《计算机病毒电子课件 3 2 1网页脚本病毒分析》由会员分享,可在线阅读,更多相关《计算机病毒电子课件 3 2 1网页脚本病毒分析(26页珍藏版)》请在金锄头文库上搜索。
1、计算机病毒与防治 重庆电子工程职业学院 计算机病毒与防治课程小组 教学单元3 2网页脚本病毒防治 网页脚本病毒特点 网页脚本病毒简介 网页脚本病毒现象及清除 第一讲网页脚本病毒分析 计算机病毒与防治课程小组 网页脚本操作实验 网页脚本病毒简介 计算机病毒与防治课程小组 网页脚本病毒通过浏览网页侵入 难以识别 难以防范 网页病毒的工作过程如下 第一步 网页病毒大多由恶意代码 病毒体 通常是经过伪装成正常图片文件后缀的 exe文件 和脚本文件或JAVA小程序组成 病毒制作者将其写入网页源文件中 第二步 用户浏览上述网页 病毒体和脚本文件以及正常的网页内容一起进入计算机的临时文件夹中 第三步 脚本文
2、件在显示网页内容的同时开始运行 要么直接运行恶意代码 要么直接执行病毒程序 要么将伪装的文件还原为 exe文件后再执行 执行任务包括 完成病毒入驻 修改注册表 嵌入系统进程 修改硬盘分区属性等 第四步 网页病毒完成入侵 在系统重启后病毒体自我更名 复制 再伪装 接下来的破坏依病毒的性质正式开始 网页脚本病毒简介 计算机病毒与防治课程小组 网页病毒的工作过程或称其为遗传结构是简单的 但变异也是相当快的 1 可以通过杀毒软件杀灭 但遗憾的是杀毒软件总是慢半拍 尤其对网页病毒 杀毒软件几乎跟不上趟 2 只要禁止脚本文件执行则网页病毒就无法完成入侵 但是这么一来大部分的网页特效也将无法展示 网页将失去
3、生动华丽 光彩照人的魅力 3 使用杀毒软件的脚本监控功能 从系统的底层监视浏览器的网页执行 并产生提示信息 由用户自己决定取舍 这一方法在使用中显然不合常理 因此并未得到用户的广泛认可 4 采用恶意网页代码清除技术 这一方法在使用中仅仅解决极少数早先被截获的恶意网页代码在IE中的修复问题 效果极差 5 采用屏蔽自定义的恶意网站列表的方法 这一做法太弱智 恶意网站层出不穷 无法能靠屏蔽自定义列表解决 6 某些第三方管理软件的设计工程师不但采用脚本监控技术 而且对脚本服务模块进行多层次处理 一方面保障脚本文件在所有浏览器中正常启用 一方面切断脚本文件携带病毒入侵的一切可能路径 在这方面做得较好的软
4、件有 白猫清理工 优化大师 超级兔子等 配合软件中的禁止IE自动弹出窗口功能 基本可以不再惧怕恶意网站 网页脚本病毒简介 网页脚本病毒的技术原理 计算机病毒与防治课程小组 病毒形成的罪魁祸首就是WSH和MicrosoftInternetExplorer漏洞 WSH架构于ActiveX之上 是在Windows平台上独立于语言的脚本运行环境 可以实现Windows上的各种控制操作 在网页中使用JAVASCRIPT VBSCRIPT ACTIVEX等网页脚本语言 结合WSH的功能 利用多种网络漏洞实现病毒代码的嵌入 1 IE的漏洞 错误的MIME MultipurposeInternetMailEx
5、tentions 多用途的网际邮件扩充协议头 MicrosoftInternetExplorer浏览器弹出窗口 Object类型验证漏洞等 2 网页组件漏洞 JavaApplet JavaScript ActiveX等组件 网页脚本病毒的技术原理 网页脚本病毒特点 计算机病毒与防治课程小组 页面特征 1 诱惑的网络名称以及利用浏览者的无知 2 利用浏览者的好奇心 3 无意识的浏览 技术特征 1 隐藏性强 2 传播性广 3 病毒变种多 网页脚本病毒的特征 网页脚本病毒现象及清除 计算机病毒与防治课程小组 现象 默认的主页被修改成某一网站的地址 比如 IE浏览器的默认主页被修改成为http www
6、 com 而且收藏夹中也加入了一些非法的站点 IE浏览器被修改后的主页 是一些黄色或非法站点 打开IE后会不断打开下一级网页 还有一些广告窗口 使计算机资源耗尽 清除方法 1 首先我们要看一下被病毒修改后的主页地址是多少 记录下来 如http www com 2 打开 控制面板 中的 Internet选项 在 Internet选项 常规 中 找到 Internet临时文件 菜单 选择 删除Cookies I 和 删除文件 F 菜单 将IE的临时文件和所有的Cookies删除 3 在 开始 菜单中的 运行 中输入 Regedit 打开注册表编辑器 打开键HKEY LOCAL MACHINE SO
7、FTWARE Microsoft Windows CurrentVersion Run选项 在右面空白处查找加载的http www com选项并删除 最后在注册表编辑器中 使用查找命令 查找http www com键值并删除 重新查找整个注册表中的http www com键值并删除 然后退出注册表编辑器 默认主页被修改 网页脚本病毒现象及清除 现象 这种病毒将IE浏览器主页设置禁用 表现为 IE的主页被修改为http www com IE浏览器 Internet选项 常规 选项中的 主页 变成了灰色 无法更改当前的主页 清除方法 在 开始 菜单的 运行 中输入 Regedit 打开注册表编辑器
8、 查找 HKEY CURRENT USER Software Microsoft InternetExplorer 分支 新建 ControlPanel 主键 然后在此主键下新建键值名为 HomePage 的DWORD值 值为 00000000 按F5键刷新生效 主页设置被屏蔽锁定 且设置选项无效不可更改 网页脚本病毒现象及清除 计算机病毒与防治课程小组 现象 IE标题栏被添加垃圾信息 或添加非法网站的介绍 清除方法 打开注册表编辑器 找到如下路径的键值项 HKEY CURRENT USER Software Microsoft InternetExplorer MainHKEY LOCAL
