网页恶意代码.docx
《网页恶意代码.docx》由会员分享,可在线阅读,更多相关《网页恶意代码.docx(19页珍藏版)》请在冰豆网上搜索。
网页恶意代码
8.2.2 网页恶意代码攻击
(1)
随着Internet技术的发展,现在越来越多的人都用自己的个人主页来展示自己,可这些个人网站也成了网页恶意代码攻击的对象。
从刚开始只是修改IE首页地址,迫使用户一打开IE就进入他的主页来提高主页的访问量,一直到后来发展为锁定IE部分功能阻止用户修改回复,甚至有些网页恶意代码能够造成系统的崩溃、数据丢失。
下面我们就来看看网页恶意代码是根据什么来攻击的。
1.Windows注册表
网页恶意代码大多数都是通过修改注册表来实现攻击目的的,那么注册表究竟有什么作用呢?
注册表是Windows9X以后所有的操作系统、硬件设备,以及应用程序能够正常运行和保存设置的核心"数据库";也可以将注册表看做是一个巨大的树形分层结构的数据库系统,里面存放着用户安装在计算机上的软件和每个程序之间相互关联的信息,还包含计算机的硬件配置,如即插即用配置设备及已有的各种设备说明、状态属性,以及各种状态信息和数据等。
用户可通过Windows提供的注册表编辑器"REGEDIT.EXE"及注册表文件引入等方法来修改编辑注册表配置。
正确地修改注册表中的配置参数就可以优化系统的工作状态,使系统更快、更方便,如果不慎修改失误,就有可能导致系统出错、崩溃。
因此,在修改配置注册表之前需要做好备份工作,谨慎修改。
2.攻击原理
大部分恶意攻击性的网页都是通过修改浏览该网页的计算机用户注册表,来达到修改IE首页地址、锁定部分功能等攻击目的。
我们只是浏览网页,它们怎么就瞒过我们修改了注册表呢?
这就不得不提微软的ActiveX技术了,ActiveX是Microsoft提供的一组使用COM使软件部件在网络环境中进行交互的技术集。
ActiveX技术与编程语言毫无关系。
它是被用做针对Internet应用开发的重要技术之一,广泛应用于Web服务器,以及客户端的各个方面。
也正因为如此,ActiveX可被用于网页编制中,使用JavaScript语言就可以很容易地将ActiveX嵌入到Web页面中。
目前已有很多第三方开发商开始编制各式各样的ActiveX控件,现在Internet上,也有上千个ActiveX控件供用户下载使用。
这些被下载的ActiveX控件都保存在C盘的SYSTEM目录下。
随着ActiveX控件的广泛应用,考虑到Web的安全性,也为了在服务器能够与客户端之间建立良好的信任关系,就规定每个在Web上使用的ActiveX控件都需要设置一个"代码签名",如果要正式发布,就必须向相关机构申请。
由于"代码签名"技术的不完善,导致了许多攻击性代码能够顺利破解"代码签名",修改注册表。
下面提供一个简单的恶意代码供大家学习:
1.
2.
3.
网页恶意代码实例 4.
5.
22.
恶意代码攻击实验
23.
24.
你的IE首页已经被修改成为""。
25.
26.
