網(wǎng)頁雖然能讓網(wǎng)絡(luò)用戶更方便����、快捷地了解外面的世界,但是它也導(dǎo)致了惡意代碼的出現(xiàn)�,可能用戶在打開或瀏覽某一網(wǎng)頁時就會導(dǎo)致計算機遭受惡意代碼的入侵,因此了解如何防范惡意代碼攻擊本地計算機就顯得尤為重要�。
一、認識惡意代碼
惡意代碼又稱為網(wǎng)頁病毒���、惡意軟件�����,它的編寫大多是出于商業(yè)或者探測資料的目的����。例如宣傳某個產(chǎn)品、提供網(wǎng)絡(luò)收費服務(wù)或者對他人電腦直接進行有意破壞等���。這類代碼比較特殊�。因此用戶首先需要了解惡意代碼的特征�����、傳播方式以及遭受惡意代碼攻擊后的常見癥狀���。
1�����、惡意代碼有哪些特征����?
惡意代碼主要有3大特征:惡意的目的���、本身是程序以及通過執(zhí)行發(fā)生作用���。
當(dāng)用戶稍不留神打開一個含有惡意代碼的網(wǎng)頁時就可能被感染�,輕者被篡改瀏覽器地址欄文字�����,定時彈出IE瀏覽器窗口�����,重者將自動運行木馬程序�����,甚至自動格式化磁盤分區(qū)�����。
惡意的目的
惡意的目的是指黑客在編寫惡意代碼時是帶著惡意的目的進行編寫的�,例如出于破壞對方系統(tǒng)的成就感�、出于經(jīng)濟利益等。目前Internet中出現(xiàn)惡意代碼的目的更多是為了經(jīng)濟利益����。某些廣告類代碼可以通過用戶的上網(wǎng)習(xí)慣以提高廣告點擊率來獲取經(jīng)濟利益�。更直接的是通過竊取網(wǎng)上信用卡�����、銀行卡密碼等直接對用戶進行經(jīng)濟侵犯���。Internet中出現(xiàn)了一類潛伏性的惡意代碼,這類代碼能夠在攻擊目標(biāo)計算機時不被用戶發(fā)現(xiàn)���,進而可以通過竊取目標(biāo)計算機上的賬號密碼來達到獲取經(jīng)濟利益的目的。
本身是程序
惡意代碼是一種程序�,它可以在不被察覺的情況下嵌入到另一個程序中�����。通過運行別的程序而使惡意代碼運行,從而達到破壞被感染計算機數(shù)據(jù)�����、程序以及竊取用戶隱私信息的目的���。
通過執(zhí)行發(fā)生作用
惡意代碼就像地雷一樣�����,只要有人觸碰了它���,它就會自動運行,破壞目標(biāo)計算機中的數(shù)據(jù)���,或者收集目標(biāo)計算機中的隱私信息,然后將其發(fā)送給攻擊者�����。
非過濾性病毒
在惡意代碼中���,有一類代碼叫做非濾過性病毒,這類代碼破壞性很大�����,它包括諜件�、口令性破解軟件���、鍵盤輸入記錄軟件、Zombies和邏輯時間炸彈等�,攻擊者經(jīng)常利用這些軟件來獲取密碼、偵察網(wǎng)絡(luò)通信等���。
2����、惡意代碼的傳播方式有哪些�?
