防黑高手-网页浏览安全

由 0晋身 200%防黑高手 张晓兵 陈 鹏 谢 巍 彭爱华 张忠将 齐文普 编 著 内蒙古科学技术出版社 9 7 第 4 章 网页浏览安全 网页浏览安全 4第 章 《 电 脑 爱 好 者 》 9 8 近几年，Internet逐渐成为越来越多的人获取信息的主要渠道，因此网页病毒也有愈演愈烈之势。 这类病毒主要通过Html、ASP、JSP、PHP等网页文件传播，同时利用了IE浏览器解析网络语言的特点进 行传播、破坏。网页病毒主要由Visual Basic Script和Java Script两种程序语言编写，而它们共同的特点 之一就是完全开放和易于掌握，并且能够嵌入到Html文件当中，轻而易举地控制网页内容，与Web浏览器 交互操作，捕捉客户的操作并做出反应。同时，这两款脚本语言功能强大，可以直接调用Windows组件， 迅速获得对系统文件及注册的控制权。 因此，网页病毒表现为编写简单，破坏性强，传播能力强，欺骗性强。一个完全不熟悉脚本 语言的人，在很短的时间内就可以熟练掌握脚本语言，修改以往病毒的源代码产生新的病毒。所以，网 页病毒不仅泛滥而且种类繁多，可以通过多种渠道进行传播，其清除方法也多种多样，是一种极其难 缠的病毒。 本章将对常见的网页病毒和基于浏览器的安全防范手段作一个全面的讲解分析。首先将从最初的 IE浏览器原理开始讲解到IE安全的基本配置，再由通用的修复方法讲解到一些特殊的案例。由浅入深 分析，帮助读者了解网页病毒基本的原理和手工清除病毒的方法和思路，作到举一反三，从此不再惧 怕网页病毒。 4.1 浏览器的发展和原理 浏览器在Internet的迅速发展中扮演了重要的角色，而它发展到今天所经历的几次重大变革，完全改 变了我们的学习生活和工作交流的方式。 1993 年 3 月，第一款面向普通用户的浏览器Mosaic发布，率先使用图形界面，大大简化了浏览 器的操作方式，可惜这款浏览器只针对当时少数的 Unix 操作系统。1993 年 11 月， Mosaic1.0 官方版发 布，成为了当时最为流行的浏览器，虽然当时使用这款浏览器的用户规模，可能还不到现在使用IE浏览器 用户的万分之一，但是这款浏览器在互联网还未完全普及的当时，让更多的人了解到什么是Internet，什么 是浏览器。1997 年 1 月， Mosaic3.0 正式版发布，这也是Mosaic浏览器的最后一个版本。从此Mosaic 浏览器退出了历史舞台。 说起浏览器我们不得不提到Netscape。1994 年 12 月， Netscape 发布 1.0 版，这个版本支持所 有的 HTML2 语言的元素和部分HTML3 语言。其强大的功能和简易的操作得到了当时大多数用户的青睐， 成为了当时浏览器中绝对的老大。同年7 月， Netscape 发布 1.2 版，这个版本升级到支持Windows 95的用户界面。开始了同Microsoft IE浏览器的竞争。但是随着互联网的发展和Windows系统的普及，最 终Netscape在这场浏览器的竞争当中败下阵来。1998年1 月，Netscape 公司宣布 Netscape 免费，同 时，开发爱好者可以通过 Internet 免费下载 Netscape 的源代码。1998 年 11 月，Netscape 公司被AOL 公司收购。即使这样AOL 公司仍然没有放弃对Netscape浏览器的开发。2002 年 8 月，Netscape 7.0 发 布，这时的Netscape浏览器已经失去了当年的风采。2003 年 5 月，Microsoft公司和AOL 公司达成协议， Microsoft公司支付 AOL公司7.5 亿美元， AOL 公司进行使用和推广 IE ，取代 Netscape 的位置。Netscape 浏览器完全的退出了历史的舞台，但是这位当年浏览器中的霸主仍然会被人们永远记住。 Microsoft Internet Explorer浏览器，简称 IE。随着Windows普及，IE确立了它的霸主地位。IE不 仅拥有强大功能，操作简单，而且集成在Windows中，能够实现与Windows系统的无缝集成。IE的首次 亮相出现在1995 年 1 月，初次登场的IE 1.0就是同 Windows 95 集成在一起的。到了1996 年 8 月， IE 3.0 9 9 第 4 章 网页浏览安全 正式版发布。这个版本的IE不仅提供了对Html语言的进一步支持，更是首次提供了对VB脚本和Java脚 本的支持。1997 年11 月，IE 4.0和Windows 98捆绑亮相，这次亮相以后更加确立了IE在浏览器中的霸 主地位。随着时间的推移，各种新版本的IE浏览器不断随着Windows系统和Windows Service Pack发布 出来，在近期Microsoft刚刚发布的Windows XP Service Pack2中，IE的功能更是得到了很大改进，例如 可以直接进行广告拦截。 除了以上三款浏览器以外，近几年还出现了Opera、MyIE2、MSN Explorer 和 Green Browser 等 新浏览器，但是由于出现时间短，用户数量少，都很难对 IE浏览器的霸主地位构成威胁。 浏览器发展到现在，经历的这几次变革对互联网的发展有着深远的影响。那么，浏览器的工作原理 是什么？为什么用浏览器能够浏览网页呢？ 我们日常浏览的网络被称为WWW，是World Wide Web（万维网）的简称，是一个以 Internet为 基础的计算机网络，它允许用户在一台计算机通过Internet存取连接到网络的其他计算机中的信息。