剖析各类恶意网页和IE漏洞对策分析双击自动滚屏发布者：owen发布时间：2004-8-23阅读：96次以前经常听到有朋友说，我上网只看新闻，查一些资料，我不下载东西，我不接收邮件，看病毒奈我何？而今，互联网利用IE等的漏洞完全可以让你通过浏览网页让你的电脑面目全非，或者格盘，甚至中下木马，传播病毒，而且这种形式的传播愈演愈烈，闲话少说了，现在来分析一下各类恶意网页。分析前先介绍一下注册表的修改方法，因为注册表在网页病毒中是中枢，就是通过它让你的电脑面目全非。第一种方法：直接修改法就是在运行里敲入regedit，然后进行编辑，这是大家通常修改注册表的方法。第二种方法：reg包导入法现在以解锁注册表为例(其实解锁用兔子等工具更好更方便，这里只是说明如何建立reg包)对于WIN9x/ME/NT4.0来说，在记事本把下面的内容另存为*.reg文件，导入即可REGEDIT4；这里一定要空一行，否则将修改失败[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]"DisableRegistryTools"=dword:00000000对于WIN2000或XP，把REGEDIT4改为WindowsRegistryEditorVersion5.00即可第三种方法：inf安装法对于98/ME，把下面的内容保存为.inf后缀文件，右键单击给文件选择安装即可[version]signature="$CHICAGO$"[DEFAULTINSTALL]ADDREG=unlock.ADD.REGDELREG=unlock.DEL.REG[unlock.ADD.REG]HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\system[unlock.DEL.REG]HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\system若为2000或XP，将CHICAGO修改为WindowsNT至于其他修改格式，这里不多说，可以自己找找资料，真的不会建立其它的inf包可以和我联系:)第四种方法：vbs脚本法把下面的内容保存为.vbs后缀文件DimunlockSetunlock=WScript.CreateObject("WScript.Shell")unlock.Popup"将为您解开注册表"unlock.RegWrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",0,"REG_DWORD"第五种方法：呵呵，是以其人之道还治其人之身的方法，这里不介绍（自己去网上找找资料）至于在DOS下编辑注册表，这里不再举例说明请大家切记，修改注册表前一定要备份注册表！！切记！！知道了方法，现在就来分析各类恶意网站和对付的方针恶意网站大致可以分成以下几类：一利用IE的文本漏洞通过编辑的脚本程序修改注册表的行为1。轻度修改注册表：比如标题拦，默认主页，搜索页，添加广告等，先来看看其中的一段原代码//a.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}")；恶意网页就是通过这个ID修改注册表的。//Shl.RegWrite("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoRun",01,"REG_BINARY"）;这一句代码可以让你的运行菜单消失。清除方法：本文对一般的被修改浏览器的解决方案不作提供，因为现在网上关于如何通过修复注册表来恢复的文章很多，大家可以自己找来看看我认为这一类的修改一般可以通过注册表修复工具来修复，不必手动去修改。常用工具有：超级兔子魔法，优化大师，3721魔宝石，杀毒王自带的IE修复器等瑞星的注册表修复工具：http://it.rising.com.cn/newSite/Channels/anti_virus/Antivirus_Base/TopicExplorerPagePackage/spiteful.htm毒霸的注册表修复工具：http://sh.duba.net/download/other/tool_011027_RegSolve.htm推荐一个很好的在线修复网站：www.j3j4.com补丁：WINDOWS2000：http://www.mic