惡意代碼的傳播方式主要有兩種:利用軟件漏洞傳播和利用電子郵件傳播。
在Internet中�����,有些惡意代碼是自啟動的蠕蟲和嵌入腳本,它們本身是軟件���,這類惡意代碼對用戶的活動沒有要求�����。而有些惡意代碼則像特洛伊木馬�、電子郵件蠕蟲等���,攻擊者利用用戶的心理操縱他們執(zhí)行不安全的代碼����;還有一些是哄騙用戶關(guān)閉保護措施來安裝惡意代碼�。
利用軟件漏洞傳播
利用軟件漏洞傳播惡意代碼最常見的是利用商業(yè)軟件的漏洞進行傳播。它們完全依賴商業(yè)軟件產(chǎn)品的缺陷和弱點���,例如溢出漏洞和可以在不適當(dāng)?shù)沫h(huán)境中執(zhí)行任意代碼。像沒有打補丁的IIS軟件就有輸入緩沖區(qū)溢出方面的缺陷���。利用Web服務(wù)缺陷的攻擊代碼有Code Red���、Nimda, Linux和Solaris上的蠕蟲也利用了遠程計算機的缺陷。
利用電子郵件傳播
利用電子郵件傳播惡意代碼最常見的手法是把含有惡意代碼的郵件偽裝成其他惡意代碼受害者的感染報警郵件,惡意代碼受害者往往是Outlook地址簿中的用戶或者是緩沖區(qū)中Web頁的用戶����,這樣做可以盡可能地吸引用戶的注意力。一些攻擊者還表現(xiàn)了高度的心理操縱能力�����,LoveLetter就是一個突出的例子�����。一般用戶對來自陌生人的郵件附件越來越警惕�����,而攻擊者也設(shè)計一些誘餌引起用戶的興趣����。附件的使用正在和必將受到網(wǎng)關(guān)過濾程序的限制和阻斷,攻擊者也會設(shè)法繞過網(wǎng)關(guān)過濾程序的檢查���。使用的手法可能包括采用模糊的文件類型����,將公共的執(zhí)行文件類型壓縮成zip文件等。
惡意代碼的傳播趨勢
雖然惡意代碼的特征和傳播手段多種多樣�,但是其傳播趨勢卻越來越明確,主要表現(xiàn)在以下幾個方面�����。
種類更模糊:惡意代碼的傳播不單純依賴軟件漏洞或者社會工程中的某一種����,而可能是它們的混合。比如蠕蟲產(chǎn)生寄生的文件病毒�、特洛伊程序、口令竊取程序�����、后門程序�����,進一步模糊了蠕蟲�����、病毒和特洛伊的區(qū)別����。
多平臺攻擊:有些惡意代碼對不兼容的平臺都能夠起作用。來自Windows的蠕蟲可以利用Apache的漏洞�,而Linux蠕蟲會派生exe格式的特洛伊。
同時攻擊服務(wù)器和客戶機:對于惡意代碼來說����,服務(wù)器和客戶機的區(qū)別越來越模糊,客戶機和服務(wù)器如果運行同樣的應(yīng)用程序,也將受到惡意代碼的攻擊���。像IIS服務(wù)是一個操作系統(tǒng)默認的服務(wù),因此該服務(wù)程序的缺陷是各臺計算機共有的�����,Code Red的影響也只不限于服務(wù)器�,還會影響到眾多的客戶機����。
3、遭受惡意代碼攻擊后的癥狀有哪些���?
遭受惡意代碼攻擊后的癥狀有IE默認主頁被篡改���、IE瀏覽器標(biāo)題欄被篡改以及格式化磁盤�����。
黑客將惡意代碼放置在網(wǎng)頁中或者郵件中�,一旦目標(biāo)計算機用戶打開含有惡意代碼的網(wǎng)頁或者運行含有惡意代碼的郵件����,計算機就會遭受惡意代碼的攻擊。
IE默認主頁被篡改
IE默認主頁被篡改的主要原因是惡意代碼修改了注冊表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page兩項中的'Start Page'鍵值���。
IE瀏覽器標(biāo)題欄被篡改
在正常情況下�,IE瀏覽器的標(biāo)題欄后面都會有'Microsoft Internet Explorer'的字樣�,如果用戶發(fā)現(xiàn)IE瀏覽器的標(biāo)題欄后面跟著其他信息時,很可能是惡意代碼利用注冊表將其修改成網(wǎng)址或一些廣告信息�����。
格式化磁盤
當(dāng)瀏覽帶有此類惡意代碼的網(wǎng)頁時�����,瀏覽器可能會自動彈出警告“當(dāng)前的頁面含有不安全的ActiveX�����,可能會對用戶造成危害”之類的提示對話框�,讓用戶選擇是否繼續(xù)。如果選擇了“是”���,則很可能導(dǎo)致硬盤被格式化�,而格式化時的操作都是最小化進行的���,等發(fā)現(xiàn)時后悔也來不及了����。
二�����、利用漏洞攻擊網(wǎng)頁
提到漏洞����,用戶可能會想到操作系統(tǒng)和應(yīng)用軟件,其實網(wǎng)頁中也存在漏洞���,這些漏洞同樣可以被黑客抓住并實施入侵�����,黑客一旦掌握了網(wǎng)頁中存在的漏洞����,就會采取各種手段發(fā)起攻擊,例如在網(wǎng)頁中植入木馬或者獲取網(wǎng)頁管理員賬戶密碼等�,因此用戶不僅要掌握常見的網(wǎng)站漏洞,還需要了解黑客是如何獲取網(wǎng)站管理員賬戶密碼的�����。
常見的網(wǎng)站漏洞有哪些�?
