1、計算機病毒與防治,重慶電子工程職業(yè)學(xué)院,計算機病毒與防治課程小組,教學(xué)單元3-2 網(wǎng)頁腳本病毒防治,網(wǎng)頁腳本病毒特點,網(wǎng)頁腳本病毒簡介,網(wǎng)頁腳本病毒現(xiàn)象及清除,第一講 網(wǎng)頁腳本病毒分析,計算機病毒與防治課程小組,網(wǎng)頁腳本操作實驗,網(wǎng)頁腳本病毒簡介,計算機病毒與防治課程小組,網(wǎng)頁腳本病毒通過瀏覽網(wǎng)頁侵入，難以識別，難以防范。網(wǎng)頁病毒的工作過程如下： 第一步:網(wǎng)頁病毒大多由惡意代碼、病毒體(通常是經(jīng)過偽裝成正常圖片文件后綴的.exe文件)和腳本文件或JAVA小程序組成，病毒制作者將其寫入網(wǎng)頁源文件中。 第二步:用戶瀏覽上述網(wǎng)頁，病毒體和腳本文件以及正常的網(wǎng)頁內(nèi)容一起進入計算機的臨時文件夾中。 第三

2、步:腳本文件在顯示網(wǎng)頁內(nèi)容的同時開始運行，要么直接運行惡意代碼，要么直接執(zhí)行病毒程序，要么將偽裝的文件還原為.exe文件后再執(zhí)行，執(zhí)行任務(wù)包括:完成病毒入駐，修改注冊表，嵌入系統(tǒng)進程，修改硬盤分區(qū)屬性等。 第四步:網(wǎng)頁病毒完成入侵，在系統(tǒng)重啟后病毒體自我更名、復(fù)制、再偽裝，接下來的破壞依病毒的性質(zhì)正式開始。,網(wǎng)頁腳本病毒簡介,計算機病毒與防治課程小組,網(wǎng)頁病毒的工作過程或稱其為遺傳結(jié)構(gòu)是簡單的，但變異也是相當快的。 （1）可以通過殺毒軟件殺滅，但遺憾的是殺毒軟件總是慢半拍，尤其對網(wǎng)頁病毒，殺毒軟件幾乎跟不上趟。 （2）只要禁止腳本文件執(zhí)行則網(wǎng)頁病毒就無法完成入侵，但是這么一來大部分的網(wǎng)頁特效也

3、將無法展示，網(wǎng)頁將失去生動華麗、光彩照人的魅力。 （3）使用殺毒軟件的腳本監(jiān)控功能,從系統(tǒng)的底層監(jiān)視瀏覽器的網(wǎng)頁執(zhí)行,并產(chǎn)生提示信息，由用戶自己決定取舍，這一方法在使用中顯然不合常理，因此并未得到用戶的廣泛認可。,（4）采用惡意網(wǎng)頁代碼清除技術(shù)，這一方法在使用中僅僅解決極少數(shù)早先被截獲的惡意網(wǎng)頁代碼在IE中的修復(fù)問題，效果極差。 （5）采用屏蔽自定義的惡意網(wǎng)站列表的方法，這一做法太弱智，惡意網(wǎng)站層出不窮，無法能靠屏蔽自定義列表解決。 （6）某些第三方管理軟件的設(shè)計工程師不但采用腳本監(jiān)控技術(shù)，而且對腳本服務(wù)模塊進行多層次處理，一方面保障腳本文件在所有瀏覽器中正常啟用，一方面切斷腳本文件攜帶病毒入

4、侵的一切可能路徑。在這方面做得較好的軟件有：白貓清理工、優(yōu)化大師、超級兔子等，配合軟件中的禁止IE自動彈出窗口功能，基本可以不再懼怕惡意網(wǎng)站。,網(wǎng)頁腳本病毒簡介,網(wǎng)頁腳本病毒的技術(shù)原理,計算機病毒與防治課程小組,病毒形成的罪魁禍首就是WSH和Microsoft Internet Explorer漏洞。,WSH 架構(gòu)于 ActiveX 之上，是在Windows平臺上獨立于語言的腳本運行環(huán)境，可以實現(xiàn)Windows上的各種控制操作。 在網(wǎng)頁中使用JAVASCRIPT、VBSCRIPT、ACTIVEX等網(wǎng)頁腳本語言，結(jié)合WSH的功能，利用多種網(wǎng)絡(luò)漏洞實現(xiàn)病毒代碼的嵌入。 （1）IE的漏洞：錯誤的MI