客户机 通过HTTP协议（超文本传输协议）与Web建立连接，以便存取世界各地的超文本文件，内容包括文字、图 形、声音、动画、资料库以及各式各样的软件。那么，何为超文本呢？Html语言（Hyper Text Markup Language）译为超文本语言，它是构建网页的基本框架。说通俗一点，用浏览器所看到的网页基本上都是 Html语言构成的，浏览器在和Web服务器建立了基于HTTP的连接以后，解析由Web服务器发送过来的 Html文件，然后提交用户浏览。 具体来说，首先在地址栏中输入要访问的Web站点的地址（如www.XXX.com），浏览器向该网站 服务器发出访问请求，对方收到之后，由于它无法确定客户具体指向的Web目录，因此会自动将目录中 的主文件（默认为 Index.html）传给浏览器，浏览器则自动解析收到的文件，显示结果。 但是浏览器无法解析动态网页（如ASP、PHP等），因此会首先在Web服务器上对网络程序文件 进行解析，但是这种解析结果和浏览器的解析并不一样，Web服务器只会把这些程序解析成Html的形式 发送给浏览器，在浏览器收到以后会再次解析Html语言，最后显示结果。也因为这个原因，浏览动态 网页的速度要比浏览静态网页速度慢。 4.2 IE威胁和安全防范 作为主流的网页浏览器，IE颇有些树大招风，一些病毒、木马纷纷把黑手伸向了IE，直接对它进行攻 击或者利用它对系统进行破坏。利用我们前面提到过的Visual Basic Script和Java Script这两款脚本程序语言， 一些恶意用户开发出破坏性脚本程序并将它们嵌入到网页的Html文件中，当用户浏览到这些恶意网页，浏览器 自动解析相关代码，通过浏览器执行，而执行的结果就会反还到客户的系统之上，使系统受到破坏。这种方式 是针对IE浏览器最常见的一种攻击方法，而在网上针对IE浏览器的其他攻击方法还有很多，本节就介绍网页炸 弹（直接攻击和破坏Windows系统）和缺德网站留下的后遗症（直接修改计算机设置）。 4.2.1 网页炸弹的威胁和防范 目前，网上流行各种各样的炸弹，其中网页炸弹最令人头痛，因为它们会在我们浏览网页时“爆炸”， 轻则死机，重则硬盘被格式化！而许多网络新手对此并不是很了解，觉得有些神秘，通过下面对于最常见的 七种网页炸弹的讲解，你将对这些炸弹了如指掌，对于菜鸟来说这也是网络安全进阶第一步。 《 电 脑 爱 好 者 》 100 一、常见网页炸弹的威胁 1. 最无聊的炸弹——死循环代码 在网页中加入如下代码，只要有人点击你所发出的链接,就会不停地打开IE浏览器，直至你的系统资源 消耗殆尽死机为止。此时你唯一能做的就是重新启动计算机。 ＜ img src=*******:location=“网址文件名.htm;”＞ 注：此代码是一个“死循环程序”，属于聊天室炸弹！ 2. 令人心有余悸的炸弹——恐怖的大图片 制作原理很简单：在Html语言中加入＜img src=“http://恐怖图片的连接地址”width=“1”height= “******************(很大的数字)”＞即可。当 IE看到这个语句，就会不断解析试图打开文件，但由于 图片实在是太大了，超出了其处理能力，这样电脑就只有死机 一条路可以走了。 3. 令你头昏眼花的炸弹——浏览器震动炸弹 在记事本中输入如图4-2-1所示的代码到＜body＞ 和＜ /body＞之间，然后存为任意名字的.html文件，打 开该网页后你的IE会发生“地震”，让你头昏眼花，接着电 脑就会死机。 4. 令你伤透脑筋的炸弹——Windows 98死机炸弹 这种炸弹利用Windows 98的设备名称解析漏洞， 在网页中加入如图4-2-2所示的代码，一般情况下，Win- dows 98会死机。 漏洞说明 ：Windows 9x的\CON\CON设备名称解析漏洞允许用户远程攻击，导致对方Windows 98 系统崩溃。当Windows遇到包含设备名的非法路径时，会试图解析这些路径，此时内核溢出会导致整个系 统出错。 漏洞解析 ：我们知道CON是DOS下的特殊设备名，不允许用作文件名，为什么用CON\CON会引起 死机呢？我们把系统转到DOS下做个试验就知道了。键入如下命令：copy aa.txt con，系统会显示aa.txt 文件的内容，而如果换成：copy aa.txt ＞con，系统会提示文件不能拷贝到文件自身。如果把CON换成LPT 或PRN，则输出aa.txt的内容到打印机。由此可见，CON在这里代表了文件的本身，用CON\CON这个命 令意味着不断调用这个文件自身，使系统资源迅速耗尽而死机。用上面的这个命令只是调用文件自身，速度 实在太快，连按Ctrl+Alt+Del键重新启动的机会都没有。如果在资源管理器中选择的是“按WEB页”查看， 那么连预览该网页都会死机！ 解决办法 ：该代码中的死机部分只对Windows 9x操作系统起作用 （如果你的Windows没有打补丁就会 死定了，赶快到微软的站点下载补丁），也就是说对于Windows 2000/XP用户这个炸弹不起作用。 5. 最可怕的炸弹——格式化你的硬盘 这是一种非常危险的网页黑手，它会通过IE执行ActiveX控制并调用Format.com或Deltree.exe将硬 盘格式化或者删除文件夹。而这一切都是在后台运行的，不易被察觉。如图4-2-3所示的这段代码植入 网页后，通常会让浏览者的硬盘被格式化。 图 4-2-1 震动死机代码 图 4-2-2 Windows98死机炸弹代码 101 第 4 章 网页浏览安全 当你浏览了该网页，就会把startup.hta文件悄悄写入到C:\Windows\Start Menu\Programs\启动文件 夹下，并提示Windows正在移除用不到的临时文件。