網頁惡意代碼的分析及應對

摘要：文章通過分析常見網頁惡意代碼的作用原理，引導用戶通過修改系統注冊表的方法消除網頁惡意代碼對電腦系統造成的不良影響，并在此基礎上提出具體的病毒清除及預防方案。

關鍵詞：網頁惡意代碼 修復 防范

互聯網發展到今天，已經和我們的工作、學習和日常的生活密切相關，上網沖浪，成為了越來越多人每天固定要做的一件事，但網上并不太平，相信不少用戶都遇到過這種情況：當打開一個網頁過后，就發現注冊表和IE設置被修改了，自己的IE標題欄換成了其他網站的名字、默認主頁被換成了不知名的網站、系統被改得亂七八糟……

當然，我們可以通過安裝殺毒軟件，設置網絡防火墻，阻止大部分網頁惡意代碼的入侵，但仍有一些漏網之魚，大搖大擺地騙過殺毒軟件和防火墻，肆意更改我們的系統設置，因此，主動出擊，積極應對，不失為我們應對網頁惡意代碼入侵的一個快捷、有效的方法。

1. 什么是網頁惡意代碼？

網頁惡意代碼實質上是一種內嵌在網頁中的病毒程序，它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，纂改電腦注冊表中的源代碼，達到更改用戶系統設置，造成用戶每次開機直接撥號、主頁無法改回、彈出眾多窗口耗盡資源等嚴重危害。

這種非法惡意程序能夠得以被自動執行，在于它完全不受用戶的控制。用戶一旦瀏覽含有該病毒的網頁，即可在不知不覺的情況下馬上中招，給用戶的系統帶來一般性的、輕度性的、嚴重惡性等不同程度的破壞。令用戶苦不堪言，甚至損失慘重無法彌補。

2. 常見網頁惡意代碼的癥狀分析與修復辦法

（1）注冊表被鎖定

注冊表被鎖定這一招是比較惡劣的，它使一般用戶即使會簡單修改注冊表使其恢復的條件下，困難又多了一層。癥狀是在開始菜單中點擊“運行”，在運行框中輸入regedit命令時，注冊表不能夠使用，并發現系統提示用戶沒有權限運行該程序，然后讓你聯系系統管理員。這是由于注冊表中：

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System下的DWORD值“DisableRegistryTools”被修改為“1”的緣故，將其鍵值恢復為“0”即可恢復注冊表的使用。

修復辦法:

用戶自己動手制作一個解除注冊表鎖定的工具，就是用記事本編輯一個任意名字的.reg文件，比如recover.reg，內容如下：

REGEDIT4

[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System]“DisableRegistryTools”=dword:00000000

要特別注意的是：如果用這個方法制作解除注冊表鎖定的工具，要嚴格按照上面的書寫格式進行，不能遺漏更不能修改；完成上述工作后，點擊記事本的文件菜單中的“另存為”項，文件名可以隨意，但文件擴展名必須為.reg，然后點擊“保存”。這樣一個注冊表解鎖工具就制作完成了，之后用戶只須雙擊生成的工具圖標，系統會提示是否將這個信息添加進注冊表，點擊“是”，隨后系統提示信息已成功輸入注冊表，再點擊“確定”即可將注冊表解鎖了。

（2）篡改IE的默認頁

有些IE被改了起始頁后，即使設置了“使用默認頁”仍然無效，這是因為IE起始頁的默認頁也被篡改了。具體說就是以下注冊表項被修改：

HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Main/Default_Page_URL

“Default_Page_URL”這個子鍵的鍵值即起始頁的默認頁。

修復辦法：

運行注冊表編輯器，然后展開上述子鍵，將“Default_Page_URL”子鍵的鍵值中的那些篡改網站的網址改掉就行了，或者將其設置為IE的默認值。

（3）修改IE瀏覽器缺省主頁，并且鎖定設置項，禁止用戶更改

主要是修改了注冊表中IE設置的下面這些鍵值(DWORD值為1時為不可選)：

HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel

\"Settings\"=dword:1

HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel

\"Links\"=dword:1

HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel

\"SecAddSites\"=dword:1

修復辦法：

將上面這些DWORD值改為“0”即可恢復功能。

（4）IE的默認首頁灰色按扭不可選

這是由于注冊表：

HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/Internet Explorer/Control Panel

下的DWORD值“homepage”的鍵值被修改的緣故。原來的鍵值為“0”，被修改后為“1”（即為灰色不可選狀態）。

修復辦法：

將“homepage”的鍵值改為“0”即可。

（5）IE標題欄被修改

在系統默認狀態下，是由應用程序本身來提供標題欄的信息，但也允許用戶自行在上述注冊表項目中填加信息，而一些惡意的網站正是利用了這一點來得逞的：它們將串值Window Title下的鍵值改為其網站名或更多的廣告信息，從而達到改變瀏覽者IE標題欄的目的。具體說來受到更改的注冊表項目為：

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main/Window Title

HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/Window Title

修復辦法：

①在Windows啟動后，點擊“開始”→“運行”菜單項，在“打開”欄中鍵入regedit，然后按“確定”鍵；

②展開注冊表到

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main下，在右半部分窗口中找到串值“Window Title” ，將該串值刪除即可，或將Window Title的鍵值改為“IE瀏覽器”等你喜歡的名字；