此段代码可以修改IE首页地址,主要是通过修改注册表"HKEY_CURRENT_USER\SOFTWARE\Microsoft\InternetExplorer\Main\StartPage"中的键值来完成的。
3.网页恶意代码的攻击表现
网页恶意代码的攻击体现在如下几个方面。
1)篡改IE主页
①攻击效果
打开IE浏览器打开的并不是以前设置的主页。
②被修改的注册表项目
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main\StartPage
HKEY_CURRENT_USER\SOFTWARE\Microsoft\InternetExplorer\Main\StartPage
修改其中的"StratPage"的键值来达到修改IE浏览器主页的目的。
③解决方法
步骤1:
在"注册表编辑器"窗口中,依次展开"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main"子项,在右侧窗口找到"StartPage"键值项,如图8-1所示。
步骤2:
双击"StratPage"键值项,即可弹出"编辑字符串"对话框,在"数值数据"文本框中输入"about:
blank",如图8-2所示。
(点击查看大图)图8-1 找到"StratPage"项
(点击查看大图)图8-2"编辑字符串"对话框
8.2.2 网页恶意代码攻击
(2)
步骤3:
单击"确定"按钮。
使用同样方法,依次展开左侧窗口"HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main"子项,在右侧窗口中找到"StratPage"键值项,修改其值为"about:
blouk"。
步骤4:
单击"确定"按钮重新启动计算机系统,即可完成对IE浏览器主页的恢复。
2)篡改IE默认页
①攻击效果
打开IE默认网页被修改,即便设置"使用默认页"也没有用。
②被修改的注册表项
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\Default_Page_URL
③解决方法
步骤1:
打开"注册表编辑器"窗口,在左侧窗口中依次展开"HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main"子项,在右侧窗口中找到Default_page_URL键值项,如图8-3所示。
步骤2:
双击右侧窗口中的"Default_Page_URL"键值项,即可弹出"编辑字符串"对话框,在"数值数据"文本框中输入"about:
blant",如图8-4所示。
(点击查看大图)图8-3"注册表编辑器"窗口
(点击查看大图)图8-4"编辑字符串"对话框
步骤3:
单击"确定"按钮,重新启动计算机系统,即可打开被修改的IE默认网页。
3)IE部分设置被禁止
①攻击效果
打开"Internet属性"对话框,发现部分功能被禁止,如图8-5所示。
(点击查看大图)图8-5 中毒后的"Internet属性"对话框
②被修改的注册表项
HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel
③解决方法
步骤1:
打开"注册表编辑器"窗口,在左侧窗口中依次展开"HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel"子项,在右侧窗口中找到"Settings"、"Links"、"SecAddSites"等键值项,如图8-6所示。
(点击查看大图)图8-6"注册表编辑器"窗口
步骤2:
依次将"Settings"、"Links"、"SecAddSites"的键值修改为"0",如图8-7所示。
(点击查看大图)图8-7 修改3个键值
8.2.2 网页恶意代码攻击(3)
4)IE浏览器默认首页中的按钮被禁用
①攻击效果
当打开"Internet属性"对话框时,发现"主页"区域下的所有功能都被禁止,如图8-8所示。
(点击查看大图)图8-8"Internet属性"对话框
②被修改的注册表项HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel。
③解决方法
步骤1:
打开"注册表编辑"窗口,在左侧窗口依次展开"HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel"子项,在右侧窗口中找到"homepage"键值项,如图8-9所示。
(点击查看大图)图8-9"注册表编辑器"窗口
步骤2:
双击"homepage"键值项,即可弹出"编辑DWORD值"对话框,在其中修改其键值为"0",如图8-10所示。
步骤3:
单击"确定"按钮,重新启动计算机系统,即可完成对IE浏览器默认首页中的按钮恢复。
5)篡改IE浏览器的标题栏
①攻击效果