而实际上却在暗中格式化你的D盘，代码中的“/ autotest”这个微软未公开的参数使得格式化硬盘时不会出现提示，另两个参数“/q”和“/u”，使得系统不 检测硬盘便快速完全格式化硬盘。最后start.exe再配合“/m”参数就可以使格式化时的DOS-prompt窗口 在执行的时候处于最小化的状态。 防范：将本机的Format.com或Deltree.exe重新命名或转移其默认目录位置，或者及时升级微 软的安全补丁也可堵住这个漏洞。 6. 与死机无异——页面冻结代码 如果网页中含有下面这些代码，则当你点击“提 交”按钮以后，就会出现“页面被冻结了！”的对话框， 然后就会进入页面冻结状态，非常讨厌。代码如图4- 2-4所示。 7. 让人心烦的炸弹——不停地打开窗口 这就是本文开篇提到的打开一连串窗口的炸弹，源代码如下： 1）＜ img src=“**********:n=1;do{window.open(")}while(n==1)”width=“1”＞ 这个炸弹要求浏览器不停打开新页面，用不了多久你的电脑就会死机，这样你也就被踢出了网络。 2）同样的原理，源代码还有这样的：＜script language=“**********”＞ javascript:n=1;do{alert (“嘿嘿，你小子中弹了！”);}while(n==1)＜ /SCRIPT＞也是这种类型的炸弹。 8. 诱人的美丽——五光十色的炸弹 如果点击含有下面代码的网页时，你的浏览器窗口会不停地交替显示蓝色、 黄色永不终止，就像是蓝色火焰，煞是好看，但在欣赏电脑屏幕上美妙动人的 现象的同时，你什么也不能做，只能按RESET键重新启动电脑了。源代码如图 4-2-5所示。 我们还可以设置成其他颜色，只需改变 color[1]=“blue”;color[2]=“yellow”的颜色设置即可， 比如黑白交替的只需将“blue”换成“white”、“yellow”换成“black”。 此外还有其他各种类型的炸弹，其原理与上面介绍的这些大同小异，在此就不一一介绍了。 二、网页炸弹防范方法 1.留意微软和各大安全网站发布的安全公告，及时了解最新安全动态，封堵住漏洞，如果没有条件 图 4-2-3 格式化硬盘炸弹代码 图 4-2-4 冻结页面的源代码 图 4-2-5 炸弹源代码 《 电 脑 爱 好 者 》 102 随时关注这些，至少要及时更新你的浏览器，使用最新的打过各种安全补丁的浏览器。 2.安装防火墙和杀毒软件，并及时更新。 3.事先及时备份注册表，如果发现注册表被修改，将备份的注册表文件导入就能修复被破坏的注册 表 。 4.将本机的 Format、Del、Deltree等危险命令改名，如将 format.com改为 format.old，自己需要 使用时再改回来。也可以把某些外部命令转移到其他目录下。 5.不要浏览那些并不了解的网站，也不要在聊天室里点击其他网友贴出的超级链接，这样可以避免遭 到恶作剧者的攻击。 6.利用IE浏览器自带的安全设置配置好ActiveX控件。 实际上，微软并非忽略了如何确保ActiveX控件的安全使用，在IE中就允许针对ActiveX控件的使用 方式进行安全配置，具体配置可以考虑按照下面的方法。 右击桌面上的 I E 浏览器图标，选择“属性”，就可以打开 “Internet属性设置”对话框，选择“安全”，就可以来到如图4-2-6所示 的对话框中。 从图4-2-6中可以看到在Web区域包含四个选项，分别为Internet、本地Internet、受信任的站点、受 限制的站点，其中： Internet针对所有Web站点，这个选项所做的配置将对于IE访问的所有站点生效。 本地 Internet针对内网中的Web站点，因此这个选项的配置，只会在内网中生效。 受信任的站点，用户可以根据自己的需要添加自己所信任的网站，并且针对这些被信任的站点配置 比较宽松的安全设置。 受限制的站点，用户可添加一些不受信任或者一些恶意站点，而针对它的配置一定要严格把关，稍 有疏漏就可能造成IE和系统被恶意站点破坏。 那么，如何才能在Web区域中添加站点呢？这里我们以添加“受限制的站点”为例作一个演示。 Step1：首先单击Web区域中的“受限制的站点”，随后可以 发现“站点”已经由默认的不可选变成可选。单击“站点”，随 即弹出一个添加受限站点的对话框，下一步在“添加”选项中填入 访问用户想要限制的站点（如：www.XXX.com），完成之后点击 “添加”即可，如图 4-2- 7 所示。 Step2：添加“受限站点”之后，转入设置“区域安全级别”，这里包括两个选项“自定义级 别”和“默认级别”，其中“默认级别”会根据“区域Web安全设置”中的四个选项，采取默认 图 4-2-6 设置 Internet 安全级别 图 4-2-7 添加受限站点 103 第 4 章 网页浏览安全 的安全级别，而“自定义级别”则允许用户手动设置。 单击“自定义级别”打开“安全设置”对话框，如图 4-2-8 所示。 其中有五个针对ActiveX控件安全设置的选项，对它们的不同配置 会直接影响到IE浏览网站的方式。 选项一 ：“对标记为安全的ActiveX控件进行初始化和脚本运行” 如果你痛恨ActiveX控件，并且认为浏览站点所弹出的安全ActiveX控件会影响到你上网冲浪的心情， 选择“禁用”； 如果需要接受来自网站的特别服务，如“语音服务”、“视频服务”、“网络电话服务”，选择 “ 启 用 ”； 如果只想使用众多ActiveX控件服务中的一部分，选择“提示”，当浏览到带有ActiveX控件的站 点时，IE浏览器会自动弹出一个安装ActiveX控件的对话框，显示对这个ActiveX控件的所有描述，用 户可以自行选择是否安装。 