计算机病毒防治

null信 息 安 全 INFORMATION SECURITY信 息 安 全 INFORMATION SECURITY江苏新盐纺集团有限公司信息中心主管 许 东　计算机病毒防治　计算机病毒防治主要主要内容第一节　计算机病毒概述 第二节　计算机病毒分析 第三节　计算机病毒的防范、检测、清除 第四节　计算机病毒破坏后的恢复 计算机病毒防治㈠、计算机病毒产生的历史㈠、计算机病毒产生的历史1977年，Thomas j Ryan在科幻小说《P-1的青春》中幻想一种计算机病毒可以从一台计算机传染到另一台计算机，最终控制了7000台计算机。 1983年美国计算机安全专家Fred Cohen博士在VAX-11上通过实验证明了计算机病毒的存在。 1986年，巴基斯坦两兄弟为追踪非法拷贝其软件的人制造了“巴基斯坦”病毒，成了世界上公认的第一个传染PC兼容机的病毒，并且很快在全球流行。 1987年10月，美国发现世界上第一例计算机病毒(Brain) 1988年。小球病毒传入我国，在几个月之内迅速传染了20 多个省、市，成为我国第一个病毒案例。 此后，如同打开的潘多拉的盒子，各种计算机病毒层出不穷。一、计算机病毒概述㈡、计算机病毒的定义㈡、计算机病毒的定义狭义定义 计算机病毒是一种靠修改其它程序来插入或进行自身拷贝，从而感染其它程序的一种程序。 —— Fred Cohen博士对计算机病毒的定义。 广义定义 能够引起计算机故障，破坏计算机数据，影响计算机系统的正常使用的程序代码。 我国定义 我国《中华人民共和国计算机信息系统安全保护条例》第二十八条："计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。一、计算机病毒概述㈢、计算机病毒的发展历史㈢、计算机病毒的发展历史DOS时代 DOS是一个安全性较差的操作系统，所以在DOS时代，计算机病毒无论是数量还是种类都非常多。按照传染方式可以分为：系统引导病毒、外壳型病毒、复合型病毒。各类病毒的具体内容见“病毒的分类”。 Windows时代 1995年8月，微软发布了Windows95，标志着个人电脑的操作系统全面进入了Windows9X时代，而Windows9X对DOS的弱依赖性则使得计算机病毒也进入了Windows时代。这个时代的最大特征便是大量DOS病毒的消失以及宏病毒的兴起。 一、计算机病毒概述㈢、计算机病毒的发展历史㈢、计算机病毒的发展历史Internet时代 可以这样说，网络病毒大多是Windows时代宏病毒的延续，它们往往利用强大的宏语言读取用户E-mail软件的地址簿，并将自身作为附件发向地址簿内的那些E-mail地址去。由于网络的快速和便捷，网络病毒的传播是以几何级数进行的，其危害比以前的任何一种病毒都要大。一、计算机病毒概述㈣、计算机病毒的特征㈣、计算机病毒的特征基本特征 传染性 自我复制，通过多种渠道传播 潜伏性 感染后不一定立刻发作； 依附于其他文件、程序、介质，不被发现 可触发性 触发条件：日期、时间、文件类型 破坏性 破坏数据的完整性和可用性 破坏数据的保密性 系统和资源的可用性。一、计算机病毒概述㈣、计算机病毒的特征㈣、计算机病毒的特征其它特征 非授权可执行性 寄生性 寄生于其它文件、程序、 隐蔽性 程序隐蔽、传染隐蔽； 不易被发现 针对性 针对特定的计算机、特定的操作系统 多态性 每一次感染后改变形态，检测更困难 持久性 难于清除一、计算机病毒概述㈤、计算机病毒的分类㈤、计算机病毒的分类按宿主分类 引导型病毒 主引导区 操作系统引导区 直到20世纪90年代中期，引导区型病毒是最流行的病毒类型，主要通过软盘在DOS操作系统里传播。引导区型病毒侵染软盘中的引导区，蔓延到用户硬盘，并能侵染到用户硬盘中的“主引导”。一旦硬盘中的引导区被病毒感染，病毒就试图侵染每一个插入计算机的从事访问的软盘的引导区。病毒可驻留在内存内并感染被访问的磁盘。 一、计算机病毒概述㈤、计算机病毒的分类㈤、计算机病毒的分类按宿主分类 文件型病毒 操作系统 应用程序 宏病毒 文件型病毒是文件侵染者。