針?shù)h相對(duì)打贏主頁(yè)保衛(wèi)戰(zhàn)

劉景云

筆者的電腦運(yùn)行速度越來(lái)越慢，系統(tǒng)經(jīng)常彈出奇怪的警告窗口。于是決定重新安裝系統(tǒng)，安裝過(guò)程很順利，當(dāng)安裝完畢后，系統(tǒng)的運(yùn)行速度果然飛快。但是，當(dāng)打開(kāi)IE后，卻發(fā)現(xiàn)里面可謂亂七八糟，收藏夾中充斥著垃圾網(wǎng)址，工具欄上按鈕凌亂，而且自動(dòng)打開(kāi)某個(gè)內(nèi)容雜亂的網(wǎng)頁(yè)。將IE整理干凈，筆者頗有信心，于是將收藏夾中垃圾網(wǎng)址清除，將雜亂的IE加載項(xiàng)，BHO插件等刪除。但是，當(dāng)試圖恢復(fù)被綁架的IE主頁(yè)時(shí)，卻遇到了不小的麻煩，在IE選項(xiàng)窗口中發(fā)現(xiàn)和主頁(yè)相關(guān)的內(nèi)容和按鈕全部處于灰色狀態(tài)，無(wú)法對(duì)其進(jìn)行修改，默認(rèn)的主頁(yè)為“www.5258.cc”。

使用常規(guī)方法，無(wú)法為IE主頁(yè)“松綁”

筆者請(qǐng)出了金山急救箱這款安全利器，對(duì)系統(tǒng)進(jìn)行安全掃描，果然發(fā)現(xiàn)一些IE被非法竄改的項(xiàng)目，執(zhí)行修復(fù)操作，原以為這樣可以解決問(wèn)題，不過(guò)奇怪的是打開(kāi)IE后，主頁(yè)依然被鎖定。換用諸如QQ安全管家的修復(fù)工具，也無(wú)法拯救IE主頁(yè)。考慮到和IE主頁(yè)相關(guān)的設(shè)定信息全部保存在注冊(cè)表中，筆者決定親自動(dòng)手，將IE主頁(yè)調(diào)整回來(lái)。

運(yùn)行Registry WorkShop這款注冊(cè)表專業(yè)編輯工具，在其主界面中點(diǎn)擊菜單“Search”-“Find”項(xiàng)，在搜索窗口（如圖1）中的“Find what：”欄中輸入“www.5258.cc”，點(diǎn)擊“Find”按鈕，執(zhí)行搜索操作，Registry WorkShop搜索速度極快，果然在窗口底部的檢測(cè)列表中發(fā)現(xiàn)6處相關(guān)的注冊(cè)表項(xiàng)目遭到非法修改。接著點(diǎn)擊“Ctrl+R”項(xiàng)，在替換窗口中的“Replace with”欄中輸入“www.baidu.com”，點(diǎn)擊“Replace”按鈕，執(zhí)行替換操作，即將原來(lái)的垃圾網(wǎng)址替換為指定的網(wǎng)址。當(dāng)Registry WorkShop替身替換成功后，筆者打開(kāi)IE，覺(jué)得主頁(yè)應(yīng)該已經(jīng)變成自己需要的地址了。但是，網(wǎng)址“www.5258.cc”依然“頑固”地占據(jù)著主頁(yè)，自動(dòng)打開(kāi)的還是垃圾頁(yè)面。

發(fā)現(xiàn)端倪，尋找綁架主頁(yè)的“幕后黑手”