选项二 ：“对没有标记为安全的ActiveX控件进行初始化和脚本运行” 对于一个连安全标记都没有的 ActiveX控件，很难给予信任，建议选择“禁用”。 选项三：“下载未签名的 ActiveX控件” 同样，对于连数字签名都没有的 ActiveX控件，也建议选择“禁用”。 数字签名是一项为了防止数据被篡改、保护数据真实性而开发的一项技术，主要针对传输数据的安全性。 而这项技术很早就引入到了ActiveX控件当中，当用户访问带有ActiveX控件的站点时，IE会利用Microsoft的 客户端代码检测这个ActiveX控件是否具备合法的数字签名。其实要判断一个ActiveX控件的真实性，重点就是 要看它是否有各大受信任厂商的数字签名，如果具备，从理论上讲，它百分百值得信任。 选项四：“下载已签名的 ActiveX控件” 从说明看，这样的ActiveX控件应该值得信任，具体选择可以参考选项中的说明。 选项五 ：“运行ActiveX控件和插件”。 这个选项是对前四个选项的一个总述，它针对所有ActiveX控件，无论是否具有签名。如果禁用，任何 ActiveX控件都不会下载安装，相反则安装全部ActiveX控件。而在这个选项中，还多了一个对象名称为“管 理员认可”，其实这个选项主要针对局域网用户。如果选择了这个选项，所有下载到局域网代理服务器的 ActiveX控件，都必须经过代理服务器的严格检查，确认无误，才会传送给内网用户。 读者可能会认为用IE自带安全设置配置ActiveX控件的方法， 比较繁琐，不够人性化。没关系，我 们还可以借助一些第三方的IE工具配置ActiveX控件，例如“3721上网助手”等。 7．使用“3721上网助手”安全配置 ActiveX控件 “3721上网助手”可以轻松屏蔽和控制 ActiveX控件，配置具体步骤如下： Step1：安装开启“3721上网助手”的方法非常简单，只需登录http://assistant.3721.com，点击网 页上端的“安全防护”图标。在“3721上网助手”的选项中，有一个“自动屏蔽插件”，单击选项后面的“开 图 4-2-8 “安全设置”对话框 《 电 脑 爱 好 者 》 104 始使用”，系统就会自动启用这个功 能，如图4-2-9所示。 开启这项功能以后，每当访问到ActiveX控件的站点，在IE浏览器地址栏下方会出现一条非常小的 横幅，这就是“3721上网助手”屏蔽ActiveX控件的结果，本来很大的ActiveX控件安装对话框变成了 一个很小的横幅，如图 4-2-10所示。 以这样的方式出现的ActiveX控件安装信息并不会影响到用户上 网的心情，同时，小横幅中也提供了关于ActiveX控件的详细描 述，右击这条小横幅，可以选择是否安装这个ActiveX控件。另 外还可以通过“3721上网助手”查看ActiveX控件是否安全和具 备数字签名。单击 IE浏览器地址栏右侧的“已拦截图标”，如图 4-2-11所示。 选择“查看已拦截插件列表”，随即弹出一个“上网助手已拦截插件列表”，用户即可从弹出的 对话框中查看到当前被拦截的ActiveX控件的信息，包括这个ActiveX控件是否有安全的数字签名。 经过如此简单的设置，“3721上网助手”就能全面针对ActiveX控件安全进行评估和说明，有效保 护 IE浏览器。 4.2.2 缺德网站留下的后遗症 一、缺德网站留下后遗症的实例 有时候在浏览完一些网站之后其内容会自动保存在电脑中，在下一次启动时自动进入。如果只是在 “启动”中增加这个网页名字，相信许多人都很容易察觉并且将其删除，可偶尔可能碰到一个非常难缠的网 站，它的网管费尽心机来增加他的网站流量。不过不用担心，这个网站不会是陷阱，它的招数也不外是在开 机时自动弹出网页！ 当发现这类情况的时候，第一步，应该检查Windows中“All Users/Start Menu/ Programs/启动”中 的内容，如果发现有这个网址，将其删除；第二步，直接在Windows下的Start Menu中检查，如果也发现 网址，同样删除；第三步，在Favorites之下查看，如存在，同样删除。安枕无忧了吗？不会。第二次开机 又出现了。怎么办？不经意之下，瞄见在浏览器工具栏上面出现了该网站名，不能点击，又无法删除，无法 忍受！看来该网站不知不觉地修改了注册表。查看注册表，经过检查，发现有下面的变化： 1.在HKEY_CURRENT_USER/SOFTWARE/MICROSOFT/INTERNET EXPLORER/TOOLBAR之下有一 个字符串值 ：LINKSFOLDER NAME 键值就是http://www.XXX.net ，选择这个键值，单击鼠标右键，删除 整个子键。 2.在HKEY_CURRENT_USER/CONTROLPANEL/INTERNETIONAL之下又出现了该网址。键值为： “YYY”年“M”月“D”日 http://www.XXX.net ，同样进行删除。 3.在HKEY_CURRENT_INTERNETEXPLORER_EXTENSIONS/{8DEOFCD4-5EB4-11D3-AD24- 00002100131C}之下发现一个名为EXEC的字符串值，键值为http://www.XXX.net，删除。 4.在HKEY_CURRENT_USER/SOFTWARE/MICROSOFT/INTERNET EXPLORER/MENUEXT/之下出现 图4-2-9 自动屏蔽插件选项 图4-2-10 上网助手屏蔽效果 图 4-2-11 “3721上网助手”拦截选项 105 第 4 章 网页浏览安全 一个字符串值，键名为默认，键值为该页名，其下又产生一个DWORD值，名为CONTEXTS，键值为 0X000000F3（转换为十进制为243）。 