常見的網(wǎng)站漏洞有上傳漏洞、暴庫�、注入、旁注和COOKIE詐騙五種���。
漏洞不僅僅是操作系統(tǒng)和應(yīng)用軟件才有的�����,Internet中的不少網(wǎng)站同樣存在漏洞����,黑客可以利用這些漏洞在網(wǎng)頁中植入木馬、病毒或惡意代碼�,一旦用戶打開或瀏覽這些網(wǎng)頁,計算機就會遭到入侵�。
上傳漏洞
該漏洞以前被黑客們廣泛利用以獲取Webshell�,危害等級超高。如果在瀏覽器地址欄中的網(wǎng)址后加上/upfile.asp���,若顯示“上傳格式不正確”或“重新上傳”這樣的字樣�,則很有可能就是有上傳漏洞了����,找個可以上傳的工具直接可以得到Webshell。
WebShell
WebShell就是以asp���、php�、jsp或者cgi等網(wǎng)頁文件形式存在的一種命令執(zhí)行環(huán)境�,也可以將其稱做是一種網(wǎng)頁后門。黑客在入侵了一個網(wǎng)站后����,通常會將這些asp或php后門文件與網(wǎng)站服務(wù)器Web目錄下正常的網(wǎng)頁文件混在一起,完成后就可以使用瀏覽器來訪問這些asp或者php后門,得到一個命令執(zhí)行環(huán)境���,以達到控制網(wǎng)站服務(wù)器的目的�,可以上傳下載文件����,查看數(shù)據(jù)庫,執(zhí)行任意程序命令等�����。
暴庫
暴庫是指攻擊者通過向網(wǎng)站提交字符得到數(shù)據(jù)庫文件后���,直接獲取該網(wǎng)站站點的前/后臺權(quán)限�。
注入
該漏洞是現(xiàn)在應(yīng)用最廣泛����,殺傷力也很大的漏洞。注入漏洞是由于字符過濾不嚴禁所造成的����,可以利用注入漏洞得到管理員的賬號密碼等相關(guān)資料。
旁注
攻擊者無法直接入侵比較堅固的網(wǎng)站時����,可能就會找出和這個網(wǎng)站同一服務(wù)器的站點�,然后通過該站點用提權(quán)���、嗅探等方法來入侵前面較堅固的網(wǎng)站�����。例如A和B是住在一個樓的,A家很安全����,而B家卻漏洞百出,現(xiàn)在有個賊想進入A家�,他對A家做了監(jiān)視(掃描),發(fā)現(xiàn)沒有什么可以利用的東西���,但是這個賊發(fā)現(xiàn)B家和A家一個樓����,而B家很容易就能進去�,因此賊會先進入B家,然后通過B家得到整個樓的鑰匙(系統(tǒng)權(quán)限)���,這樣就自然得到A家的鑰匙了����,就可以進入A家(網(wǎng)站)了。
Cookies詐騙
Cookies就是指將自己電腦的ID和MD5密碼(MD5是加密后的一個16位的密碼)更換成某個網(wǎng)站管理員的ID和MD5密碼����,讓系統(tǒng)誤以為自己是管理員,從而獲取管理權(quán)限����。
Cookies
Cookies一詞用在程序設(shè)計中是指一種能夠讓網(wǎng)站服務(wù)器把少量數(shù)據(jù)儲存到客戶端的硬盤或內(nèi)存,或是從客戶端的硬盤讀取數(shù)據(jù)的一種技術(shù)�。當(dāng)用戶瀏覽某網(wǎng)站時,由Web服務(wù)器置于電腦硬盤上的一個非常小的文本文件�����,它可以記錄用戶的用戶ID����、密碼、瀏覽過的網(wǎng)頁�����、停留的時間等信息。當(dāng)用戶再次來到該網(wǎng)站時���,網(wǎng)站通過讀取Cookies���,得知用戶的相關(guān)信息,就可以做出相應(yīng)的動作���,如在頁面顯示歡迎你的標(biāo)語���,或者讓用戶不用輸入ID、密碼就直接登錄等�。
