>>>>>信息安全工程师在线辅导 

      >>>>>信息安全工程师培训视频

      全国计算机技术与软件专业技术资格（水平）考试，这门新开的信息安全工程师分属该考试“信息系统”专业，位处中级资格。教材《信息安全工程师教程》及考试大纲于7月1日出版，希赛小编整理了信息安全工程师教程学习笔记之清楚恶意代码，供大家参考学习。

      目前所说的[恶意代码]通常是指嵌入网页中的部分代码，或利用IE漏洞、或利用合法的Script进行恶作剧或恶意破坏。

      一.首先还是把这些代码进行分类。

      1.利用IE溢出代码进行破坏

      2.利用合法的脚本语句进行破坏

      3.通过IE5.0的漏洞利用ActiveX进行破坏

      常见的就是修改注册表项目及运行程序、生成文件等。

      (其实平时常说的也就是这类被杀毒软件评为网页病毒的恶意代码，我们今天主要讨论的也是这类的问题)

      二.接着说一下防治方法

      1.对于第1类，只有及时打补丁，别无他法。就目前我找到的这类代码而言，其功能都是十分有限的。不过劝你还是及时打下补丁。

      2.对于第2类，禁止脚本可能带来很多麻烦，此方法并不现实。所以，也没有较好的方法，只能尽量不要打开陌生的页子。

      3.对于第3类，防范方法很多，依次介绍一下。

      a).这是最简单最实用的方法，不借助第三方软件运行regedit.exe，将注册表中的[HKEY_CLASSES_ROOT\CLSID\{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}]主键全部删除。删除后并不影响系统运行及网页浏览。

      b).如果你对注册表操作的方法有所顾忌，试试下面的方法，同样不借助第三方软件将Windows98中的Windows Script Host卸载，把Windows2K中的Remote Registry Service服务禁用。

      c).禁用脚本

      这样做会带来很多麻烦，所以不实用。

      还有很多方法也不实用，在此不作介绍。

      d).特别说明--错误方法

      错误解释:

      因为该页子修改注册表，所以可以先锁定regedit.exe来达到预防其修改注册表的目的。

      错误原因:

      修改注册表是因为IE5的漏洞利用ActiveX修改注册表，并没有使用regedit.exe命令。

      我曾经在《电脑报》、《网友世界》、《黑客防线精华本》以及某杀毒软件的网站上看到如此不负责的解释，真让人感到遗憾。

      (以上均属事实，言语不当望见谅)

      4.这里特别说一下关于Win98SE的解析虚拟设备名漏洞的问题

      此为系统漏洞，对Win98SE之前版本有效，即使使用IE6.0也依然蓝屏。

      (据说Win98第三版解决了此问题)

      三.最后说一下常见的恢复方法(注册表项)

      1.IE首页被改

      找到[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]和[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]，将子键"Start Page"改为你的IE首页。

      2.禁止修改IE首页

      找到[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]和[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Control Panel]，删除子键"Homepage"。

      3.IE标题栏被改

      找到[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]和[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]，删除子键"Window Title"，当然也可以改为你喜欢的标题。

      4.禁止使用Regedit.exe修改注册表

      [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]和[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]下，找到子键"DisableRegistryTools"，置零或删除该子键。

      5.IE右键菜单被改

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt]和[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\MenuExt]下，找到多余的子键，删除即可。

      6.修改登录时的警告信息

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon]下，找到子键"LegalNoticeCaption"和"LegalNoticeText"，删除即可。

      7.系统限制

      [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]和[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]下

      "NoClose"＝1，禁止[关闭计算机]

      "NoRun"＝1，禁止[运行]

      "NoLogOff"＝1，禁止[注销]

      设置为0或者直接删除即可解除限制。

      8.出于安全考虑，只列出较常用的子键及键名。

      另，[HKEY_CURRENT_USER]和[HKEY_LOCAL_MACHINE]两个主键下同级子键的设置优先权不同，具体的就不多说了。哪位有兴趣可以自己试一下。

      附：本人收集整理的[恶意代码专辑]，CHM文档。下载地址http://www.websamba.com/freebuluo/new/down/lab.rar

      在介绍清除木马的方法之前，先讲一下开机时运行的一些程序。

      1.Autoexec.bat

      Win98系统盘根目录下，自动执行

      2.winstart.bat

      Win98系统盘windows目录下，启动Windows之前运行

      3.win.ini

      Win98系统盘windows目录下，[windows]下[load＝]和[run=]为启动程序内容

      4.system.ini

      Win98系统盘windows目录下，[boot]下[shell=Explorer.exe]正常时为桌面程序

      5.开始-程序-启动

      进入Windows后运行的程序

      6.注册表中

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\]下所有与run有关的子键，进入windows后运行

      7.[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]下，键名为load的字符型数据，进入Win2K后运行

      通常的木马一般只修改注册表，以达到开机运行的目的。

      现在就根据其类型分别介绍一下清除方法。

      1.冰河类

      这类木马，不但在注册表里添加启动项，而且修改某类常用文件的默认打开方式。如冰河修改txt文本文件的打开放式，广外女生修改exe文件和txt文件的打开方式(据说有种更垃圾的木马，修改7种常用文件的打开方式，好像是Sub7)。清除方法：

      a).运行regedit.exe，通过查看注册表里的启动项，确定已执行的程序名。暂时不要关闭regedit窗口。

      b).通过软件结束该程序，删除该程序，删除启动项。

      c).恢复文件的打开方式exe文件:

      [HKEY_CLASSES_ROOT\exefile\shell\open\command]主键下，字符串子键"默认"为“"%1"%*”。（双引号“”除外）

      txt文件:

      [HKEY_CLASSES_ROOT\txtfile\shell\open\command]主键下，字符串子键"默认"为“C:\WINDOWS\NOTEPAD.EXE%1”。（双引号“”除外）

      (若先删除了木马导致无法运行exe文件，可先将其改为com文件)

      2.广外男生类

      采用线程插入技术，不修改文件打开放式，只添加一个启动项。但因为使用线程插入，任务管理器不显示该程序。

      清除方法:

      a).运行regedit.exe，查看启动项，确定木马程序的名称及位置。

      其实这类没有指明路径的启动文件一般都在windows\system[98系统]或winnt\system32[2K系统]下。

      b).找到该程序，确定其文件大小。搜索同样大小的文件，一般应该在相同目录下，记下这2个文件名。(广外男生为一个exe文件和一个dll文件)

      c).开机进入纯DOS模式或2K的命令行模式，删除这2个文件。

      d).清除注册表启动项。

      3.其他类

      我见过的木马不多，所以也只能再介绍一类了。

      中木马后，木马在每个驱动器下生成一个木马程序及一个可以运行木马程序的autorun.inf文件。这样，每次打开驱动器就会运行木马。

      清除方法:

      a).打开驱动器，确定autorun.inf指定的文件名。

      b).终止该程序，并从注册表启动项里去处。

      c).搜索该文件及autorun.inf文件，找到后全部删除。

    返回目录：信息安全工程师教程学习笔记之系统安全汇总（二）

    希赛软考网，拥有十四年软考培训经验，希赛网一直坚持自主研发，将丰富的软考培训经验有效融入教程研发过程，自成体系的软考在线题库（软考历年真题）、软考培训教材和软考视频教程，多样的培训方式包括在线辅导、面授、和，使考生的学习更具系统性，辅导更具针对性。采用全程督学机制，，软考平均通过率在全国。