恶意文件(病毒安全)巧治恶意网络页面病毒
2013-05-29 19:44
204 查看
PS:今天上午,非常郁闷,有很多简略基础的问题搞得我有些迷茫,哎,代码几天不写就忘。目前又不当COO,还是得用心记代码哦!
公用电脑接入了Internet互联网,没多久,就被一个恶意网页病毒感染了,涌现如下症状:打开IE浏览器,会主动进入一个名为“久好网址之家”的网址大全类的网站,打开“Internet选项”,发现主页被设置为“
http://www.ok9.net
”,当使用“搜索”功能时,发现搜索也被修改指向“
http://www.ok9.net
”,真是使人腻烦。
于是我运行注册表编辑器,利用“查找”功能,以“www.ok9.net”为关键词找出全体被恶意网页修改的内容,并全体更改回原来的值。谁知重新启动系统后,打开IE浏览器,发现又主动打开了那个恶意网站,而且其他地方也被修改了,看来事情并不是想像的那么简略,这个恶意网站必定还在系统启动时做了什么手脚!
于是在“运行”中输入“msconfig”,打开系统配置实用程序,逐项查找System.ini、Win.ini以及“启动”项中的全体自启动项目,终究在“启动”项中发现了两个极为可疑的键值。虽然一个是默许键值,一个键值名称为“win”,但两者的键值数据都是“regedit -s c:\windows\win.dll”。通过查找Regedit的相关命令得知,这个命令的功能是导入一个注册表脚本文件,“-s”参数则是让它后台主动导入,不过这后面导入的是“Win.dll”文件,怎么会是一个动态链接库文件呢?难道这只是一个表面现象,于是用记事本打开这个“Win.dll”文件,发现原来这是一个文本格式的文件,只不过被修改了扩展名而已。
每日一道理
爱,有的时候不需要山盟海誓的承诺,但她必定需要细致入微的关怀与问候;爱,有的时候不需要梁祝化蝶的悲壮,但她必定需要心有灵犀的默契与投合;爱,有的时候不需要雄飞雌从的追随,但她必定需要相濡以沫的支持与理解。
我分析了一下这个“Win.dll”文件,原来系统老是主动被恶意修改就是它在起作用。找到了症结,当然解决方法就是删除这个键值,并删除“Win.dll”文件,不过我忽然想到既然恶意网站可以利用这个文件来添加键值数据,为什么我不再利用一下这个文件,以牙还牙,让它还主动还原被恶意修改的键值呢?于是我将该文件修改如下:
REGED99v4
[空一行]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
@=""
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"win"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"=""
"First Home Page"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"=""
"First Home Page"=""
rcx
保存修改后的“Win.dll”文件,然后运行一下命令“regedit -s c:\windows\win.dll”,重新启动一下系统,你会发现全体的恶意修改一下子就全体被恢复了,你还可以保存着这个文件,如果再碰到这个恶意网页的话,只要要用这个文件恢复一下就可以了,非常便利。
文章结束给大家分享下程序员的一些笑话语录:
看新闻说中国输入法全球第一!领先了又如何?西方文字根本不需要输入法。一点可比性都没有。
---------------------------------
原创文章 By
恶意和文件
---------------------------------
公用电脑接入了Internet互联网,没多久,就被一个恶意网页病毒感染了,涌现如下症状:打开IE浏览器,会主动进入一个名为“久好网址之家”的网址大全类的网站,打开“Internet选项”,发现主页被设置为“
http://www.ok9.net
”,当使用“搜索”功能时,发现搜索也被修改指向“
http://www.ok9.net
”,真是使人腻烦。
于是我运行注册表编辑器,利用“查找”功能,以“www.ok9.net”为关键词找出全体被恶意网页修改的内容,并全体更改回原来的值。谁知重新启动系统后,打开IE浏览器,发现又主动打开了那个恶意网站,而且其他地方也被修改了,看来事情并不是想像的那么简略,这个恶意网站必定还在系统启动时做了什么手脚!
于是在“运行”中输入“msconfig”,打开系统配置实用程序,逐项查找System.ini、Win.ini以及“启动”项中的全体自启动项目,终究在“启动”项中发现了两个极为可疑的键值。虽然一个是默许键值,一个键值名称为“win”,但两者的键值数据都是“regedit -s c:\windows\win.dll”。通过查找Regedit的相关命令得知,这个命令的功能是导入一个注册表脚本文件,“-s”参数则是让它后台主动导入,不过这后面导入的是“Win.dll”文件,怎么会是一个动态链接库文件呢?难道这只是一个表面现象,于是用记事本打开这个“Win.dll”文件,发现原来这是一个文本格式的文件,只不过被修改了扩展名而已。
每日一道理
爱,有的时候不需要山盟海誓的承诺,但她必定需要细致入微的关怀与问候;爱,有的时候不需要梁祝化蝶的悲壮,但她必定需要心有灵犀的默契与投合;爱,有的时候不需要雄飞雌从的追随,但她必定需要相濡以沫的支持与理解。
我分析了一下这个“Win.dll”文件,原来系统老是主动被恶意修改就是它在起作用。找到了症结,当然解决方法就是删除这个键值,并删除“Win.dll”文件,不过我忽然想到既然恶意网站可以利用这个文件来添加键值数据,为什么我不再利用一下这个文件,以牙还牙,让它还主动还原被恶意修改的键值呢?于是我将该文件修改如下:
REGED99v4
[空一行]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
@=""
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"win"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"=""
"First Home Page"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"=""
"First Home Page"=""
rcx
保存修改后的“Win.dll”文件,然后运行一下命令“regedit -s c:\windows\win.dll”,重新启动一下系统,你会发现全体的恶意修改一下子就全体被恢复了,你还可以保存着这个文件,如果再碰到这个恶意网页的话,只要要用这个文件恢复一下就可以了,非常便利。
文章结束给大家分享下程序员的一些笑话语录:
看新闻说中国输入法全球第一!领先了又如何?西方文字根本不需要输入法。一点可比性都没有。
---------------------------------
原创文章 By
恶意和文件
---------------------------------
相关文章推荐
- (病毒安全)巧治恶意网络页面病毒
- 12月第1周网络安全报告:境内95.8万主机感染病毒
- 瑞星工程师详解病毒与网络安全(视频)
- 网络安全:拦截文件也要封锁网址
- 只防病毒不安全 网络安全还要防哪些?
- vc++网络安全编程范例(17)-open ssl 实现文件加密与解密
- 网络安全隐性杀手:三类危险TXT类型文件
- 最近,WannaCry勒索病毒肆虐全球,不少重要机构和企业的电脑纷纷中招,互联网上再次掀起关于网络安全的讨论。如今互联网技术发展飞速,随之而来的网络安全问题也越来越严重,其中网站遭遇流量攻击是比较突出
- java对.txt文件进行读取方法实战---室友是网络安全方向,帮他提取文件里的特定ip
- 网络安全与病毒防范
- 网络安全讲座之四账号安全和文件系统安全
- 网络安全新威胁:病毒纷玩"失踪"和"自杀"
- 工业网络安全:TRITON恶意软件简单分析与防护方案
- Java多线程环境下如何高效安全处理数据(输入输出流、文件、网络等)(二)
- 被病毒恶意篡改的文件怎么恢复
- 网络安全讲座之五:文件系统安全
- 网络安全与病毒防范
- 8月第三周网络安全:境内感染网络病毒主机数73.7万个
- 12月第1周网络安全报告:85.9万境内主机感染病毒
- 网络安全三防指南:只防病毒不安全