《計算機病毒防治》PPT課件.ppt

1、,信 息 安 全INFORMATION SECURITY,計算機病毒防治,主要內容,第一節(jié)計算機病毒概述第二節(jié)計算機病毒分析第三節(jié)計算機病毒的防范、檢測、清除第四節(jié)計算機病毒破壞后的恢復,計算機病毒防治,、計算機病毒產生的歷史,1977年，Thomas j Ryan在科幻小說P-1的青春中幻想一種計算機病毒可以從一臺計算機傳染到另一臺計算機，最終控制了7000臺計算機。 1983年美國計算機安全專家Fred Cohen博士在VAX-11上通過實驗證明了計算機病毒的存在。 1986年，巴基斯坦兩兄弟為追蹤非法拷貝其軟件的人制造了“巴基斯坦”病毒，成了世界上公認的第一個傳染PC兼容機的病毒，并且很

2、快在全球流行。 1987年10月，美國發(fā)現(xiàn)世界上第一例計算機病毒(Brain) 1988年。小球病毒傳入我國，在幾個月之內迅速傳染了20 多個省、市，成為我國第一個病毒案例。 此后，如同打開的潘多拉的盒子，各種計算機病毒層出不窮。,一、計算機病毒概述,、計算機病毒的定義,狹義定義 計算機病毒是一種靠修改其它程序來插入或進行自身拷貝，從而感染其它程序的一種程序。 Fred Cohen博士對計算機病毒的定義。 廣義定義 能夠引起計算機故障，破壞計算機數(shù)據(jù)，影響計算機系統(tǒng)的正常使用的程序代碼。 我國定義 我國中華人民共和國計算機信息系統(tǒng)安全保護條例第二十八條：計算機病毒，是指編制或者在計算機程序中插

3、入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。,一、計算機病毒概述,、計算機病毒的發(fā)展歷史,DOS時代 DOS是一個安全性較差的操作系統(tǒng)，所以在DOS時代，計算機病毒無論是數(shù)量還是種類都非常多。按照傳染方式可以分為：系統(tǒng)引導病毒、外殼型病毒、復合型病毒。各類病毒的具體內容見“病毒的分類”。 Windows時代 1995年8月，微軟發(fā)布了Windows95，標志著個人電腦的操作系統(tǒng)全面進入了Windows9X時代，而Windows9X對DOS的弱依賴性則使得計算機病毒也進入了Windows時代。這個時代的最大特征便是大量DOS病毒的消失以及宏病毒的興起

4、。,一、計算機病毒概述,、計算機病毒的發(fā)展歷史,Internet時代 可以這樣說，網絡病毒大多是Windows時代宏病毒的延續(xù)，它們往往利用強大的宏語言讀取用戶E-mail軟件的地址簿，并將自身作為附件發(fā)向地址簿內的那些E-mail地址去。由于網絡的快速和便捷，網絡病毒的傳播是以幾何級數(shù)進行的，其危害比以前的任何一種病毒都要大。,一、計算機病毒概述,、計算機病毒的特征,基本特征 傳染性 自我復制，通過多種渠道傳播 潛伏性 感染后不一定立刻發(fā)作； 依附于其他文件、程序、介質，不被發(fā)現(xiàn) 可觸發(fā)性 觸發(fā)條件：日期、時間、文件類型 破壞性 破壞數(shù)據(jù)的完整性和可用性 破壞數(shù)據(jù)的保密性 系統(tǒng)和資源的可用性

5、。,一、計算機病毒概述,、計算機病毒的特征,其它特征 非授權可執(zhí)行性 寄生性 寄生于其它文件、程序、 隱蔽性 程序隱蔽、傳染隱蔽； 不易被發(fā)現(xiàn) 針對性 針對特定的計算機、特定的操作系統(tǒng) 多態(tài)性 每一次感染后改變形態(tài)，檢測更困難 持久性 難于清除,一、計算機病毒概述,、計算機病毒的分類,按宿主分類 引導型病毒 主引導區(qū) 操作系統(tǒng)引導區(qū) 直到20世紀90年代中期，引導區(qū)型病毒是最流行的病毒類型，主要通過軟盤在DOS操作系統(tǒng)里傳播。引導區(qū)型病毒侵染軟盤中的引導區(qū)，蔓延到用戶硬盤，并能侵染到用戶硬盤中的“主引導記錄”。一旦硬盤中的引導區(qū)被病毒感染，病毒就試圖侵染每一個插入計算機的從事訪問的軟盤的引導區(qū)