5、ME（Multipurpose Internet Mail Extentions），多用途的網(wǎng)際郵件擴充協(xié)議頭，Microsoft Internet Explorer瀏覽器彈出窗口，Object類型驗證漏洞等。 （2）網(wǎng)頁組件漏洞：JavaApplet、JavaScript、ActiveX等組件,網(wǎng)頁腳本病毒的技術(shù)原理,網(wǎng)頁腳本病毒特點,計算機病毒與防治課程小組,頁面特征 （1）誘惑的網(wǎng)絡(luò)名稱以及利用瀏覽者的無知。 （2）利用瀏覽者的好奇心。 （3）無意識的瀏覽。 技術(shù)特征 （1）隱藏性強。 （2）傳播性廣。 （3）病毒變種多。,網(wǎng)頁腳本病毒的特征,網(wǎng)頁腳本病毒現(xiàn)象及清除,計算機病毒與防治課程

6、小組,現(xiàn)象： 默認的主頁被修改成某一網(wǎng)站的地址。比如，IE瀏覽器的默認主頁被修改成為http:/www.*.com，而且收藏夾中也加入了一些非法的站點。IE瀏覽器被修改后的主頁，是一些黃色或非法站點，打開IE后會不斷打開下一級網(wǎng)頁，還有一些廣告窗口，使計算機資源耗盡。 清除方法： 1.首先我們要看一下被病毒修改后的主頁地址是多少，記錄下來，如http:/www.*.com。 2.打開“控制面板”中的“Internet選項”，在“Internet選項”-“常規(guī)”中，找到“Internet臨時文件”菜單，選擇“刪除Cookies（I）”和“刪除文件（F）”菜單，將IE的臨時文件和所有的Cookie

7、s刪除。 3.在“開始”菜單中的“運行”中輸入“Regedit”打開注冊表編輯器，打開鍵HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun選項，在右面空白處查找加載的http:/www.*.com選項并刪除。 最后在注冊表編輯器中，使用查找命令，查找http:/www.*.com鍵值并刪除。重新查找整個注冊表中的http:/www.*.com鍵值并刪除，然后退出注冊表編輯器。,默認主頁被修改,網(wǎng)頁腳本病毒現(xiàn)象及清除,現(xiàn)象：這種病毒將IE瀏覽器主頁設(shè)置禁用。表現(xiàn)為：IE的主頁被修改為http:/www.*.com，IE瀏覽器“I

8、nternet選項”-“常規(guī)”選項中的“主頁”變成了灰色，無法更改當前的主頁。 清除方法： 在“開始”菜單的“運行”中輸入“Regedit”打開注冊表編輯器，查找：HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorer分支，新建“ControlPanel”主鍵，然后在此主鍵下新建鍵值名為“HomePage”的DWORD值，值為“00000000”，按F5鍵刷新生效。,主頁設(shè)置被屏蔽鎖定，且設(shè)置選項無效不可更改,網(wǎng)頁腳本病毒現(xiàn)象及清除,計算機病毒與防治課程小組,現(xiàn)象： IE標題欄被添加垃圾信息，或添加非法網(wǎng)站的介紹。 清除方法： 打開注冊表編輯器，找

9、到如下路徑的鍵值項： HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain 將兩項下的Window Title值改為“Internet Explorer”。,IE標題欄被更改,現(xiàn)象：通過修改注冊表，鼠標右鍵彈出菜單功能在IE瀏覽器中被完全禁止；在IE中點擊右鍵毫無反應(yīng)。 解決辦法： 將HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictions

10、下的“NoBrowserContextMenu”項改為“0”。 按F5鍵刷新生效。,鼠標右鍵彈出菜單被禁用,網(wǎng)頁腳本病毒現(xiàn)象及清除,計算機病毒與防治課程小組,現(xiàn)象：有時某些病毒修改了注冊表設(shè)置，禁用了注冊表編輯功能，這時使用注冊表編輯器直接修改就不行了。實際上這種病毒是將HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem下的“DistableRegistryTools”設(shè)為“1”了。 清除方法： （1）可以使用編程工具編一個應(yīng)用程序，通過程序調(diào)用系統(tǒng)API函數(shù)修改注冊表值，將HKEY_CURRENT_USE

11、RSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem下的“DistableRegistryTools”設(shè)為“0”。 （2）使用注冊表對對后綴名為“.reg”文件中鍵值項的直接導(dǎo)入功能處理。 新建一個文本文件，錄入如下信息： Windows Registry Editor Version 5.00 HKEY_CURRENT_USERSoftwareMicrosoftCurrrentVersionPoliciesSystem “DistableRegistryTools”=dWord:00000000 將文本文件另存為.reg的文件。 雙擊此.

12、reg文件，注冊表即可解除鎖定。,注冊表被鎖定，禁止編輯,網(wǎng)頁腳本病毒現(xiàn)象及清除,計算機病毒與防治課程小組,提高緩存網(wǎng)頁防范能力,如果不小心中了木馬或病毒，電腦運行速度變得非常慢。如何躲過那些表面平靜、卻暗藏病毒的網(wǎng)頁陷阱？木馬或病毒程序要發(fā)作的話總是要執(zhí)行的，只要把它執(zhí)行的可能性去掉，木馬或病毒就不起作用了。 如何去掉木馬或病毒執(zhí)行的可能性呢？ 先找到這些個可能被執(zhí)行的地方：“C:Documents and SettingsAdministratorLocal SettingsTemp”和“C:Documents and SettingsAdministratorLocal Settings

13、Temporary Internet Files”，這兩個地方是上網(wǎng)時,所有網(wǎng)頁病毒到達我們電腦的必經(jīng)之地。,網(wǎng)頁腳本病毒現(xiàn)象及清除,使用“組策略編輯器”，點擊“開始”菜單,選擇“運行”,輸入 “gpedit.msc”并點擊確定打開組策略編輯器，在編輯器中依次點擊“計算機配置-WINDOWS設(shè)置-安全設(shè)置-軟件限制策略-其他規(guī)則”,右擊“其他規(guī)則”,如下圖,點擊新路徑規(guī)則。,將“C:Documents and SettingsAdministratorLocal SettingsTemp”和“C:Documents and SettingsAdministratorLocal Settings

14、Temporary Internet Files”這兩個地址的安全策略設(shè)置為“不允許”。,網(wǎng)頁腳本病毒現(xiàn)象及清除,計算機病毒與防治課程小組,給IE附加運行參數(shù),可以給IE瀏覽器指定特殊的運行參數(shù)，打開C:Program FilesInternet Explorer文件夾，右擊Iexplore.exe文件，選擇“發(fā)送到桌面快捷方式”，再右擊桌面上新建的快捷方式，即可在后面添加參數(shù)，要注意的是，程序名和參數(shù)之間要用空格分開，如果有多個參數(shù)，則也必須將多個參數(shù)用空格分開。 通過給Iexplore運行添加參數(shù)的方法可以實現(xiàn)更多附加的處理功能?？梢蕴砑尤缦聟?shù)：,下頁,網(wǎng)頁腳本病毒現(xiàn)象及清除,給IE附加