通常它感染扩展名为COM、EXE、DRV、BIN、OVL、SYS等文件。每一次它们激活时，感染文件把自身复制到其他文件中。 该类病毒在操作系统执行文件时取得控制权并把自己依附在可执行文件上，然后，利用这些指令来调用附在文件中某处的病毒代码。当文件执行时，病毒会调出自己的代码来执行，接着又返回到正常的执行系列。一、计算机病毒概述㈤、计算机病毒的分类㈤、计算机病毒的分类按宿主分类 复合型病毒 复合型病毒具有引导区型病毒和文件型病毒两者的特征。 按危害分类 良性病毒 如：小球病毒。 恶性病毒 如：CIH病毒。 一、计算机病毒概述㈤、计算机病毒的分类㈤、计算机病毒的分类按传播媒介分为 单机病毒 DOS、Windows、Unix/Linux病毒等。 网络病毒 通过网络或电子邮件传播。 按攻击平台分类： DOS病毒：MS-DOS及兼容操作系统上编写的病毒 Windows病毒：Win32上编写的纯32位病毒程序， MAC病毒： Unix/Linux病毒：一、计算机病毒概述㈤、计算机病毒的分类㈤、计算机病毒的分类宏病毒 宏病毒一般是指用宏语言（如 Word Basic）写的病毒程序，是一段寄生在支持宏的文档（如 Microsoft Office文档）上的宏代码。不面向操作系统，所以，它不受操作平台的约束，可以在DOS、Windows、Unix、Mac等系统中散播。这就是说，宏病毒能被传到任何可运行编写宏的应用程序的机器中。 虽然宏病毒不会有严重的危害，但它会影响系统的性能以及对文档的各种操作，如打开、存储、关闭或清除等。当打开文档时，宏病毒程序就会被执行，即宏病毒处于活动状态，当触发条件满足时，宏病毒才开始传染、现和破坏。 宏病毒对病毒而言是一次革命。现在通过E-mail、3W的互联能力及宏语言的进一步强化，极大地增强了它的传播能力。一、计算机病毒概述㈥、计算机病毒的危害性㈥、计算机病毒的危害性1、攻击系统数据区 攻击部位包括硬盘主引导扇区、Boot扇区、FAT表、文件目录。一般来说，攻击系统数据区的病毒是恶性病毒，受损的数据不易恢复。 2、攻击文件 病毒对文件的攻击方式很多，如删除、改名、替换内容、丢失簇和对文件加密等。 3、攻击内存 内存是计算机的重要资源，也是病毒攻击的重要目标。病毒额外地占用和消耗内存资源，可导致一些大程序运行受阻。病毒攻击内存的方式有大量占用、改变内存总量、禁止分配和蚕食内存等。一、计算机病毒概述㈥、计算机病毒的危害性㈥、计算机病毒的危害性4、干扰系统运行，使运行速度下降 此类行为也是花样繁多，如不执行命令、干扰内部命令的执行、虚假报警、打不开文件、内部栈溢出、占用特殊数据区、时钟倒转、重启动、死机、强制游戏、扰乱串并接口等等。病毒激活时，系统时间延迟程序启动，在时钟中纳入循环计数，迫使计算机空转，运行速度明显下降。 5、干扰键盘、喇叭或屏幕，适应胡无法正常操作 病毒干扰键盘操作，如响铃、封锁键盘、换字、抹掉缓存区字符、输入紊乱等。许多病毒运行时，会使计算机的喇叭发出响声。病毒扰乱显示的方式很多，如字符跌落、倒置、显示前一屏、打开对话框、光标下跌、滚屏、抖动、乱写等。 一、计算机病毒概述㈥、计算机病毒的危害性㈥、计算机病毒的危害性6、攻击CMOS，破坏系统硬件 在机器的CMOS中，保存着系统的重要数据，如系统时钟、磁盘类型和内存容量等，并具有校验和。有的病毒激活时，能够对CMOS进行写入动作，破坏CMOS中的数据。例如CIH病毒破坏计算机硬件，乱写某些主板BIOS芯片，损坏硬盘。 7、干扰打印机 如假报警、间断性打印或更换字符。 8、干扰网络正常运行 网络病毒破坏网络系统，非法使用网络资源，破坏电子邮件，发送垃圾信息，占用网络带宽、阻塞网络、造成拒绝服务等。一、计算机病毒概述㈠、计算机病毒的结构及工作机理㈠、计算机病毒的结构及工作机理计算机病毒的结构 一般由引导模块、传染模块、表现模块三部分组成。二、计算机病毒分析㈠、计算机病毒的结构及工作机理㈠、计算机病毒的结构及工作机理引导过程 也就是病毒的初始化部分，它随着宿主程序的执行而进入内存，为传染部分做准备。 