6、。病毒可駐留在內存內并感染被訪問的磁盤。,一、計算機病毒概述,、計算機病毒的分類,按宿主分類 文件型病毒 操作系統(tǒng) 應用程序 宏病毒 文件型病毒是文件侵染者。通常它感染擴展名為COM、EXE、DRV、BIN、OVL、SYS等文件。每一次它們激活時，感染文件把自身復制到其他文件中。 該類病毒在操作系統(tǒng)執(zhí)行文件時取得控制權并把自己依附在可執(zhí)行文件上，然后，利用這些指令來調用附在文件中某處的病毒代碼。當文件執(zhí)行時，病毒會調出自己的代碼來執(zhí)行，接著又返回到正常的執(zhí)行系列。,一、計算機病毒概述,、計算機病毒的分類,按宿主分類 復合型病毒 復合型病毒具有引導區(qū)型病毒和文件型病毒兩者的特征。 按危害分類 良

7、性病毒 如：小球病毒。 惡性病毒 如：CIH病毒。,一、計算機病毒概述,、計算機病毒的分類,按傳播媒介分為 單機病毒 DOS、Windows、Unix/Linux病毒等。 網絡病毒 通過網絡或電子郵件傳播。 按攻擊平臺分類： DOS病毒：MS-DOS及兼容操作系統(tǒng)上編寫的病毒 Windows病毒：Win32上編寫的純32位病毒程序， MAC病毒： Unix/Linux病毒：,一、計算機病毒概述,、計算機病毒的分類,宏病毒 宏病毒一般是指用宏語言（如 Word Basic）書寫的病毒程序，是一段寄生在支持宏的文檔（如 Microsoft Office文檔）上的宏代碼。不面向操作系統(tǒng)，所以，它不受

8、操作平臺的約束，可以在DOS、Windows、Unix、Mac等系統(tǒng)中散播。這就是說，宏病毒能被傳到任何可運行編寫宏的應用程序的機器中。 雖然宏病毒不會有嚴重的危害，但它會影響系統(tǒng)的性能以及對文檔的各種操作，如打開、存儲、關閉或清除等。當打開文檔時，宏病毒程序就會被執(zhí)行，即宏病毒處于活動狀態(tài)，當觸發(fā)條件滿足時，宏病毒才開始傳染、表現(xiàn)和破壞。 宏病毒對病毒而言是一次革命?，F(xiàn)在通過E-mail、3W的互聯(lián)能力及宏語言的進一步強化，極大地增強了它的傳播能力。,一、計算機病毒概述,、計算機病毒的危害性,1、攻擊系統(tǒng)數(shù)據(jù)區(qū) 攻擊部位包括硬盤主引導扇區(qū)、Boot扇區(qū)、FAT表、文件目錄。一般來說，攻擊系統(tǒng)

9、數(shù)據(jù)區(qū)的病毒是惡性病毒，受損的數(shù)據(jù)不易恢復。 2、攻擊文件 病毒對文件的攻擊方式很多，如刪除、改名、替換內容、丟失簇和對文件加密等。 3、攻擊內存 內存是計算機的重要資源，也是病毒攻擊的重要目標。病毒額外地占用和消耗內存資源，可導致一些大程序運行受阻。病毒攻擊內存的方式有大量占用、改變內存總量、禁止分配和蠶食內存等。,一、計算機病毒概述,、計算機病毒的危害性,4、干擾系統(tǒng)運行，使運行速度下降 此類行為也是花樣繁多，如不執(zhí)行命令、干擾內部命令的執(zhí)行、虛假報警、打不開文件、內部棧溢出、占用特殊數(shù)據(jù)區(qū)、時鐘倒轉、重啟動、死機、強制游戲、擾亂串并接口等等。病毒激活時，系統(tǒng)時間延遲程序啟動，在時鐘中納入