9、MACHINE Software Microsoft InternetExplorer Main将两项下的WindowTitle值改为 InternetExplorer IE标题栏被更改 现象 通过修改注册表 鼠标右键弹出菜单功能在IE浏览器中被完全禁止 在IE中点击右键毫无反应 解决办法 将 HKEY CURRENT USER Software Policies Microsoft InternetExplorer Restrictions 下的 NoBrowserContextMenu 项改为 0 按F5键刷新生效 鼠标右键弹出菜单被禁用 网页脚本病毒现象及清除 计算机病毒与防治课程小组
10、现象 有时某些病毒修改了注册表设置 禁用了注册表编辑功能 这时使用注册表编辑器直接修改就不行了 实际上这种病毒是将 HKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies System 下的 DistableRegistryTools 设为 1 了 清除方法 1 可以使用编程工具编一个应用程序 通过程序调用系统API函数修改注册表值 将 HKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies System 下的 DistableRe
11、gistryTools 设为 0 2 使用注册表对对后缀名为 reg 文件中键值项的直接导入功能处理 新建一个文本文件 录入如下信息 WindowsRegistryEditorVersion5 00 HKEY CURRENT USER Software Microsoft CurrrentVersion Policies System DistableRegistryTools dWord 00000000将文本文件另存为 reg的文件 双击此 reg文件 注册表即可解除锁定 注册表被锁定 禁止编辑 网页脚本病毒现象及清除 计算机病毒与防治课程小组 提高缓存网页防范能力 如果不小心中了木马或病
12、毒 电脑运行速度变得非常慢 如何躲过那些表面平静 却暗藏病毒的网页陷阱 木马或病毒程序要发作的话总是要执行的 只要把它执行的可能性去掉 木马或病毒就不起作用了 如何去掉木马或病毒执行的可能性呢 先找到这些个可能被执行的地方 C DocumentsandSettings Administrator LocalSettings Temp 和 C DocumentsandSettings Administrator LocalSettings TemporaryInternetFiles 这两个地方是上网时 所有网页病毒到达我们电脑的必经之地 网页脚本病毒现象及清除 使用 组策略编辑器 点击 开始
13、菜单 选择 运行 输入 gpedit msc 并点击确定打开组策略编辑器 在编辑器中依次点击 计算机配置 WINDOWS设置 安全设置 软件限制策略 其他规则 右击 其他规则 如下图 点击 新路径规则 将 C DocumentsandSettings Administrator LocalSettings Temp 和 C DocumentsandSettings Administrator LocalSettings TemporaryInternetFiles 这两个地址的安全策略设置为 不允许 网页脚本病毒现象及清除 计算机病毒与防治课程小组 给IE附加运行参数 可以给IE浏览器指定特殊
14、的运行参数 打开C ProgramFiles InternetExplorer文件夹 右击Iexplore exe文件 选择 发送到 桌面快捷方式 再右击桌面上新建的快捷方式 即可在后面添加参数 要注意的是 程序名和参数之间要用空格分开 如果有多个参数 则也必须将多个参数用空格分开 通过给Iexplore运行添加参数的方法可以实现更多附加的处理功能 可以添加如下参数 下页 网页脚本病毒现象及清除 给IE附加运行参数 1 给IE穿上一件免费防弹衣在Iexplore exe后面添加 nohome 参数 打开一个空白IE窗口 2 轻松修复IE rereg 参数 可重新注册IE组件 轻松修复IE 3
15、拯救 死掉 的IE new 参数 启动另一个IEXPLORE进程 4 其它参数 k 参数可以让IE工作在全屏方式下 slf 参数会让IE连接到默认的主页 而且会从缓存中打开默认主页 网页脚本病毒现象及清除 计算机病毒与防治课程小组 1 IE莫名跳窗应该是恶意广告程序作怪 可以按以下方法修复 重新注册IE项 修复IE注册 从 开始 运行 输入命令regsvr32actxprxy dll确定 再输入命令regsvr32shdocvw dll确定 2 跳窗网页可能保留在HOSTS 一经上网就先触发该网址为默认网址 跳窗网页就会自动打开 检查HOSTS 用记事本在C WINDOWS system32
16、drivers etc 目录下打开HOSTS在里面检查有没有网址 有则删除 或在前面加127 0 0 1保存后屏蔽掉即可 跳窗网页病毒 可重新注册IE组件 网页脚本病毒现象及清除 计算机病毒与防治课程小组 有些网页病毒或木马只要调高IE的安全级别 或者禁用脚本 该网页脚本程序就不起作用了 第一步 在IE浏览器的菜单栏上选择 工具 Internet选项 打开 Internet选项 对话框 第二步 在 安全 选项卡上 在Internet和本地Internet区域 分别把滑块移动到最高 或者点击 自定义级别 在打开的对话框上禁用脚本 禁用ActiveX控件 提高IE的安全级别 禁用脚本和ActiveX控件 脚本及恶意网页病毒实验 计算机病毒与防治课程小组 1 通过网页在本地建立文件 使用CreateTextFile命令可实现 将以下网页代码录入文本文件中并以保存为一个扩展名为 Html的网页文件 创建文件c TEST HTM在IE中浏览此文件后 可见在C盘下创建了一个名为 Test HTM 的文件 实验1磁盘文件对象的使用 脚本及恶意网页病毒实验 计算机病毒与防治课程小组 2 通过网页方式修