传染过程 作用是将病毒代码复制到目标上去。一般病毒在对目标进行传染前，要首先判断传染条件是否满足，判断病毒是否已经感染过该目标等，如CIH病毒只针对Windows 95/98操作系统 表现过程 是病毒间差异最大的部分，前两部分是为这部分服务的。它破坏被传染系统或者在被传染系统的设备上表现出特定的现象。大部分病毒都是在一定条件下才会触发其表现部分的。二、计算机病毒分析㈡、计算机病毒实例分析㈡、计算机病毒实例分析引导型病毒 传染机理 利用系统启动的缺陷 传染目标 硬盘的主引导区和引导区 软盘的引导区 传染途径 通过软盘启动计算机 防治办法 从C盘启动 打开主板的方病毒功能 典型病毒 小球病毒、大麻病毒、火炬病毒、Anti-CMOS病毒二、计算机病毒分析㈡、计算机病毒实例分析㈡、计算机病毒实例分析引导型病毒 引导扇区是大部分系统启动或引导指令所保存的地方，而且对所有的磁盘来讲，不管是否可以引导，都有一个引导扇区。感染的主要方式就是发生在计算机通过已被感染的引导盘（常见的如一个软盘）引导时发生的。二、计算机病毒分析㈡、计算机病毒实例分析㈡、计算机病毒实例分析引导型病毒——主引导记录（MBR） 二、计算机病毒分析㈡、计算机病毒实例分析㈡、计算机病毒实例分析引导型病毒——系统引导过程 二、计算机病毒分析Power OnCPU & ROM BIOS InitializesPOST TestsLook for boot deviceMBR boot Partition Table LoadDOS Boot Sector RunsLoads IO.SYS MSDOS.SYSDOS Loaded㈡、计算机病毒实例分析㈡、计算机病毒实例分析引导型病毒——感染与执行过程 二、计算机病毒分析系统引导区引导 正常执行病毒引导系统病毒体㈡、计算机病毒实例分析㈡、计算机病毒实例分析文件型病毒 传染机理 利用系统加载执行文件的缺陷 传染目标 各种能够获得系统控制权执行的文件 传染途径 各种存储介质、网络、电子邮件 防治办法 使用具有实时监控功能的杀毒软件 不要轻易打开邮件附件 典型病毒 1575病毒、CIH病毒二、计算机病毒分析㈡、计算机病毒实例分析㈡、计算机病毒实例分析文件型病毒 文件型病毒与引导扇区病毒最大的不同之处是，它攻击磁盘上的文件。它将自己依附在可执行的文件（通常是.com和.exe）中，并等待程序的运行。这种病毒会感染其它的文件，而它自己却驻留在内存中。当该病毒完成了它的工作后，其宿主程序才被运行，使人看起来仿佛一切都很正常二、计算机病毒分析㈡、计算机病毒实例分析㈡、计算机病毒实例分析文件型病毒——传染机理二、计算机病毒分析程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头病毒程序头程序头程序头㈡、计算机病毒实例分析㈡、计算机病毒实例分析宏病毒 宏病毒一般是指利用软件所支持的宏命令或语言（如 Word Basic）书写的一段寄生在支持宏的文档（如 Microsoft Office文档）上的、具有复制、传染能力的宏代码。 宏病毒是一种新形态的计算机病毒，也是一种跨平台式计算机病毒，可以在Windows 9X、Windows NT、OS/2和Unix、Mac等操作系统上执行病毒行为。 虽然宏病毒不会有严重的危害，但它会影响系统的性能以及对文档的各种操作，如打开、存储、关闭或清除等。当打开文档时，宏病毒程序就会被执行，即宏病毒处于活动状态，当触发条件满足时，宏病毒才开始传染、表现和破坏。 宏病毒对病毒而言是一次革命。现在通过E-mail、3W的互联能力及宏语言的进一步强化，极大地增强了它的传播能力。