10、循環(huán)計數(shù)，迫使計算機空轉，運行速度明顯下降。 5、干擾鍵盤、喇叭或屏幕，適應胡無法正常操作 病毒干擾鍵盤操作，如響鈴、封鎖鍵盤、換字、抹掉緩存區(qū)字符、輸入紊亂等。許多病毒運行時，會使計算機的喇叭發(fā)出響聲。病毒擾亂顯示的方式很多，如字符跌落、倒置、顯示前一屏、打開對話框、光標下跌、滾屏、抖動、亂寫等。,一、計算機病毒概述,、計算機病毒的危害性,6、攻擊CMOS，破壞系統(tǒng)硬件 在機器的CMOS中，保存著系統(tǒng)的重要數(shù)據(jù)，如系統(tǒng)時鐘、磁盤類型和內存容量等，并具有校驗和。有的病毒激活時，能夠對CMOS進行寫入動作，破壞CMOS中的數(shù)據(jù)。例如CIH病毒破壞計算機硬件，亂寫某些主板BIOS芯片，損壞硬盤。

11、7、干擾打印機 如假報警、間斷性打印或更換字符。 8、干擾網絡正常運行 網絡病毒破壞網絡系統(tǒng)，非法使用網絡資源，破壞電子郵件，發(fā)送垃圾信息，占用網絡帶寬、阻塞網絡、造成拒絕服務等。,一、計算機病毒概述,、計算機病毒的結構及工作機理,計算機病毒的結構 一般由引導模塊、傳染模塊、表現(xiàn)模塊三部分組成。,二、計算機病毒分析,、計算機病毒的結構及工作機理,引導過程 也就是病毒的初始化部分，它隨著宿主程序的執(zhí)行而進入內存，為傳染部分做準備。 傳染過程 作用是將病毒代碼復制到目標上去。一般病毒在對目標進行傳染前，要首先判斷傳染條件是否滿足，判斷病毒是否已經感染過該目標等，如CIH病毒只針對Windows 9

12、5/98操作系統(tǒng) 表現(xiàn)過程 是病毒間差異最大的部分，前兩部分是為這部分服務的。它破壞被傳染系統(tǒng)或者在被傳染系統(tǒng)的設備上表現(xiàn)出特定的現(xiàn)象。大部分病毒都是在一定條件下才會觸發(fā)其表現(xiàn)部分的。,二、計算機病毒分析,、計算機病毒實例分析,引導型病毒 傳染機理 利用系統(tǒng)啟動的缺陷 傳染目標 硬盤的主引導區(qū)和引導區(qū) 軟盤的引導區(qū) 傳染途徑 通過軟盤啟動計算機 防治辦法 從C盤啟動 打開主板的方病毒功能 典型病毒 小球病毒、大麻病毒、火炬病毒、Anti-CMOS病毒,二、計算機病毒分析,、計算機病毒實例分析,引導型病毒 引導扇區(qū)是大部分系統(tǒng)啟動或引導指令所保存的地方，而且對所有的磁盤來講，不管是否可以引導，都

13、有一個引導扇區(qū)。感染的主要方式就是發(fā)生在計算機通過已被感染的引導盤（常見的如一個軟盤）引導時發(fā)生的。,二、計算機病毒分析,、計算機病毒實例分析,引導型病毒主引導記錄（MBR）,二、計算機病毒分析,、計算機病毒實例分析,引導型病毒系統(tǒng)引導過程,二、計算機病毒分析,Power On,CPU & ROM BIOS Initializes,POST Tests,Look for boot device,MBR boot Partition Table Load,DOS Boot Sector Runs,Loads IO.SYS MSDOS.SYS,DOS Loaded,、計算機病毒實例分析,引導型病毒