这个网页的修改幅度非常大，在C盘里出现了一个以A字开头的浏览文件，从注册表上发现该网页直 指这个文件。打算直接将它删除，但是系统提示该文件是系统文件，不能删除，真是个难缠的家伙。完成上 面几项清理之后，本以为该完工了，谁知道重启情况还是没有消失。 如果你还没有上网，那该网页肯定是无法显示，可大家一定要注意，如果没有显示，那在网页打 开的同时，浏览器的状态栏上会显示一条路径，这条路径就是存放该网址的地方，但是时间很短，只有一两 秒钟，从状态栏里我们看到该网址源自C盘的SYSTEM。连系统配置文件都给改了，进去察看，那么多的 文件，怎么找啊？可能是幸运吧，突然我发现了一个浏览文件，名为INTERNET，一看之下，似乎没有什么 联系，还以为是正常的系统文件呢。察看属性，哈哈，URL为http://www.XXX.net，这样结果就清楚得多了。 把它删除，情况真的解决了。浏览这个网站，一次性修改了我的注册表、系统配置、IE浏览器，删除它真是 颇费周折。如果对方再把SYSTEM之下产生的文件更换图标和标题，这样就不容易发觉了。或者修改完注 册表之后，给对方的注册表加锁：HKEY-CURRENT-USER/SLFTWARE/MICROSLFT/WINDOWS/ CURRENTVERSION/POLICIES/SYSTEM 之下新建一个名为DISABLEREGISTRYTOOLS的DWORD值。将 其值设为“1”，就可以锁住对方的注册表。 二、缺德网站留下后遗症的防范方法 1. 修复IE浏览器标题栏被改问题 IE标题栏被改是很常见的一个现象，在系统默认状态下，是由应用程序本身来提供标题栏的信息， 但也允许用户自行在上述注册表项目中添加信息，而一些恶意的网站正是利用了这一点对系统进行修改，它 们将串值Window Title下的键值改为其网站名或加入更多的广告信息，改变浏览者IE标题栏。 这段恶意代码具体修改注册表两个地方： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Window Title HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title 了解到病毒如何破坏系统，那么就知道如何对症下药了。 修复方式：连续点击“开始”→“运行”，在命令行中输入“regedit”，打开注册表编辑器， 找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下的“Window Title”子 键，双击输入键值“Microsoft Internet Explorer”，按 F5刷新生效。 2. 修复IE浏览器首页被改问题 由于IE起始页的默认首页也被篡改，IE默认首页被自动改为其他网站的网址，即使重新修改也仍然 无效，具体来说就是 HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main\ StartPage子键被修改。 修复方式：打开注册表编辑器，定位到 HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main，找到 StartPage子键，在右窗口双击即可修改，按 F5键刷新生效。 3. 修复IE主页被改问题 由于注册表中的IE浏览器主页地址被篡改，IE浏览器默认主页被自动改为其他网站的网址，重新添 加主页仍然无效，具体位置为： HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main\ Default_Page_URL子键被修改， 如图 4-2-12所示。 修复方式：直接双击修改键值即可。按 F5键刷新生效。 《 电 脑 爱 好 者 》 106 4. 修复IE搜索引擎被改问题 在IE浏览器的工具栏中有一个搜索引擎的工具按钮，可以实现3721网络搜索，被篡改后只要点击那个 搜索工具按钮就会链接到对方网站。出现这种现象的原因是下面的注册表子键值被修改 ： HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant 修复方式：打开注册表编辑器，把编辑器位置定位到： HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search 依次找到上述子键，将“CustomizeSearch”和“SearchAssistant”的键值改为某个搜索引擎 的网址即可。 5. 修复IE浏览器主页选项被屏蔽问题 IE浏览器工具栏上的“主页”按钮被锁定屏蔽成灰色，无法使用，这是很常见的一个现象。这里 介绍两种修复方法。 1) 打开注册表编辑器，找到子键HKEY_CURRENT_USER\ Software\Microsoft\Internet Explorer\Control Panel，然后在此键 下新建键值名为“H om ePage”的 D W OR D 值，键值为 “00000000”，按 F5键刷新生效，如图 4-2-13所示。 2）自动文件导入注册表法。 把以下内容输入或复制到记事本内 ： REGEDIT4 [HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Controlpanel] “HomePage”=dword:00000000 把记事本的后缀改为“*.reg”，并保存在你的系统盘中，然后执行此文件，根据提示，连续确认， 即可成功导入注册表。 