看來(lái)，僅僅依靠安全工具，或者對(duì)注冊(cè)表進(jìn)行修復(fù)是無(wú)法解決問(wèn)題的，一定有流氓程序在后臺(tái)運(yùn)行，對(duì)注冊(cè)表的變動(dòng)情況進(jìn)行監(jiān)視，當(dāng)發(fā)現(xiàn)IE主頁(yè)被修復(fù)后，立刻對(duì)注冊(cè)表進(jìn)行惡意修改，恢復(fù)對(duì)IE主頁(yè)的控制權(quán)。筆者運(yùn)行“msconfig.exe”程序，在系統(tǒng)配置窗口中的“啟動(dòng)”面板（如圖2）中仔細(xì)查看，果然發(fā)現(xiàn)名為“Printer Services”的啟動(dòng)項(xiàng)比較可疑，與其關(guān)聯(lián)的程序名為“HPGuard.exe”，位于“C：＼Users＼Administrator＼AppData＼Roaming＼HPGuard”文件夾中。從名稱上看，似乎是與HP打印機(jī)相關(guān)的程序，但是本機(jī)上并沒(méi)有安裝任何打印機(jī)。筆者打開(kāi)命令提示符窗口，執(zhí)行“taskkill /im hpguard.exe /f”命令，將該可疑進(jìn)程關(guān)閉。之后按照上述方法，對(duì)注冊(cè)表進(jìn)行修復(fù)，發(fā)現(xiàn)IE的主頁(yè)終于恢復(fù)正常了。

清除流氓程序，自由設(shè)置IE主頁(yè)

進(jìn)入該程序的目錄中，果然發(fā)現(xiàn)其并非善類，打開(kāi)其中名為“HomePage.ini”的文件，發(fā)現(xiàn)其中分別針對(duì)IE、谷歌瀏覽器、世界之窗瀏覽器、360安全瀏覽器、QQ瀏覽器、搜狗瀏覽器等大家常用的瀏覽器，設(shè)置了惡意綁架網(wǎng)站以及對(duì)應(yīng)的命令行參數(shù)（如圖3）。看來(lái)，該惡意程序不僅綁架IE，還綁架其他的常用瀏覽器。打開(kāi)“ShutCut.ini”文件，發(fā)現(xiàn)其特別針對(duì)360安全瀏覽器，進(jìn)行了“貼心”的設(shè)計(jì)，包括對(duì)360安全瀏覽器個(gè)人桌面、公共桌面、任務(wù)欄等項(xiàng)目，分別進(jìn)行了路徑設(shè)定，“精心”為其預(yù)備了名為“daohang.5258.cc”的惡意網(wǎng)址（如圖4）。可以肯定，對(duì)于使用360安全瀏覽器的用戶來(lái)說(shuō)，一定頻繁遭到其騷擾。該目錄中的“HpHook.dll”文件可能是封裝惡意代碼的動(dòng)態(tài)庫(kù)。

不過(guò)，打開(kāi)其中的“$$a$$.bat”批處理文件，發(fā)現(xiàn)這是一個(gè)卸載程序，看來(lái)惡意程序的“開(kāi)發(fā)者”還有些良知，允許用戶卸載該惡意程序。了解以上原理后，先將“HPGuard.exe”進(jìn)程關(guān)閉，之后刪除該目錄，最后清除名為“Printer Services”的啟動(dòng)項(xiàng)，這樣終于將IE恢復(fù)正常了。至于IE選項(xiàng)窗口中和主頁(yè)相關(guān)的“使用當(dāng)前頁(yè)”、“使用默認(rèn)值”、“使用空白頁(yè)”等項(xiàng)被鎖定呈灰色顯示的情況，需要運(yùn)行“regedit.exe”程序，打開(kāi)“HKEY_CURRENT_USER＼Software＼Policies＼Microsoft＼Internet Explorer＼Control Panel”、“ HKEY_USERS＼.DEFAULT＼Software＼Policies＼Microsoft＼Internet Explorer＼Control Panel”、“ HKEY_USERS＼S-1-5-18＼Software＼Policies＼Microsoft＼Internet Explorer＼Control Panel”等分支，分別將其右側(cè)的名為“HomePage”的鍵值設(shè)置為0，就可以擺脫上述限制了。