14、感染與執(zhí)行過程,二、計算機病毒分析,系統(tǒng)引導區(qū),引導 正常執(zhí)行,病毒,引導系統(tǒng),病毒體,、計算機病毒實例分析,文件型病毒 傳染機理 利用系統(tǒng)加載執(zhí)行文件的缺陷 傳染目標 各種能夠獲得系統(tǒng)控制權執(zhí)行的文件 傳染途徑 各種存儲介質、網絡、電子郵件 防治辦法 使用具有實時監(jiān)控功能的殺毒軟件 不要輕易打開郵件附件 典型病毒 1575病毒、CIH病毒,二、計算機病毒分析,、計算機病毒實例分析,文件型病毒 文件型病毒與引導扇區(qū)病毒最大的不同之處是，它攻擊磁盤上的文件。它將自己依附在可執(zhí)行的文件（通常是.com和.exe）中，并等待程序的運行。這種病毒會感染其它的文件，而它自己卻駐留在內存中。當該病毒完成了

15、它的工作后，其宿主程序才被運行，使人看起來仿佛一切都很正常,二、計算機病毒分析,、計算機病毒實例分析,文件型病毒傳染機理,二、計算機病毒分析,正常 程序,程序頭,程序頭,程序頭,程序頭,程序頭,程序頭,程序頭,程序頭,程序頭,程序頭,程序頭,程序頭,程序頭,程序頭,程序頭,程序頭,病毒程序頭,程序頭,病毒程序,病毒程序,病毒程序,程序頭,、計算機病毒實例分析,宏病毒 宏病毒一般是指利用軟件所支持的宏命令或語言（如 Word Basic）書寫的一段寄生在支持宏的文檔（如 Microsoft Office文檔）上的、具有復制、傳染能力的宏代碼。 宏病毒是一種新形態(tài)的計算機病毒，也是一種跨平臺式計算

16、機病毒，可以在Windows 9X、Windows NT、OS/2和Unix、Mac等操作系統(tǒng)上執(zhí)行病毒行為。 雖然宏病毒不會有嚴重的危害，但它會影響系統(tǒng)的性能以及對文檔的各種操作，如打開、存儲、關閉或清除等。當打開文檔時，宏病毒程序就會被執(zhí)行，即宏病毒處于活動狀態(tài)，當觸發(fā)條件滿足時，宏病毒才開始傳染、表現(xiàn)和破壞。 宏病毒對病毒而言是一次革命?，F(xiàn)在通過E-mail、3W的互聯(lián)能力及宏語言的進一步強化，極大地增強了它的傳播能力。,二、計算機病毒分析,、計算機病毒實例分析,宏病毒 傳染機理 利用處理的文件可以內嵌宏的功能 傳染目標 doc、dot、xls、ppt、mdb等文件（Windows） 傳

17、染途徑 各種存儲介質、網絡、電子郵件 防治辦法 使用具有實時監(jiān)控功能的殺毒軟件 打開系統(tǒng)提供的宏保護功能 典型病毒 “七月殺手”病毒、“美麗莎”病毒,二、計算機病毒分析,、計算機病毒實例分析,宏病毒工作機理,二、計算機病毒分析,有毒文件.doc,Normal.dot,無毒文件.doc,Normal.dot,、計算機病毒實例分析,word宏病毒的清除方法 1、手工清除Word宏病毒為 對于宏病毒最簡單的清除步驟為： （1）關閉Word中的所有文檔。 （2）選擇“工具/模板/管理器/宏”選項。 （3）刪除左右兩個列表框中所有的宏（除了自己定義的）（一般病毒宏為AutoOpen、AutoNew或Au

18、toClose）。 （4）關閉對話框。 （5）選擇“工具/宏”選項。若有 AutoOpen、AutoNew或AutoClose等宏，刪除之。 2、使用殺毒軟件清除Word宏病毒,二、計算機病毒分析,、計算機病毒實例分析,蠕蟲病毒 一個獨立的計算機程序，不需要宿主 自我復制，自主傳播（Mobile） 占用系統(tǒng)或網絡資源、破壞其他程序 不偽裝成其他程序，靠自主傳播 利用系統(tǒng)漏洞； 利用電子郵件（無需用戶參與）,二、計算機病毒分析,、計算機病毒實例分析,蠕蟲病毒 傳染機理 利用系統(tǒng)或服務的漏洞 傳染目標 操作系統(tǒng)或應用服務 傳染途徑 網絡、電子郵件 防治辦法 使用具有實時監(jiān)控功能的殺毒軟件 不要輕易