图4-2-12 设置 IE主页 图 4-2-13 设置 IRE搜索 107 第 4 章 网页浏览安全 6. 修复IE右键菜单被添加非法网址问题 点击鼠标右键，发现右键菜单中多出了一些非法网站的链接，这同样是因为恶意代码修改了注册表 的HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt子键，在其中添加其他网站地 址的链接。 修复方式：打开注册表编辑器，找到这个子键，删除相关的非法链接即可，大家需要注意不要把 下载软件 FlashGet（网际快车）和 Netants（网络蚂蚁）也删除掉，这两个可是“正常”的，除非 你不想在 IE的右键菜单中见到它们，如图4-2-14所示。 7. 修复IE右键菜单被禁用问题 浏览网页后IE右键菜单失效。有的恶意网站为了达到其恶意 宣传目的，将用户右键菜单进行了修改，加入了一些乱七八糟的东 西，甚至为了禁止下载，将IE窗口中单击右键的功能都屏蔽掉，表 现症状为在IE中点击右键毫无反应。 主要原因是恶意代码修改了注册表的HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions子键。 修复方式：找到这个子键下的“NoBrowserContextMenu”子键，双击，将数据数值修改为 “00000000”，按 F5 键刷新生效即可。 8. 修复IE收藏夹被强行添加非法网站的地址链接问题 IE浏览器提供了一个收藏夹功能，用户可以在收藏夹中收藏一些自己认为不错的网站，以便下次访 问能够快速登录到这些网站中。但是一些恶意代码也利用了此功能，在收藏夹中加入一些非法网站的链 接，达到宣传自己网站的目的。 修复方式：打开 IE浏览器收藏夹，右击非法网站链接，选择删除即可。 9. 修复IE工具栏被非法添加按钮问题 IE工具栏提供了很多基于IE的便利功能，而一些恶意代码也利用了IE工具栏的特性，修改添加非法 按钮。 这些恶意代码主要从注册表的 HKEY_LOCAL_MACHINE\Sof tware\Microsof t\ In ternet Explorer\Extensions子键入手，因此，在修复的时候，也需要先找到这个子键，可以发现在Extensions 下有很多常用软件的ID值，如{4B87EE01-82ED-4030-A372-B3BEF4829ED5}。随便双击一个ID值， 即可在右边窗口显示其字串值：“B u t t o n”、“C L S I D”、“D e f a u l t V i s i b l e”、“E x e c”、 “HotIcon”、“Icon”、“MenuText”、“MenuStatusBar”，如图 4-2-15所示。这些字串值都 有自己特定的含义。 CLSID：IE工具条的类标识码，恒为“{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}”； ButtonText：自定义按钮上显示的文本； Default Visible：控制自定义按钮是否可见，一般为“Yes”； Exec：自定义按钮执行的目标，可以为执行程序或超文本链接 ； 图 4-2-14 IE的右键菜单选项 《 电 脑 爱 好 者 》 108 HotIcon ：鼠标移到按钮上时显示的图标； Icon ：定义一般情况下的图标； MenuText ：定义在鼠标指向浏览器工具菜单栏中 的软件时浏览器状态栏里面的内容 ； MenuStatusBar ：定义在鼠标指向IE“工具”菜 单中相关选项说明的时候，在状态栏所显示的文字。如 在IE的“工具”菜单中将鼠标光标移动到常用软件的按 钮上，就会显示“Launch 软件名称”。 这样我们就可以根据MenuText和MenuStatusBar找到非法添加的按钮对应的项目，将其删除。 针对工具栏被修改，IE浏览器自带一个安全防御的方法，用户可以右击IE工具栏，在弹出的右键菜 单中选择“锁定工具栏”打“√”，即可保护工具栏不被修改。 10. 修复IE中禁止察看源文件的问题 IE允许用户点击“查看”→“源文件”，查看到静态网页的HTML源代码，或者由服务器端自动 生成的动态网页Html代码。但是有的恶意代码针对这个功能做了手脚，中毒之后用户将无法打开“源文 件”，表现为“源文件”选项成灰色不可选。这里提供两种修改方法： ①打开注册表编辑器，找到： HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions或 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions，在右侧窗口找到 “NoViewSource”子键，将其键值设为“00000000”，按F5键刷新生效。 ②自动文件导入注册表法 ：把以下内容输入或复制到一个新建的TXT纯文本中： REGEDIT4 [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions] “NoViewSource”=dword:00000000 [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions] “NoViewSource”=dword:00000000 保存为“*.reg”文件，放在系统盘目录下，然后执行此文件，根据提示，连续确认，即可显示 成功导入注册表。 11. 