二、计算机病毒分析㈡、计算机病毒实例分析㈡、计算机病毒实例分析宏病毒 传染机理 利用处理的文件可以内嵌宏的功能 传染目标 doc、dot、xls、ppt、mdb等文件（Windows） 传染途径 各种存储介质、网络、电子邮件 防治办法 使用具有实时监控功能的杀毒软件 打开系统提供的宏保护功能 典型病毒 “七月杀手”病毒、“美丽莎”病毒二、计算机病毒分析㈡、计算机病毒实例分析㈡、计算机病毒实例分析宏病毒——工作机理 二、计算机病毒分析㈡、计算机病毒实例分析㈡、计算机病毒实例分析word宏病毒的清除方法 1、手工清除Word宏病毒为 对于宏病毒最简单的清除步骤为： （1）关闭Word中的所有文档。 （2）选择“工具//管理器/宏”选项。 （3）删除左右两个列表框中所有的宏（除了自己定义的）（一般病毒宏为AutoOpen、AutoNew或AutoClose）。 （4）关闭对话框。 （5）选择“工具/宏”选项。若有 AutoOpen、AutoNew或AutoClose等宏，删除之。 2、使用杀毒软件清除Word宏病毒二、计算机病毒分析㈡、计算机病毒实例分析㈡、计算机病毒实例分析蠕虫病毒 一个独立的计算机程序，不需要宿主 自我复制，自主传播（Mobile） 占用系统或网络资源、破坏其他程序 不伪装成其他程序，靠自主传播 利用系统漏洞； 利用电子邮件（无需用户参与）二、计算机病毒分析null㈡、计算机病毒实例分析㈡、计算机病毒实例分析蠕虫病毒 传染机理 利用系统或服务的漏洞 传染目标 操作系统或应用服务 传染途径 网络、电子邮件 防治办法 使用具有实时监控功能的杀毒软件 不要轻易打开邮件附件 打最新补丁，更新系统 典型病毒 RedCode，尼姆达、冲击波等二、计算机病毒分析㈡、计算机病毒实例分析㈡、计算机病毒实例分析蠕虫病毒实例 ——莫里斯蠕虫事件 发生于1988年，当时导致大约6000台机器瘫痪 主要的攻击方法 Rsh，rexec：用户的缺省认证 Sendmail 的debug模式 Fingerd的缓冲区溢出 口令猜测二、计算机病毒分析㈡、计算机病毒实例分析㈡、计算机病毒实例分析蠕虫病毒实例 ——RedCode 红色代码病毒是一种结合了病毒、木马、DDOS机制的蠕虫。 2001年7月中旬，在美国等地大规模蔓延。 2001年8月初，出现变种coderedII，针对中文版windows系统，国内大规模蔓延。 通过80端口传播。 只存在与网络服务器的内存，不通过文件载体。 溢出利用IIS缓冲区漏洞（2001年6月18日发布二、计算机病毒分析㈡、计算机病毒实例分析㈡、计算机病毒实例分析蠕虫病毒实例 ——RedCode I 主要影响Windows NT系统和Windows 2000 主要影响国外网络 据CERT统计，至8月初已经感染超过25万台 主要行为 利用IIS 的Index服务的缓冲区溢出缺陷进入系统 检查c:\notworm文件是否存在以判断是否感染 中文保护（是中文windows就不修改主页） 攻击白宫！ 二、计算机病毒分析㈡、计算机病毒实例分析㈡、计算机病毒实例分析在侵入一台服务器后，其运行步骤是： 设置运行环境，修改堆栈指针，设置堆栈大小为218h字节。接着GetProcAddress函数地址； 传染：如果C:\notworm在，不再进一步传染； 传染其他主机。创造100个线程，其中99个用户感染其他WEB服务器，被攻击IP通过一个算法计算得出； 篡改主页，如果系统默认语言为“美国英语”，第100个进程就将这台服务的主页改成“Welcome to http://www.worm.com !, Hacked By Chinese!”，并持续10个小时。(直接在内存中修改，而不是修改*.htm文件） 如果时间在20：00UTC和23：59UTC之间，将反复和白宫主页建立连接，并发送98k字节数据，形成DDOS攻击。二、计算机病毒分析㈡、计算机病毒实例分析㈡、计算机病毒实例分析蠕虫病毒实例——RedCode 病毒的检测和防范 针对安装IIS的windows系统； 是否出现负载显著增加（CPU/网络）的现象； 用netstat –an检查是否有许多对外的80端口连接 在web日志中检查是否有/default.ida?xxx..