19、打開郵件附件 打最新補丁，更新系統(tǒng) 典型病毒 RedCode，尼姆達、沖擊波等,二、計算機病毒分析,、計算機病毒實例分析,蠕蟲病毒實例 莫里斯蠕蟲事件 發(fā)生于1988年，當時導致大約6000臺機器癱瘓 主要的攻擊方法 Rsh，rexec：用戶的缺省認證 Sendmail 的debug模式 Fingerd的緩沖區(qū)溢出 口令猜測,二、計算機病毒分析,、計算機病毒實例分析,蠕蟲病毒實例 RedCode 紅色代碼病毒是一種結合了病毒、木馬、DDOS機制的蠕蟲。 2001年7月中旬，在美國等地大規(guī)模蔓延。 2001年8月初，出現(xiàn)變種coderedII，針對中文版windows系統(tǒng)，國內大規(guī)模蔓延。 通過

20、80端口傳播。 只存在與網絡服務器的內存，不通過文件載體。 溢出利用IIS緩沖區(qū)漏洞（2001年6月18日發(fā)布,二、計算機病毒分析,、計算機病毒實例分析,蠕蟲病毒實例 RedCode I 主要影響Windows NT系統(tǒng)和Windows 2000 主要影響國外網絡 據(jù)CERT統(tǒng)計，至8月初已經感染超過25萬臺 主要行為 利用IIS 的Index服務的緩沖區(qū)溢出缺陷進入系統(tǒng) 檢查c:notworm文件是否存在以判斷是否感染 中文保護（是中文windows就不修改主頁） 攻擊白宮！,二、計算機病毒分析,、計算機病毒實例分析,在侵入一臺服務器后，其運行步驟是： 設置運行環(huán)境，修改堆棧指針，設置堆棧大

21、小為218h字節(jié)。接著GetProcAddress函數(shù)地址； 傳染：如果C:notworm在，不再進一步傳染； 傳染其他主機。創(chuàng)造100個線程，其中99個用戶感染其他WEB服務器，被攻擊IP通過一個算法計算得出； 篡改主頁，如果系統(tǒng)默認語言為“美國英語”，第100個進程就將這臺服務的主頁改成“Welcome to !, Hacked By Chinese!”，并持續(xù)10個小時。(直接在內存中修改，而不是修改*.htm文件） 如果時間在20：00UTC和23：59UTC之間，將反復和白宮主頁建立連接，并發(fā)送98k字節(jié)數(shù)據(jù)，形成DDOS攻擊。,二、計算機病毒分析,、計算機病毒實例分析,蠕蟲病毒實例

22、RedCode 病毒的檢測和防范 針對安裝IIS的windows系統(tǒng)； 是否出現(xiàn)負載顯著增加（CPU/網絡）的現(xiàn)象； 用netstat an檢查是否有許多對外的80端口連接 在web日志中檢查是否有/default.ida?xxx.%u0078%u0000 u00=a HTTP/1.0這樣的攻擊記錄； 查找系統(tǒng)中是否存在文件c:explorer.exe或d:explorer.exe以及root.exe； 檢查注冊表文件中是否增加了C和D虛擬目錄，以及文件保護功能是否被禁止。 在任務管理器中檢查是否存在兩個explorer.exe進程,二、計算機病毒分析,、計算機病毒實例分析,特洛伊木馬程序 名

23、字來源：古希臘故事 通過偽裝成其他程序、有意隱藏自己惡意行為的程序，通常留下一個遠程控制的后門 沒有自我復制的功能 非自主傳播 用戶主動發(fā)送給其他人 放到網站上由用戶下載,二、計算機病毒分析,、計算機病毒實例分析,特洛伊木馬程序 傳播途徑 通過網絡下載、電子郵件 防治辦法 使用具有實時監(jiān)控功能的殺毒軟件 不要輕易打開郵件附件 不要輕易運行來路不明的文件 典型例子 BO、BO2k、Subseven、冰河、廣外女生等,二、計算機病毒分析,、計算機病毒實例分析,特洛伊木馬程序通用刪除方法 Win.ini文件 windows節(jié)中run=和load system.ini文件 boot節(jié)的shell=ex