③同理，展開注冊表到

HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main

然后按②中所述方法處理。

④退出注冊表編輯器，重新啟動計算機，運行IE，問題解決。

（6）IE右鍵菜單被修改

受到修改的注冊表項目為：

HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/MenuExt下被新建了網頁的廣告信息，并由此在IE右鍵菜單中出現。

修復辦法：

打開注冊表編輯器，找到

HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/MenuExt刪除相關的廣告條文即可。

（7）IE默認搜索引擎被修改

在IE瀏覽器的工具欄中有一個搜索引擎的工具按鈕，可以實現網絡搜索，被篡改后只要點擊那個搜索工具按鈕就會鏈接到那個篡改網站。出現這種現象的原因是以下注冊表被修改：

HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Search/CustomizeSearch

HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Search/SearchAssistant

修復辦法：

運行注冊表編輯器，依次展開上述子鍵，將“CustomizeSearch”和“SearchAssistant”的鍵值改為某個搜索引擎的網址即可。

3. 網頁惡意代碼的清除方案

網頁惡意代碼的流行直接影響到了不少的用戶，理所當然，怎樣才能有效地避免惡意代碼與修復網頁瀏覽器就成了用戶最關注的問題。但如今的網頁惡意代碼是越來越厲害，有時根本不能修改一下注冊表就能恢復正常。根據筆者多次的經驗和總結，發現網頁惡意代碼雖然有“道高一尺，魔高一丈”，但同時也適用于“萬變不離其蹤”的道理。

既然有“萬變不離其蹤”的道理，那么只要弄清“蹤”就可以將網頁惡意代碼徹底清除。在弄清“蹤”之前有必要先把癥狀進行分析，對癥下藥。

第一步，癥狀分析。

在這一步中，用戶主要是分清計算機的異常是屬網頁惡意代碼或者其它什么病毒造成的，這一步非常關鍵，這可以對照上面的敘述的癥狀，一般來說，網頁惡意代碼主要破壞的是IE瀏覽器，如果有其它癥狀建議先到網上查一下是否是其它病毒所致，這樣能夠大致確定自己計算機是否中的是網頁惡意代碼。

第二步，抓住要害。

網頁惡意代碼“萬變不離其蹤”的“蹤”就是修改注冊表。網頁惡意代碼就在訪問惡意網頁的那一瞬間對注冊表進行修改。但并不代表就修改這一次，

4. 網頁惡意代碼的防范

與其等到中毒之后殺毒，不如防范于未然，只要用戶做好防范工作，就能在最大限度上遠離網頁惡意代碼的困擾。

（1）要避免被網頁惡意代碼感染，首先關鍵是不要輕易去一些并不信任的站點，尤其是一些帶不健康內容的網址。但是這個并不能真正防止網頁惡意代碼的攻擊，因為這些惡意代碼有可能在任何地方出現。所以也可以參考進行以下的設置。

（2）運行IE時，點擊“工具→Internet選項→安全→ Internet區域的安全級別”，把安全級別由“中”改為“高”。網頁惡意代碼主要是含有惡意代碼的ActiveX或Applet、JavaScript的網頁文件，所以在IE設置中將ActiveX插件和控件、Java腳本等全部禁止就可以減少被網頁惡意代碼感染的幾率。具體方案是：在IE窗口中點擊“工具”→“Internet選項”，在彈出的對話框中選擇“安全”標簽，再點擊“自定義級別”按鈕，就會彈出“安全設置”對話框，把其中所有ActiveX插件和控件以及與Java相關全部選項選擇“禁用”。但是，這樣做在以后的網頁瀏覽過程中有可能會使一些正常應用ActiveX的網站無法瀏覽。而對于使用Windows98的計算機用戶，請打開 C:\\WINDOWS\\JAVA\\Packages\\CVLV1NBB.ZIP，把其中的“ActiveXComponent.class”刪掉；對于使用Windows Me的計算機用戶，請打開C:\\WINDOWS\\JAVA\\Packages\\5NZVFPF1.ZIP，把其中的“ActiveXComponent.class”刪掉。

（3）一定要在計算機上安裝網絡防火墻，并要時刻打開“實時監控功能”。

（4）設置注冊表編輯器中的相關項值：

* 運行打開注冊表編輯器命令regedit.exe進入注冊表；

*在HKEY_CURRENT_USER\\Software\\Microsoft\\Windows

CurrentVersion\\Policies\\System下，增加名為DisableRegistryTools的DWORD值項，將其值改為“1”，即可禁止使用注冊表編輯器命令regedit.exe。

特殊原因需要修改注冊表，可參考上文編輯一個recover.reg 文件，然后雙擊運行此文件即可。

（5）隨時升級IE瀏覽器的補丁。

結束語：網頁惡意代碼雖然在當前互聯網上活動非常猖獗，但用戶只要充分認識到它們的作用原理，從容應對，并在此基礎上做好防范措施，快樂上網，其實不難實現。

參考文獻：

[1]熊忠陽，張玉芳. WINDOWS注冊表配置與實例[M] .上海：上?？茖W普及出版社，2000， 2

[2]卿斯漢，劉文清，溫紅子．操作系統安全[M]．北京:清華大學出版社，2004