三����、防范惡意代碼的攻擊
惡意代碼一旦被攻擊者植入網(wǎng)頁中,該網(wǎng)頁就是危險性網(wǎng)頁����,用戶一旦打開或瀏覽該網(wǎng)頁,就會使得計算機遭受惡意代碼的攻擊����,目前的殺毒軟件并不能查殺所有的惡意代碼�,因此用戶需要提高IE瀏覽器的安全系數(shù)來防范惡意代碼攻擊�����,另外還需要學(xué)會利用注冊表來清理已成功入侵的惡意代碼����,確保個人信息的安全。
1����、如何提高IE瀏覽器的安全系數(shù)?
可以采取兩種有效措施來提高IE瀏覽器的安全系數(shù):定期清理Internet臨時文件和取消自動記憶網(wǎng)頁密碼���。
瀏覽器是訪問網(wǎng)頁的重要窗口���,在Windows系統(tǒng)中,IE是默認的瀏覽器�����,隨著Internet中病毒�、惡意代碼以及木馬的泛濫,用戶需要提高IE瀏覽器的安全系數(shù)確保自己的計算機不被惡意代碼攻擊�。
定期清理Internet臨時文件
用戶在瀏覽網(wǎng)頁后���,瀏覽器會自動在特定的目錄中保留所瀏覽的網(wǎng)頁內(nèi)容,這些內(nèi)容就是Internet臨時文件�,這些臨時文件可以提高網(wǎng)頁的打開時間,但是由于這些臨時文件中含有用戶的隱私信息����,因此很可能會造成這些隱私信息的泄露,所以用戶需要養(yǎng)成定期清理Internet臨時文件的習(xí)慣�����。
步驟1:單擊“Internet選項”選項����,打開IE瀏覽器窗口,單擊右側(cè)的“工具”按鈕���,在展開的列表中單擊“Internet選項”選項。
步驟2:單擊“刪除”按鈕�,彈出“Internet選項”對話框,在“瀏覽歷史記錄”選項組中單擊“刪除”按鈕�����,若想在關(guān)閉瀏覽器后自動刪除歷史記錄,則可勾選“退出時刪除瀏覽歷史記錄”復(fù)選框�。
步驟3:選擇要刪除的歷史記錄,彈出“刪除瀏覽的歷史記錄”對話框����,取消勾選“保留收藏夾和網(wǎng)站數(shù)據(jù)”復(fù)選框,然后在下方選擇要刪除的數(shù)據(jù)���,建議全部勾選���,選中后單擊“確定”按鈕即可刪除所選的歷史記錄。
利用第三方軟件清理IE歷史痕跡
如果用戶覺得手動清理IE瀏覽器的歷史痕跡很麻煩�,還可以采用其他軟件來清理歷史痕跡,在Internet中����,常用的第三方軟件有Windows 優(yōu)化大師、360安全衛(wèi)士等軟件���。
取消自動記憶網(wǎng)頁密碼
IE瀏覽器具有自動記錄網(wǎng)頁密碼的功能�����,如果用戶使用的電腦安裝了防火墻和殺毒軟件�����,則可以考慮不取消該功能���,若是公用的計算機�,最好將該功能取消���,以免造成不必要的損失���。
步驟1:單擊“設(shè)置”按鈕,打開“Internet選項”對話框����,切換至“內(nèi)容”選項卡,在“自動完成”選項組中單擊“設(shè)置”按鈕�。
步驟2:取消自動記錄網(wǎng)頁密碼功能,彈出“自動完成設(shè)置”對話框���,在“自動完成功能應(yīng)用于”列表框中取消勾選所有的復(fù)選框,然后單擊“確定”按鈕保存退出���。
添加可信站點和受限站點