24、plorer.exe Autoexec.bat文件 win命令 注冊表 HLMsoftwaremicrosoftwindowscurrentversionrun HCUsoftwaremicrosoftwindowscurrentversionrunonce HCRexefileshellopencommand “%1” %* HCUcontrol paneldesktopwallpaper,二、計算機病毒分析,、計算機病毒實例分析,病毒、蠕蟲與木馬的比較,二、計算機病毒分析,、計算機病毒實例分析,惡意網頁代碼 網頁中含有有害的ActiveX、Java Applet、Vbs腳本、Js腳本等。

25、通過修改注冊表來破壞我們的系統(tǒng) 許多系統(tǒng)功能因此受到限制，影響系統(tǒng)的正常使用 瀏覽了含有有害代碼的網頁文件后造成的,二、計算機病毒分析,、計算機病毒的傳播及原因,傳播途徑 磁盤介質 網絡 資源共享及文件下載 電子郵件 傳播原因 操作系統(tǒng)的脆弱性 網絡的脆弱性 硬件系統(tǒng)的脆弱性 人的原因,二、計算機病毒分析,、計算機病毒的防范,數(shù)據(jù)備份 不要用移動介質啟動（設置CMOS選項） 設置CMOS的引導記錄保護選項 安裝補丁，并及時更新 安裝防病毒軟件，及時更新病毒定義碼 限制文件共享 不輕易打開電子郵件的附件 沒有病毒處理前不要使用其他移動介質 不要運行不可信的程序 移動介質寫保護,三、計算機病毒的防

26、范、檢測及清除,、計算機病毒檢測,檢測原理 比較法 比較法是用原始備份與被檢測的引導扇區(qū)或被檢測的文件進行比較。 特征匹配 從病毒體內抽取關鍵的特征字來組成特征字庫，工作速度更快、誤報警更少。 行為監(jiān)控 對中斷向量表的修改 對引導記錄的修改 對.exe, .com文件的寫操作 駐留內存 軟件模擬,三、計算機病毒的防范、檢測及清除,、計算機病毒檢測,檢測手段 手工檢測 內存占用 文件屬性 是否有壞簇 檢查系統(tǒng)文件及批處理文件 檢查注冊表文件 使用殺毒軟件檢測 病毒掃描程序 掃描程序在文件中掃描病毒特征串。 完整性檢查程序 檢測文件的改變來發(fā)現(xiàn)病毒，或病毒的影響。 行為封鎖軟件,三、計算機病毒的防

27、范、檢測及清除,、計算機病毒清除原則,消毒前備份重要數(shù)據(jù) 清毒時用干凈的系統(tǒng)引導機器，保證整個消毒過程在無毒的環(huán)境下進行 謹慎處理，確認無誤后再進行有關操作,三、計算機病毒的防范、檢測及清除,、計算機病毒清除方法,殺毒軟件清除 主引導扇區(qū)信息恢復 對于感染引導型病毒的機器。可采用實現(xiàn)備份的該盤的主引導扇區(qū)文件進行恢復。 也可運行下面的程序來完成： “FdiskMBR”用于重寫一個無毒的MBR。 “Fdisk”用于讀取或重寫硬盤分區(qū)表。 “Format C：/S”或“SYS C：”會重寫一個無毒的“活動分區(qū)的引導記錄”（DOS）,三、計算機病毒的防范、檢測及清除,、計算機病毒清除方法,程序覆蓋

28、使用與文件型病毒。將事先備份的無毒文件重新考入系統(tǒng)覆蓋被感染的有毒文件即可。 格式化 一般不要輕易使用， 它會破壞磁盤的所有數(shù)據(jù)，且低級格式化對硬盤有損害。使用該方法必須保證系統(tǒng)無病毒。 手工清除,三、計算機病毒的防范、檢測及清除,、引導記錄與文件的修復,1修復引導記錄 運行下面的程序來修復硬盤引導記錄： “FdiskMBR”用于重寫一個無毒的MBR。 “Fdisk”用于讀取或重寫硬盤分區(qū)表。 “Format C：/S”或“SYS C：”會重寫一個無毒的“活動分區(qū)的引導記錄”（DOS） 修復感染的軟盤引導記錄 “Format A：/S”或“SYS A：”會重寫一個無毒的“活動分區(qū)的引導記錄”（