在正常情况下,IE浏览器的标题栏后面都会有"MicrosoftInternetExplorer"的字样,而一些恶意网站就利用注册表修改成为网址或一些广告信息,如图8-11所示。
图8-10 修改"homepage"的键值
(点击查看大图)图8-11 被篡改的IE标题栏
②被修改的注册表项
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main
③解决方法
步骤1:
在"注册表编辑器"的左侧窗口中,依次展开"HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main"子项,在右侧窗口中找到"WindowTitle"键值项,如图8-12所示。
(点击查看大图)图8-12 删除"WindowTitle"键值项
步骤2:
用鼠标右键单击"WindowTitle"键值项,在弹出的快捷菜单中选择"删除"命令,即可弹出"确认数值删除"对话框,如图8-13所示。
图8-13"确认数值删除"对话框
步骤3:
单击"是"按钮后,重启计算机系统,即可完成对IE浏览器标题栏的修复。
6)禁止电脑功能
①攻击效果
开始菜单中的"关闭系统"、"运行"、"注销"都被隐藏;注册表编辑器、DOS程序、任何运行程序都被禁止;"安全模式"无法进入,就连驱动器也被隐藏了。
②解决方法
8.2.2 网页恶意代码攻击(4)
如果遇到这种情况,系统基本上就崩溃了,建议重装系统。
7)格式化硬盘
①攻击效果
当浏览带有此类恶意代码的网页时,浏览器就会自动弹出警告"当前的页面含有不安全的ActiveX,可能会对你造成危害",让用户选择是否继续。
如果选择了"是",则硬盘正在被格式化,而格式化时的操作都是最小化进行的,等发现时后悔也来不及了。
②解决方法
只能做到时刻警惕,对一些弹出ActiveX的警告页面一定要谨慎处理,看仔细了再选择,不要随便就选择"是"。
因为提示的信息也有可以是其他内容,如"Windows正在删除临时文件,是否继续"等,因此要特别留意这些信息。
8)下载木马程序
①攻击效果
浏览含有此类恶意代码的网站时,就会在不知不觉中下载并运行木马程序,没有任何提示与警告,让人无法防备。
此类恶意代码是针对IE5.0的一个漏洞信息,将木马程序暗藏在EML文件中,再使用一段代码指向它。
②解决方法
升级IE浏览器的版本,让其高于5.0以上版本。
也可以安装如金山、江民等防火墙,拦截带有木马的网页信息。
9)篡改IE鼠标右键快捷菜单
①攻击效果
当你用鼠标右键单击浏览器的工作区域时,会发现在弹出的快捷菜单中被加入了一些乱七八糟的内容,甚至有些功能被禁止或直接把鼠标右键的功能屏蔽掉,如图8-14所示。
②解决的具体操作方法
鼠标右键快捷菜单被修改
在"注册表编辑器"左侧的窗口中,依次展开"HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\MenuExt"子项,将其中相关的广告信息删除,如图8-15所示。
图8-14 被修改的鼠标右键快捷菜单
(点击查看大图)图8-15"注册表编辑器"窗口
鼠标右键功能被禁止
步骤1:
打开"注册表编辑器"窗口,在左侧的窗口中依次展开"HKEY_CURRENT_USER\Software\Policies\Microsoft\Restrictions",在右侧窗口中找到"NoBrowserContextMenu"键值项,如图8-16所示。
步骤2:
双击"NoBrowserContextMenu"键值项,在弹出的对话框中,将其键值修改为"1",如图8-17所示。
(点击查看大图)图8-16 找到"NobrowserContextMenu"
(点击查看大图)图8-17 修改键值
3)系统启动时弹出对话框或网页
①攻击效果
每当系统启动时,就会自动弹出带有广告信息的对话框,或者疯狂弹出大量的网页窗口,关也来不及,恶毒得甚至可以造成系统瘫痪。
②解决的具体操作方法
弹出对话框的解决方法
打开"注册表编辑器"窗口,在左侧窗口中依次展开"HKEY_LOCAL_MAHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon"子项,在右侧窗口中找到"LegalNoticeText"键值项和"LegalNoticeText"键值项,再将其删除即可。
弹出网页窗口的解决方法
步骤1:
在"运行"对话框中运行"msconfig"命令,即可打开"系统配置使用程序"对话框。
步骤2:
单击"启动"选项卡,在其中取消勾选所有后缀带有"url"、"html"、"htm"的启动复选框之后,单击"确定"按钮,重新启动计算机即可。
4)定时弹出IE窗口
①攻击效果
中招的电脑会每隔一段时间就自动弹出一个IE窗口,地址指向攻击者设定的主页。
②解决的具体操作方法
在"系统配置使用程序"对话框中单击"启动"选项卡,在其中取消勾选后缀为"hta"的启动复选框,单击"确定"按钮,重新启动计算机系统即可。