IE瀏覽器提供了添加可信站點和受限站點的功能����,用戶可以將自己信任的網(wǎng)站添加到可信站點中,可以將非法的�、不安全的網(wǎng)頁添加到“受限站點”中,即直接利用IE將其屏蔽����。
步驟1:單擊“站點”按鈕,打開“Internet選項”對話框�����,切換至“安全”選項卡���,在列表框中單擊“可信站點”選項�����,然后單擊“站點”按鈕�����。
步驟2:添加可信站點�,彈出“可信站點”對話框,在“將該網(wǎng)站添加到區(qū)域”文本框中輸入可信的網(wǎng)站網(wǎng)址����,單擊“添加”按鈕。
步驟3:查看添加的可信站點����,此時可看見網(wǎng)址已添加到“網(wǎng)站”列表框中,即成功添加可信站點����,單擊“關(guān)閉”按鈕。
步驟4:選擇受限站點���,返回“Internet選項”對話框�,單擊“受限站點”選項�����,然后單擊“站點”按鈕�����。
步驟5:添加受限站點����,彈出“受限站點”對話框,在“將該網(wǎng)站添加到區(qū)域”文本框中輸入受限的網(wǎng)站網(wǎng)址����,單擊“添加”按鈕。
步驟6:查看添加的受限站點�,此時可看見網(wǎng)址已添加到“網(wǎng)站”列表框中,即成功添加受限站點����,單擊“關(guān)閉”按鈕,最后單擊“確定”按鈕保存退出�。
2、如何利用注冊表清理惡意代碼���?
利用注冊表清理惡意代碼就是修改注冊表中對應(yīng)鍵值項的值���,該操作可以清除自動彈出的網(wǎng)頁和對話框,還可以修復(fù)IE瀏覽器的默認首頁和標(biāo)題欄顯示信息�����。
注冊表在整個Windows系統(tǒng)中起著核心的作用���,它是惡意代碼攻擊的主要對象�,一旦惡意代碼修改了注冊表信息,輕則導(dǎo)致Windows系統(tǒng)的啟動過程出現(xiàn)異常����,重則導(dǎo)致整個系統(tǒng)無法正常啟動,當(dāng)計算機中出現(xiàn)了上述癥狀時���,可以手動清理或者修改注冊信息����。
清除自動彈出的網(wǎng)頁和對話框
用戶在上網(wǎng)的過程中經(jīng)常會遇到自動彈出的網(wǎng)頁和對話框�,這些網(wǎng)頁和對話框不但會影響用戶上網(wǎng)的心情,而且還可能會讓計算機感染病毒�,因此用戶最好手動清除對應(yīng)的注冊表信息。
步驟1:輸入regedit命令����,按【W(wǎng)IN R】組合鍵,打開“運行”對話框�����,輸入regedit命令����,單擊“確定”按鈕�。
步驟2:找到Run子鍵�,在打開的“注冊表編輯器”窗口左側(cè)單擊HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run子鍵。
步驟3:刪除目標(biāo)鍵值項����,在右邊窗格中選中url�����、htm�、html、asp和php等網(wǎng)址屬性的鍵值項���,右擊任意選中的鍵值項���,在彈出的快捷菜單中單擊“刪除”命令。
步驟4:確定永久刪除�����,彈出“確認數(shù)值刪除”對話框����,提示用戶刪除某些注冊表值將會引起系統(tǒng)的不穩(wěn)定�����,直接單擊“是”按鈕���,確定永久刪除這些數(shù)值,使得用戶在瀏覽網(wǎng)頁時不再彈出其他網(wǎng)頁�。
步驟5:找到Winlogon子鍵,在“注冊表編輯器”窗口的左側(cè)找到并單擊HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon子鍵�����。