%u0078%u0000 ％u00=a HTTP/1.0这样的攻击记录； 查找系统中是否存在文件c:\explorer.exe或d:\explorer.exe以及root.exe； 检查注册表文件中是否增加了C和D虚拟目录，以及文件保护功能是否被禁止。 在任务管理器中检查是否存在两个explorer.exe进程二、计算机病毒分析㈡、计算机病毒实例分析㈡、计算机病毒实例分析特洛伊木马程序 名字来源：古希腊故事 通过伪装成其他程序、有意隐藏自己恶意行为的程序，通常留下一个远程控制的后门 没有自我复制的功能 非自主传播 用户主动发送给其他人 放到网站上由用户下载二、计算机病毒分析㈡、计算机病毒实例分析㈡、计算机病毒实例分析特洛伊木马程序 传播途径 通过网络下载、电子邮件 防治办法 使用具有实时监控功能的杀毒软件 不要轻易打开邮件附件 不要轻易运行来路不明的文件 典型例子 BO、BO2k、Subseven、冰河、广外女生等二、计算机病毒分析㈡、计算机病毒实例分析㈡、计算机病毒实例分析特洛伊木马程序——通用删除方法 Win.ini文件 [windows]节中run=和load＝ system.ini文件 [boot]节的shell=explorer.exe Autoexec.bat文件 win命令 注册表 HLM\software\microsoft\windows\currentversion\run HCU\software\microsoft\windows\currentversion\runonce HCR\exefile\shell\open\command “%1” %* HCU\control panel\desktop\wallpaper二、计算机病毒分析㈡、计算机病毒实例分析㈡、计算机病毒实例分析病毒、蠕虫与木马的比较二、计算机病毒分析㈡、计算机病毒实例分析㈡、计算机病毒实例分析恶意网页代码 网页中含有有害的ActiveX、Java Applet、Vbs脚本、Js脚本等。 通过修改注册表来破坏我们的系统 许多系统功能因此受到限制，影响系统的正常使用 浏览了含有有害代码的网页文件后造成的二、计算机病毒分析㈢、计算机病毒的传播及原因㈢、计算机病毒的传播及原因传播途径 磁盘介质 网络 资源共享及文件下载 电子邮件 传播原因 操作系统的脆弱性 网络的脆弱性 硬件系统的脆弱性 人的原因二、计算机病毒分析㈠、计算机病毒的防范㈠、计算机病毒的防范数据备份 不要用移动介质启动（设置CMOS选项） 设置CMOS的引导记录保护选项 安装补丁，并及时更新 安装防病毒软件，及时更新病毒定义码 限制文件共享 不轻易打开电子邮件的附件 没有病毒处理前不要使用其他移动介质 不要运行不可信的程序 移动介质写保护三、计算机病毒的防范、检测及清除㈡、计算机病毒检测㈡、计算机病毒检测检测原理 比较法 比较法是用原始备份与被检测的引导扇区或被检测的文件进行比较。 特征匹配 从病毒体内抽取关键的特征字来组成特征字库，工作速度更快、误报警更少。 行为监控 对中断向量表的修改 对引导记录的修改 对.exe, .com文件的写操作 驻留内存 软件模拟三、计算机病毒的防范、检测及清除㈡、计算机病毒检测㈡、计算机病毒检测检测手段 手工检测 内存占用 文件属性 是否有坏簇 检查系统文件及批处理文件 检查注册表文件 使用杀毒软件检测 病毒扫描程序 扫描程序在文件中扫描病毒特征串。 完整性检查程序 检测文件的改变来发现病毒，或病毒的影响。 行为封锁软件三、计算机病毒的防范、检测及清除㈢、计算机病毒清除原则㈢、计算机病毒清除原则消毒前备份重要数据 清毒时用干净的系统引导机器，保证整个消毒过程在无毒的环境下进行 谨慎处理，确认无误后再进行有关操作 三、计算机病毒的防范、检测及清除㈣、计算机病毒清除方法㈣、计算机病毒清除方法杀毒软件清除 主引导扇区信息恢复 对于感染引导型病毒的机器。可采用实现备份的该盘的主引导扇区文件进行恢复。 也可运行下面的程序来完成： “Fdisk／MBR”用于重写一个无毒的MBR。 “Fdisk”用于读取或重写硬盘分区表。 “Format C：/S”或“SYS C：”会重写一个无毒的“活动分区的引导记录”（DOS）三、计算机病毒的防范、检测及清除㈣、计算机病毒清除方法㈣、计算机病毒清除方法程序覆盖 使用与文件型病毒。将事先备份的无毒文件重新考入系统覆盖被感染的有毒文件即可。 格式化 一般不要轻易使用， 它会破坏磁盘的所有数据，且低级格式化对硬盘有损害。使用该方法必须保证系统无病毒。 手工清除三、计算机病毒的防范、检测及清除㈠、引导记录与文件的修复㈠、引导记录与文件的修复1．修复引导记录 运行下面的程序来修复硬盘引导记录： “Fdisk／MBR”用于重写一个无毒的MBR。 “Fdisk”用于读取或重写硬盘分区表。 “Format C：/S”或“SYS C：”会重写一个无毒的“活动分区的引导记录”（DOS） 修复感染的软盘引导记录 “Format A：/S”或“SYS A：”会重写一个无毒的“活动分区的引导记录”（DOS） 利用反病毒软件修复 2．修复可执行文件 （1）拷贝文件备份 （2）利用反病毒软件修复四、系统恢复㈡、系统配置参数的修复㈡、系统配置参数的修复1、IE默认连接首页被修改 IE浏览器的默认首页被改成其他网站，这是最常见的篡改手段，受害者众多。 受到更改的注册表项目为： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page 四、系统恢复㈠、系统配置参数的修复㈠、系统配置参数的修复1、IE默认连接首页被修改 解决办法： ①、运行regedit； ②、展开注册表到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下，将Start Page的键值改为“about:blank”即可； ③、展开注册表到 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 　　在右半部分窗口中找到串值“Start Page”，然后按②中所述方法处理。 四、系统恢复㈠、系统配置参数的修复㈠、系统配置参数的修复1、IE默认连接首页被修改 特殊例子： 当IE的起始页变成了某些网址后，就算你通过选项设置修改好了，重启以后又会变成他们的网址啦，十分的难缠。其实他们是在你机器里加了一个自运行程序，它会在系统启动时将你的IE起始页设成他们的网站。 解决办法： 打开注册表，然后依次展开 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run主键，然后将其下的registry.exe子键删除，然后删除自运行程序c:\Program Files\registry.exe，最后从IE选项中重新设置起始页四、系统恢复㈠、系统配置参数的修复㈠、系统配置参数的修复2、篡改IE的默认页 有些IE被改了起始页后，即使设置了“使用默认页”仍然无效，这是因为IE起始页的默认页也被篡改啦。具体说来就是以下注册表项被修改： HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL “Default_Page_URL”这个子键的键值即起始页的默认页 解决办法： 将“Default_Page_UR”子键的键值中的那些篡改网站的网址改掉就好了，或者设置为IE的默认值。四、系统恢复㈠、系统配置参数的修复㈠、系统配置参数的修复3、IE的默认首页灰色按扭不可选 这是由于注册表 HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\ Internet Explorer\Control Panel下的DWORD值“homepage”的键值被修改的缘故。原来的键值为“0”，被修改为“1”（即为灰色不可选状态）。 