15、運行參數(shù),1.給IE穿上一件免費防彈衣 在Iexplore.exe后面添加“ -nohome”參數(shù)， 打開一個空白IE窗口。 2.輕松修復(fù)IE “ -rereg”參數(shù)：可重新注冊IE組件，輕松修復(fù)IE。 3.拯救“死掉”的IE “ new”參數(shù)：啟動另一個IEXPLORE進程。 4.其它參數(shù) “-k”參數(shù)可以讓IE工作在全屏方式下，“-slf”參數(shù)會讓IE連接到默認的主頁，而且會從緩存中打開默認主頁。,網(wǎng)頁腳本病毒現(xiàn)象及清除,計算機病毒與防治課程小組,1、IE莫名跳窗應(yīng)該是惡意廣告程序作怪，可以按以下方法修復(fù)： 重新注冊IE項，修復(fù)IE注冊。從“開始-運行”輸入命令regsvr32 actxp

16、rxy.dll確定，再輸入命令regsvr32 shdocvw.dll確定。 2、跳窗網(wǎng)頁可能保留在HOSTS，一經(jīng)上網(wǎng)就先觸發(fā)該網(wǎng)址為默認網(wǎng)址，跳窗網(wǎng)頁就會自動打開。 檢查HOSTS： 用記事本在C:WINDOWSsystem32driversetc目錄下打開HOSTS在里面檢查有沒有網(wǎng)址，有則刪除。或在前面加保存后屏蔽掉即可。,跳窗網(wǎng)頁病毒，可重新注冊IE組件,網(wǎng)頁腳本病毒現(xiàn)象及清除,計算機病毒與防治課程小組,有些網(wǎng)頁病毒或木馬只要調(diào)高IE的安全級別，或者禁用腳本，該網(wǎng)頁腳本程序就不起作用了。 第一步：在IE瀏覽器的菜單欄上選擇“工具Internet選項”打開“Inter

17、net選項”對話框。 第二步：在“安全”選項卡上，在Internet和本地Internet區(qū)域，分別把滑塊移動到最高，或者點擊“自定義級別”，在打開的對話框上禁用腳本，禁用ActiveX控件。,提高IE的安全級別，禁用腳本和ActiveX控件,腳本及惡意網(wǎng)頁病毒實驗,計算機病毒與防治課程小組,1通過網(wǎng)頁在本地建立文件，使用CreateTextFile命令可實現(xiàn)。將以下網(wǎng)頁代碼錄入文本文件中并以保存為一個擴展名為.Html的網(wǎng)頁文件： 創(chuàng)建文件c:TEST.HTM 在IE中瀏覽此文件后，可見在C盤下創(chuàng)建了一個名為“Test.HTM”的文件。,實驗1 磁盤文件對象的使用,腳本及惡意網(wǎng)頁病毒實驗,計

18、算機病毒與防治課程小組,2.通過網(wǎng)頁方式修改文件內(nèi)容，網(wǎng)頁代碼如下： 修改文件內(nèi)容c:TEST.HTM 由網(wǎng)頁腳本的方式修改已存在文件內(nèi)容成功) tf.WriteBlankLines(3) 向文件寫三個換行字符。 tf.Write (This is a test.) 寫一行。 tf.Close - ,腳本及惡意網(wǎng)頁病毒實驗,計算機病毒與防治課程小組,3通過網(wǎng)頁方式把文件復(fù)制到指定的目錄，示例代碼如下： 復(fù)制c:TEST.HTM文件到桌面 ,腳本及惡意網(wǎng)頁病毒實驗,計算機病毒與防治課程小組,4通過網(wǎng)頁方式刪除文件，示例代碼如下： 刪除桌面上的TEST.HTM ,腳本及惡意網(wǎng)頁病毒實驗,計算機病毒與防治課程小組,1.通過網(wǎng)頁方式寫注冊表，示例代碼如下： 測試腳本 /以下內(nèi)容為對注冊表的修改 /修改IE中的主頁設(shè)置 wsh.RegWrite(HKCUSoftwareMicrosoftInternet ExplorerMainStart Page,http:/www.*); /隱藏驅(qū)動器C wsh.RegWrite(HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesNoDrives,00000004,REG_DWORD) ,實驗2 注冊表惡意修改,腳本及惡意網(wǎng)頁病毒實驗,計算機病毒與防治課程小組,2.通過網(wǎng)頁方式刪除注冊