29、DOS） 利用反病毒軟件修復 2修復可執(zhí)行文件 （1）拷貝文件備份 （2）利用反病毒軟件修復,四、系統(tǒng)恢復,、系統(tǒng)配置參數(shù)的修復,1、IE默認連接首頁被修改 IE瀏覽器的默認首頁被改成其他網站，這是最常見的篡改手段，受害者眾多。 受到更改的注冊表項目為： HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMainStart Page HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainStart Page,四、系統(tǒng)恢復,、系統(tǒng)配置參數(shù)的修復,1、IE默認連接首頁被修改 解決辦法： 、

30、運行regedit； 、展開注冊表到 HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain下，將Start Page的鍵值改為“about:blank”即可； 、展開注冊表到 HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain 在右半部分窗口中找到串值“Start Page”，然后按中所述方法處理。,四、系統(tǒng)恢復,、系統(tǒng)配置參數(shù)的修復,1、IE默認連接首頁被修改 特殊例子： 當IE的起始頁變成了某些網址后，就算你通過選項設置修改好了，重啟以后又會變成他們的網址啦，十分的難纏。

31、其實他們是在你機器里加了一個自運行程序，它會在系統(tǒng)啟動時將你的IE起始頁設成他們的網站。 解決辦法： 打開注冊表，然后依次展開 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionRun主鍵，然后將其下的registry.exe子鍵刪除，然后刪除自運行程序c:Program Filesregistry.exe，最后從IE選項中重新設置起始頁,四、系統(tǒng)恢復,、系統(tǒng)配置參數(shù)的修復,2、篡改IE的默認頁 有些IE被改了起始頁后，即使設置了“使用默認頁”仍然無效，這是因為IE起始頁的默認頁也被篡改啦。具體說來就是以下注冊表項被修改： HKE

32、Y_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainDefault_Page_URL “Default_Page_URL”這個子鍵的鍵值即起始頁的默認頁 解決辦法： 將“Default_Page_UR”子鍵的鍵值中的那些篡改網站的網址改掉就好了，或者設置為IE的默認值。,四、系統(tǒng)恢復,、系統(tǒng)配置參數(shù)的修復,3、IE的默認首頁灰色按扭不可選 這是由于注冊表 HKEY_USERS.DEFAULTSoftwarePoliciesMicrosoftInternet ExplorerControl Panel下的DWORD值“homepage”的鍵值

33、被修改的緣故。原來的鍵值為“0”，被修改為“1”（即為灰色不可選狀態(tài)）。 解決辦法： 將“homepage”的鍵值改為“0”即可,四、系統(tǒng)恢復,、系統(tǒng)配置參數(shù)的修復,4、IE標題欄被修改 IE瀏覽器上方的標題欄被改成“歡迎訪問網站”的樣式，這是最常見的篡改手段 在系統(tǒng)默認狀態(tài)下，是由應用程序本身來提供標題欄的信息，但也允許用戶自行在上述注冊表項目中填加信息，而一些惡意網站正是利用了這一點來得逞的：它們將串值Window Title下的鍵值改為其網站名或更多的廣告信息，從而達到改變?yōu)g覽者IE標題欄的目的。 具體說來受到更改的注冊表項目為： HKEY_LOCAL_MACHINESOFTWAREMi

34、crosoftInternet ExplorerMainWindow Title HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainWindow Title,四、系統(tǒng)恢復,、系統(tǒng)配置參數(shù)的修復,5、IE默認搜索引擎被修改 在IE瀏覽器的工具欄中有一個搜索引擎的工具按鈕，可以實現(xiàn)網絡搜索，被篡改后只要點擊那個搜索工具按鈕就會鏈接到那個篡改網站。出現(xiàn)這種現(xiàn)象的原因是以下注冊表被修改： HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearchCustomizeSearch HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearchSearchAssistant 解決辦法： 展開上述子鍵，將“CustomizeSearch”和“SearchAssistant”的鍵值改為某個搜索引擎的網址即可,四、系統(tǒng)恢復,、系統(tǒng)配置參數(shù)的修復,6、IE右鍵菜單被修改 受到修改的注冊表項目為： HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt 下被