修复Internet 选项菜单/按钮失效问题 IE的菜单项中“工具”列表下有一个“Internet选项”，包含各种关于 IE使用方式的设置。而很 多恶意代码也从这个设置入手，当用户中毒之后，选择“Internet选项”，并不能弹出“Internet选项” 对话框。这种情况下，恶意代码主要修改了注册表的两个子键： HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel或 HKEY_USERS.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel，打开注册表编辑 器，找到第一个子键，双击右侧窗口的 DWORD值： “Settings”=dword：1、“Links”=dword：1、“SecAddSites”=dword：1全部改为“0”。 找到第二个键值，将右边窗口中的 DWORD值“homepage”的键值改为“0”。 12. 修复系统启动时弹出对话框问题 当我们系统启动的时候，会莫名其妙地弹出一些网站的广告页面。这段代码主要修改了注册表 ： 图 4-2-15 Extensions下的 ID值和字符串 109 第 4 章 网页浏览安全 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon 在其下被建立了字符串“LegalNoticeCaption”和“LegalNoticeText”，其中“LegalNoticeCaption” 是提示框的标题，“LegalNoticeText”是提示框的文本内容。由于它们的存在，就使得我们每次登录 到Windows桌面前都出现一个提示窗口，显示那些网页的广告信息。 修复方式：需要打开注册表编辑器，找到上面那个子键，定位到HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\Winlogon子键，然后在右边窗口中找到“LegalNoticeCaption”和 “LegalNoticeText”这两个字符串，删除这两个字符串就可以解决问题了。 13. 修复IE地址栏的下拉菜单被锁定的问题 用IE的下拉菜单可以查看自己曾经访问过的网站，而现在一些恶意代码却会锁住IE的下拉菜单，让 用户无法查看，甚至这些恶意代码还会锁住IE浏览器地址栏，让用户根本无法在IE中输入其他网站的网址， 破坏力非同小可。这段恶意代码主要修改了注册表的子键：HKEY_CURRENT_USER\Software\Policies\ Microsoft\InternetExplorer\Toolbar或者 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypeURLs。 修复方式：需要找到上面的第一个子键，在右侧窗 口找到“LinksFolderName”子键，将其键值设为“链 接”，多余的字符一律去掉。 继续找到第二个子键，删除右侧窗口中无用的键 值，按 F5键刷新生效，如图 4-2-16所示。 14. 修复IE浏览器不能自定义安全级别问题 前面我们曾经多次使用过“Internet属性”对话框中“安全”选项的“自定义级别”，通过这个设置，可 以配置ActiveX控件、Cookies以及脚本等的安全性，但是同样有恶意代码盯上了它，如果用户感染了这个 恶意代码，“自定义级别”的按钮就会变成灰色，并且无法选择使用。这段恶意代码主要修改了注册表 HKEY_CURRENT_USER\Software\Policies\Microsoft \InternetExplorer\ControlPanel 的 SecChangeSettings子键。 修复方式：找到“SecChangeSettings”，双击，将其数据数值修改为 0，按 F5刷新。 15. 修复“运行”选项问题 “开始”菜单中的“运行”选项，可以快速执行一些交互式命令，如键入“cmd”就可以执行 命令cmd.exe，或者输入“regedit”就可以打开注册表编辑器。而有的恶意代码专门针对运行选项做了手 脚，如果用户感染了这个恶意代码，“运行”选项将无法打开。这段恶意代码主要修改了注册表的 HKEY_USERS/.DEFAULT/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer的NoRun子键。 修复方法：打开注册表编辑器，注意这时“运行”选项已经被禁用了，所以不能直接键入 regedit 运行注册表编辑器。用户必须到系统盘下的Windows\System32 目录下（Windows 2000 为 Winnt\System32目录），找到 regedit.exe双击打开注册表编辑器，找到Explorer子键，在右侧窗口中 图 4-2-16 TypeURLs下的字串 《 电 脑 爱 好 者 》 110 双击“NoRun”，将其键值由“1”修改为“0”，或者将“NoRun”删除也可。 16. 修复输入正常网址，但显示出来的是非法网页 在IE浏览器地址栏中输入网址或者IP就能打开这个站点Web页，然后一些恶意代码让情况发生了变 化。当用户感染这种代码后，明明用户在IE地址栏输入的是http://www.cfan.com.cn/，可能IE浏览器打 开的是www.XXX.com站点的Web页面。这里恶意代码主要修改了注册表的HKEY_LOCAL_MACHINE \ S O F T W A R E \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ U R L \ D e f a u l t P r e f i x 和 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes的默认键值。 