步驟6:刪除目標(biāo)鍵值項���,在該子鍵的右邊窗格中選中Legal NoticeCaption和LegalNoticeText兩個鍵值項���,右擊任意選中的鍵值項,在彈出的快捷菜單中單擊“刪除”命令����。
步驟7:確定永久刪除,彈出“確認數(shù)值刪除”對話框���,單擊“是”按鈕�,確定永久刪除這些數(shù)值,使得用戶在瀏覽網(wǎng)頁時不再自動彈出對話框�。
修改Legal NoticeCaption和LegalNoticeText鍵值
在設(shè)置不自動彈出對話框時,用戶除了直接刪除Winlogon子鍵下的Legal NoticeCaption和LegalNoticeText兩個鍵值項之外���,還可以通過刪除它們的鍵值(但保留鍵值項)來實現(xiàn)����,同樣可以達到不自動彈出對話框的目的����。
還原IE瀏覽器的默認首頁和標(biāo)題欄顯示信息
惡意代碼會通過修改注冊表信息來達到修改IE瀏覽器默認主頁和標(biāo)題欄內(nèi)容的目的�,一旦發(fā)現(xiàn)IE瀏覽器的默認主頁和標(biāo)題欄被篡改,用戶可以通過修改注冊表信息來還原IE瀏覽器的默認主頁和標(biāo)題欄���。
步驟1:找到MAIN子鍵����,打開“注冊表編輯器”窗口����,在左側(cè)找到HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\MAIN子鍵���。
步驟2:雙擊Start Page鍵值項,若要修改IE瀏覽器的默認首頁�,則在右側(cè)雙擊Start Page鍵值項。
步驟3:修改IE默認首頁網(wǎng)址���,彈出“編輯字符串”對話框�,在“數(shù)值數(shù)據(jù)”文本框中輸入首頁網(wǎng)址����,如輸入about:blank,單擊“確定”按鈕����。
步驟4:雙擊Window Title鍵值項,返回“注冊表編輯器”窗口����,雙擊Window Title鍵值項,查看IE瀏覽器標(biāo)題欄的顯示信息����。
步驟5:修改IE標(biāo)題欄的顯示信息,彈出“編輯字符串”對話框,在“數(shù)值數(shù)據(jù)”文本框中輸入Microsoft Internet Explorer����,單擊“確定”按鈕。
步驟6:找到Main子鍵����,在“注冊表編輯器”窗口的左側(cè)找到并單擊HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main子鍵。
步驟7:雙擊Start Page鍵值項�����,僅僅修改HKEY_LOCAL_MACHINE根鍵下的Main子鍵是不夠的�����,還需要修改HKEY_CURRENT_USER根鍵下的Main子健�����,在右側(cè)雙擊Start Page鍵值項����。
步驟8:修改IE默認首頁網(wǎng)址�����,彈出“編輯字符串”對話框,在“數(shù)值數(shù)據(jù)”文本框中輸入about:blank���,然后單擊“確定”按鈕���。
步驟9:雙擊Window Title鍵值項,返回“注冊表編輯器”窗口���,雙擊Window Title鍵值項�����。
步驟10:修改IE標(biāo)題欄的顯示信息�����,彈出“編輯字符串”對話框�,在“數(shù)值數(shù)據(jù)”文本框中輸入Microsoft Internet Explorer�,單擊“確定”按鈕保存退出。
