最浅显的IE反劫持攻略

来源：计算机应用文摘 作者： 出处：综艺读书 2006-02-08 

关 键 词：注册表  设计  杀毒  技巧  黑客  

　　软件名称： HijackThis
　　软件版本： 1.99
　　授权方式： 免费软件
　　软件大小： 193KB

　　“网络很恐怖！”
　　“嗯？”
　　“真的很恐怖，我的IE已经被恐怖分子劫持了！”
　　又有朋友来诉说自己的悲惨遭遇，负责“黑客战线”的小编zaphay再也坐不住了，要站出来进行一场反劫持的正义之战。于是，他向朋友推荐了下面这个技巧。

　　自从上了宽带网，经常都会遇到不同的恶意代码，让人头痛不已。但是每次击退这些“恐怖分子”，对我来说都是一个小小的胜利，与此同时自己的经验也在不断的积累。现在将这些经验拿出来与大家分享，希望那些和我一样常被“妖魔缠身”的小虾米们能不再被“恐怖分子”骚扰。

　　IE标题及主页被修改

　　这是恶意代码最喜欢干的事情。其实处理这种情况是很容易的。在注册表的HKEY_LOCAL_
　　MACHINESOFTWAREMicrosoftInternet ExplorerMain和HKEY_CURRENT_USER
　　SoftwareMicrosoftInternet Explorer
　　Main下，找到“Window Title”，这个就是IE的标题了。那主页呢？当然也在这个下面啦，键名是“Start Page”，只要将后面的值给成你喜欢的或者是默认的就可以了。

　　IE“主页”失效

　　有的恶意代码不仅修改浏览器首页，而且还会在IE的“Internet选项”上动手脚，将“主页”项改成不可用状态。对付这么恶心的事，其实也不麻烦。在开始菜单的运行中输入“gpedit.msc”后运行，在打开的组策略编辑器中找到“用户配置”→“管理模板”→“Windows组件”→“Internet Explorer”→“禁用更改主页设置”，双击打开设置对话框，选择“禁用”，然后关闭所有打开的IE，再次打开时主页已经可以设置（图1）。
原来要害就在这里　　被添加了自启动程序

　　这个相对比较麻烦，因为涉及的东西比较多。先检查注册表：HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersion下的Run项和Runonce项，HKEY_LOCAL_MACHINE
　　SOFTWAREMicrosoftWindowsCurrentVersion下的Run项、RunOnce项和RunOnceEx项，HKEY_LOCAL_MACHINESOFTWARE
　　MicrosoftWindows NTCurrent Version
　　Winlogon下的Shell和Userinit项，以及HKEY_CLASSES_ROOTexefileshell
　　opencommand和HKEY_CLASSES_
　　ROOT xtfileshellopencommand的打开方式，剩下的启动项也要特别留意，因为那里往往是杀毒软件忽略的地方。这些还不算，有的恶意代码甚至修改DLL，用DLL来启动，这个就防不胜防了。分析时一定要仔细，不能让任何一个可疑的东东溜过去，否则可能前功尽弃。具体方法可参见第20期的《网盗》专题。

　　注册表编辑器被锁定

　　在开始菜单的运行中输入“edit /80 regedit.exe”打开注册表编辑器，在其中找到“DisableRegistryTools”（可能是全角的），将其中任意一个字母改成不相同的即可，然后退出保存，这样注册表编辑器就可以运行了。最后，在注册表中找到HKEY_CURRENT_
　　USERSoftwareMicrosoftWindows
　　CurrentVersionPoliciesSystem下的DisableRegistryTools项，直接删除即可。这一招对于那些连注册表脚本都被锁定的情况十分有效。

　　IE控件劫持

　　消灭真正的IE劫持—控件劫持是很困难的，步骤很繁琐。具体的方法不多说了，现在介绍一款小程序，它就是HijackThis，可以协助你检测、分析和恢复被劫持的IE。使用方法很简单，点击“SCAN”按钮，在扫描后在要恢复的相关项前面打上勾，点击“Fix checked”即可。如果你不知道具体项的用处，可以选中那一条，点击“Info on selected item”，随后会弹出相应的说明，很详细（图2）。
不喜欢就把它勾起来
　　这款程序设计得比较人性化，为防止错误操作，HijackThis在修复的同时留下备份文件，用来在将来后悔时取消当初的修复动作。点击“Config”按钮，进入设置界面，选择“Backups”，选择列表中相应的项点击“Restore”按钮即可恢复（图3）。
在这里可进行恢复　　Host文件劫持

　　这是一种非常简单但危害很大的劫持手段。我们知道，系统中的Host文件可在本地将域名解析为IP地址，如果恶意代码悄悄修改了系统中的Host文件，将网友们常去的网站对应的IP地址修改到不良网站上去，则会让网友们在进行日常的浏览网页操作时，被强拖到不良网站上去。可以想像，如果有不良份子将这种手段用于诈骗，那它的社会危害就相当惊人了。

　　不过，应付它的方法也很简单。先在系统中找到Host文件，Windows 9X中该文件在系统盘的Windows目录下，Windows 2000/XP中它位于系统盘的Winnt System32DriversEtc目录中。找到文件后，用普通的文本编辑软件如记事本等打开它，查看其中是否有奇怪的域名解析项，若有则直接将之删除即可。
更多内容请看网络游戏攻略专题，或进入讨论组讨论。

【收藏此文】【大 中 小】【打印】【关闭】

较早的文章：IE工具栏也有关机按钮

较新的文章：IE实验中的多播资料