清理不法驅(qū)動(dòng)文件，恢復(fù)IE正常功能

一般來(lái)說(shuō)，當(dāng)發(fā)現(xiàn)IE主頁(yè)被綁架后，可以打開(kāi)注冊(cè)表編輯器，點(diǎn)擊“Ctrl+F3”鍵，輸入惡意網(wǎng)址內(nèi)容，對(duì)注冊(cè)表進(jìn)行全面搜索，發(fā)現(xiàn)并清除隱藏惡意網(wǎng)站的鍵值。但是，有些惡意網(wǎng)址可能會(huì)被進(jìn)行加密處理，例如對(duì)于“www.5258.cc”網(wǎng)址來(lái)說(shuō)，經(jīng)過(guò)加密后，會(huì)變成“http：//%77%77%77%2E%35%32%35%38%2E%63%63/”字樣，隱藏在特定的注冊(cè)表鍵值中，則很難搜索到。為此可以運(yùn)行Sreng這款安全工具。在其主界面（如圖5）左側(cè)點(diǎn)擊“智能搜索”按鈕，點(diǎn)擊“掃描”按鈕，操作完畢后，將掃描結(jié)果保存為獨(dú)立的文件。在該文件中的“瀏覽器加載項(xiàng)”部分就很容易發(fā)現(xiàn)加密后的惡意網(wǎng)址，以及對(duì)應(yīng)的注冊(cè)表位置，進(jìn)入可以將其找到并清除。

對(duì)以上拯救IE主頁(yè)的實(shí)例分析，可以看到，越來(lái)越多的惡意程序已經(jīng)不滿足于對(duì)注冊(cè)表進(jìn)行簡(jiǎn)單修改，來(lái)實(shí)現(xiàn)對(duì)IE的劫持，而是采用更加高級(jí)的手段進(jìn)行破壞活動(dòng)。例如，其可能采用創(chuàng)建驅(qū)動(dòng)程序的手法，從底層侵入系統(tǒng)，這樣，當(dāng)系統(tǒng)啟動(dòng)后，就會(huì)自動(dòng)加載該不法驅(qū)動(dòng)模塊，當(dāng)其被激活后，就會(huì)對(duì)IE主頁(yè)以及其他配置項(xiàng)目進(jìn)行竄改，即使您對(duì)注冊(cè)表進(jìn)行全面搜索，也無(wú)法發(fā)現(xiàn)其蹤跡。利用AutoRuns這款安全工具，可以看穿其真面目。

在AutoRuns主界面中打開(kāi)“驅(qū)動(dòng)”面板（如圖6），可以顯示所有的驅(qū)動(dòng)模塊。對(duì)于可疑模塊，AutoRuns會(huì)以黃色進(jìn)行標(biāo)識(shí)。對(duì)于危險(xiǎn)性高的模塊，AutoRuns會(huì)以紅色進(jìn)行標(biāo)識(shí)，對(duì)其進(jìn)行比較分析，可以很容易發(fā)現(xiàn)其中的不法分子，對(duì)于拿不準(zhǔn)的模塊，可以在其右鍵菜單上點(diǎn)擊“在線搜索”項(xiàng)，對(duì)其進(jìn)行詳細(xì)分析。對(duì)于確認(rèn)的不法驅(qū)動(dòng)模塊，可以在其右鍵菜單上點(diǎn)擊“刪除”項(xiàng)，將其清除。也可以進(jìn)入WinPE環(huán)境，來(lái)刪除對(duì)應(yīng)的垃圾驅(qū)動(dòng)文件。為了防止出錯(cuò)，可以先點(diǎn)擊“跳轉(zhuǎn)到文件夾”項(xiàng)，將對(duì)應(yīng)的驅(qū)動(dòng)文件復(fù)制出來(lái)，如果刪除出錯(cuò)可以及時(shí)恢復(fù)。