修复方法：打开注册表编辑器，找到第一个子键，将右侧窗口中的“默认”键的值改为： “http://”，按F5键刷新生效。找到第二个子键，将右边窗口中的“www”键值改为“http://”，按F5键刷新 生效。 如上整理的关于IE浏览器修复方法的实例，大致概括了目前Internet中最常见的一些IE安全故障，当 然还有一些特殊的现象可能上面并没有提到，在本章后面的实例中，我们将讲述一些特殊的案例。用户掌握 了这些实例，就可以了解到这些恶意代码破坏IE浏览器的原理，最好能举一反三，让这些恶意代码没有自 己的生存空间。 4.3 Cookies安全问题 上一节中为读者们详细介绍了ActiveX技术以及基于ActiveX控件的安全设置。读者应该了解到 ActiveX控件的初衷是为了向用户提供更多的在线服务，如果合理利用ActiveX控件，用户可以得到很多 诸如语音视频等方便的服务。但是同时这项技术也给用户带来了很多安全隐患，因此这一节要为大家介绍 Cookies相关的安全设置。 4.3.1 什么是Cookies Cookies中文译为“小甜饼”，这项技术最先由Netscape浏览器引入，随着网络的发展，Cookies 技术逐渐得到用户认可，现在几乎所有的浏览器都提供了对Cookies的支持。实际上，Cookies是Web服 务器通过浏览器在访问者的硬盘上存储信息的一种手段。而将Cookies用于Internet就是为了弥补HTTP协 议无记录状态的缺陷。众所周知，浏览器与Web服务器是利用HTTP协议进行通信的，而HTTP协议又 是无记录的，当一个请求发送到Web服务器时，无论其是否是初次来访，服务器都会把它当作第一次来 对待，根本没有对它的记忆。为了克服这一缺陷，Cookies技术应运而生。 当用户访问一个设置了Cookie的站点时，内置于Web页面中的命令向客户浏览器发送预先设置的 Cookie信息，浏览器接收到该信息后将其保存在本地硬盘中的特定位置。当用户再次访问这个站点时， 服务端将要求浏览器查找并返回先前发送的Cookie信息来识别这个用户。 各种浏览器保存 Cookies文件的方法，各不相同。Netscape浏览器使用一个名为 cookies.txt本地文件保 存从所有站点接收的 C o o k ie s 信息；而 I E 浏览器把 C o o k ie s 信息保存在类似于 C : \ D o c u m e n t s a n d Settings\administrator\Local Settings\Temporary Internet Files的目录下。当然这个目录可以根据用户的习惯 进行更改。 111 第 4 章 网页浏览安全 举一个通俗的例子，用户访问了一个动态站点，并注册了自己的用户名和密码。如果用户在登录站点 时启用了Cookies，下次登录时可以不需要输入用户名和密码，直接登录。除此之外，Cookies还有很多 “特长”： 1.可让Web站点跟踪特定访问者的访问次数、最后访问时间和访问者进入站点的路径。 2.可反馈给在线广告商广告被点击的次数。 3.可帮助站点统计用户资料以实现个性化服务。 根据有效期不同，Cookies可以划分为两大类，会话性Cookies和永久性Cookies。会话性Cookies 在用户关闭浏览器窗口结束会话之后被自动清除，主要应用于在线商场的购物车系统，记录用户选购的商 品信息。永久性Cookie主要被新闻站点、网络广告商、BBS以及其他希望识别重复访问站点的用户所 采用，当用户离开站点时信息仍然被保存以备下次访问时使用。 4.3.2 Cookies带来的安全隐患 Cookies使用最初，由于它擅自在用户硬盘上存储信息并且反馈，因此有关Cookies侵犯网络安全 和用户隐私一直存在争论。 由于网站可以通过Cookies来观察用户的浏览习惯，将用户信息加以细化，以便为不同用户定置信 息，实现个性化服务，因此Cookies一直得到浏览器和服务器的青睐。但是一些通过Cookies得到用户 信息的站点将用户个人信息转手卖给其他有商业目的的站点或组织，如网络广告商，谋取商业利益。当 用户查看Cookies文件时，也往往会发现一些根本没有浏览过的站点。 另一方面，当用户浏览Internet时，每一次鼠标的点击都有可能被跟踪，正在浏览网页的URL、IP地 址及本地机的软硬件配置，甚至E-mail地址都有可能被别人收集并转手出售，为各种商业目的利用。例如 被用来分析个人喜好、消费习惯以及生活方式等多种信息，以便其面向不同目标用户有针对性推出各种产 品。 无论是会话性Cookies还是永久性Cookies，都会包含代表用户身份的ID号、设置Cookies站点的 URL或域名，以及一些用于标识用户所访问过的页面代码。永久性Cookies中还会加入用户最近一次访问 站点的时间和总的访问次数。此外，有的Cookies中可能还会包括用户的一些个人信息，如姓名、E-mail地 址等，这些私人信息来源于用户访问站点时所输入的个人资料，完全不是像有些人所误解的那样，Cookies 可以偷取用户的个人隐私。 如果用户经常在网上冲浪的话，很可能硬盘中已经储存了大量的Cookies。几乎目前所有的商业性 站点以及那些显示商业性广告的个人站点都会在用户端设置各自的Cookies。它的大小一般不会超过100 字节，因此用户不必担心它们会影响浏览速度。但是，如果用户关注个人隐私的话，则应当注意拒绝接 收那些自己不希望收到的Cook