解决办法： 将“homepage”的键值改为“0”即可 四、系统恢复㈠、系统配置参数的修复㈠、系统配置参数的修复4、IE标题栏被修改 IE浏览器上方的标题栏被改成“欢迎访问……网站”的样式，这是最常见的篡改手段 在系统默认状态下，是由应用程序本身来提供标题栏的信息，但也允许用户自行在上述注册表项目中填加信息，而一些恶意网站正是利用了这一点来得逞的：它们将串值Window Title下的键值改为其网站名或更多的广告信息，从而达到改变浏览者IE标题栏的目的。 具体说来受到更改的注册表项目为： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Window Title HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title四、系统恢复㈠、系统配置参数的修复㈠、系统配置参数的修复5、IE默认搜索引擎被修改 在IE浏览器的工具栏中有一个搜索引擎的工具按钮，可以实现网络搜索，被篡改后只要点击那个搜索工具按钮就会链接到那个篡改网站。出现这种现象的原因是以下注册表被修改： HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant 解决办法： 展开上述子键，将“CustomizeSearch”和“SearchAssistant”的键值改为某个搜索引擎的网址即可四、系统恢复㈠、系统配置参数的修复㈠、系统配置参数的修复6、IE右键菜单被修改 受到修改的注册表项目为： HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt 下被新建了网页的广告信息，并由此在IE右键菜单中出现！ 解决办法： 打开注册表编辑器，找到 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt 删除相关的广告条文即可。四、系统恢复㈠、系统配置参数的修复㈠、系统配置参数的修复7、系统启动时弹出对话框 受到更改的注册表项目为： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Winlogon 在其下被建立了字符串“LegalNoticeCaption”和“LegalNoticeText”，其中“LegalNoticeCaption”是提示框的标题，“LegalNoticeText”是提示框的文本内容。由于它们的存在，就使得我们每次登陆到Windwos桌面前都出现一个提示窗口，显示那些网页的广告信息！ 四、系统恢复㈠、系统配置参数的修复㈠、系统配置参数的修复7、系统启动时弹出对话框 解决办法： 打开注册表编辑器，找到 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Winlogon 这一个主键，然后在右边窗口中找到“LegalNoticeCaption”和“LegalNoticeText”这两个字符串，删除这两个字符串就可以解决在登陆时出现提示框的现象了。四、系统恢复㈠、系统配置参数的修复㈠、系统配置参数的修复8、注册表被禁用 主页的某些设置被恶意网页修改，我们可以通过编辑注册表特定项目的指来恢复。但有时注册表被禁止修改，当运行regedit命令时，弹出如下对话框：四、系统恢复这是由于注册表 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System 下的DWORD值“DisableRegistryTools”被修改为“1”的缘故，将其键值恢复为“0”即可恢复注册表的使用。㈠、系统配置参数的修复㈠、系统配置参数的修复8、注册表被禁用 解决办法 用记事本建立以REG为后缀的文件，输入下面内容： REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] “DisableRegistryTools”=dword:00000000 Windows 2000 Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000000四、系统恢复