刪除惡意DLL模塊，讓IE遠(yuǎn)離騷擾

此外，惡意程序還會(huì)采用將特制的DLL動(dòng)態(tài)庫(kù)注入到IE進(jìn)程中，來(lái)動(dòng)態(tài)地綁架IE主頁(yè)。對(duì)此可以運(yùn)行PowerTool這款安全工具，對(duì)進(jìn)程進(jìn)行仔細(xì)檢查，來(lái)發(fā)現(xiàn)問(wèn)題所在。例如，當(dāng)發(fā)現(xiàn)IE設(shè)置被竄改，使用正常方法無(wú)法修復(fù)時(shí)，可以運(yùn)行PowerTool，在其主界面中打開(kāi)“進(jìn)程管理”面板（如圖7），在進(jìn)程列表中選擇“iexplorer.exe”，在窗口底部的“模塊”欄中仔細(xì)查找，就很容易發(fā)現(xiàn)可疑的DLL文件。

清除的方法是關(guān)閉IE，然后再打開(kāi)其存儲(chǔ)的路徑（例如“C：＼Windows＼system32”等），找到該DLL文件并對(duì)其更名或者刪除，并重啟系統(tǒng)就可以恢復(fù)IE正常設(shè)置項(xiàng)目了。有時(shí)，當(dāng)您在修改IE快捷方式各項(xiàng)屬性時(shí)，系統(tǒng)會(huì)彈出“無(wú)法將所做的改動(dòng)保存到 Internet Explorer.lnk 拒絕訪問(wèn)”的提示，表明惡意程序?qū)⒃摽旖莘绞皆O(shè)置成了只讀屬性，只需將其屬性恢復(fù)到正常狀態(tài)，就可以進(jìn)行所需的調(diào)整操作了。

恢復(fù)IE主頁(yè)的其它小技巧

此外，惡意程序也可能將相關(guān)路徑的屬性設(shè)置為只讀，例如將“C：＼Documents and Settings＼Administrator＼桌面”、“C：＼Documents and Settings＼Administrator＼Application Data＼Microsoft＼Internet Explorer＼Quick Launch”等特殊文件夾設(shè)置為只讀屬性，同樣可以阻擋用戶恢復(fù)IE快捷方式的相關(guān)屬性。如果出現(xiàn)無(wú)法取消只讀屬性的問(wèn)題，說(shuō)明權(quán)限設(shè)置被惡意修改。在上述文件夾屬性窗口中的“安全”面板檢查當(dāng)前用戶是否擁有對(duì)該文件夾的完全控制、修改等權(quán)限，設(shè)置好合適的權(quán)限后，再對(duì)其進(jìn)行修改。

如果對(duì)注冊(cè)表進(jìn)行修改時(shí)，系統(tǒng)彈出錯(cuò)誤提示的話，這說(shuō)明惡意程序?qū)ο嚓P(guān)注冊(cè)表鍵值的權(quán)限進(jìn)行了封鎖，為此可以在對(duì)應(yīng)子健的右鍵菜單上點(diǎn)擊“權(quán)限”項(xiàng)，針對(duì)當(dāng)前賬戶啟用“完全控制”和“讀取”兩項(xiàng)權(quán)限。如果惡意程序?qū)?dāng)前賬戶從權(quán)限列表中刪除，則需要點(diǎn)擊“高級(jí)”按鈕，之后添加當(dāng)前賬戶，然后賦予其權(quán)限，就可以正常操作注冊(cè)表了。此外，如果在Windows 7等系統(tǒng)中遇到桌面上IE圖標(biāo)無(wú)法刪除和修改的話，很可能是惡意程序?qū)E快捷方式設(shè)置為共享狀態(tài)的緣故，處于共享狀態(tài)的快捷方式是無(wú)法被刪除的。處理方法很簡(jiǎn)單，打開(kāi)IE快捷方式的共享設(shè)置界面，將其共享屬性消除，之后就可以對(duì)其進(jìn)行修改或刪除操作。