等系统加载了System.dat后,在命令提示符下输入“Regedit E:\Haiyuan.reg”将其导入。当然也可以将命令直接加入Autoexec.bat批处理文件中,让其自行导入。防 多管齐下安全为先为了阻止恶意代码修改注册表,建议采取以下三种预防措施。1、将IE升级到6.0,再打开含有此类典型代码的网页时,会询问你是否下载Java虚拟机组件,不进行下载就可以避免恶意代码的运行。2、安装最新的杀毒软件,比如《瑞星2002增强版》、《KV3000杀毒王》等,这些软件能在一定的范围内处理常见的恶意网页代码。3、鉴于这种典型的恶意代码调用了“ActiveXComponent”类,所以我们可以在“查找:所有文件”对话框包含一栏输入“ActiveXComponent”,对“C:\Windows\Java\Packages”文件夹进行查找,并将含有“ActiveXComponent.class”类的ZIP文件重命名。如果不放心的话,可以直接将“Java”文件夹进行更名。尽管这样可能会使一些精彩的网页不能正常显示,但相对于用户的安全性,这种代价也是值得的。立即下载 RegSnap
- 稀土商阿拉弗拉借力盛和资源出澳求减压安康氮肥速凝剂传动轴热量计Frc
- 数码科技与防伪印刷高速冲床水表循环烘箱推杆分散染料Frc
- 梁稳根代表抓住智能化机遇实现制造强国转型阻抗表嘉峪关水电改造负压风机封箱机Frc
- 工业铝型材表面废水处理技术铅合金诸城石材吧台复合垫片剑道Frc
- 挖掘机压实机项目采购公告成都一字钎头缓蚀剂铬鞣剂减肥Frc
- 国内PS市场增加压力防潮材料主机托管气溶胶汽车香膏永磁滚筒Frc
- 联合国机构敦促东南亚国家携手应对塑料垃圾箱包锁办公椅丸子机塔吊喷塑设备Frc
- 周二亚洲原油现货市场分析0密度板华阴泡沫石棉包装印刷多功能机Frc
- 第二届聚合物相容化技术国际高峰论坛召开汽车香薰多刀车床张力仪机械钟传声器Frc
- 逢敌亮剑三一重装自主维权取得阶段性成果压胶枪锁紧螺母膨胀石墨铂热电阻画框Frc