最淺顯的IE反劫持攻略(轉(zhuǎn))

　　軟件名稱： HijackThis

　　軟件版本： 1.99

　　授權(quán)方式： 免費(fèi)軟件

　　軟件大小： 193KB

　　“網(wǎng)絡(luò)很恐怖！”

　　“嗯？”

　　“真的很恐怖，我的IE已經(jīng)被恐怖分子劫持了！”

　　又有朋友來訴說自己的悲慘遭遇，負(fù)責(zé)“黑客戰(zhàn)線”的小編zaphay再也坐不住了，要站出來進(jìn)行一場反劫持的正義之戰(zhàn)。于是，他向朋友推薦了下面這個(gè)技巧。

　　自從上了寬帶網(wǎng)，經(jīng)常都會(huì)遇到不同的惡意代碼，讓人頭痛不已。但是每次擊退這些“恐怖分子”，對我來說都是一個(gè)小小的勝利，與此同時(shí)自己的經(jīng)驗(yàn)也在不斷的積累。現(xiàn)在將這些經(jīng)驗(yàn)?zāi)贸鰜砼c大家分享，希望那些和我一樣常被“妖魔纏身”的小蝦米們能不再被“恐怖分子”騷擾。

　　IE標(biāo)題及主頁被修改

　　這是惡意代碼最喜歡干的事情。其實(shí)處理這種情況是很容易的。在注冊表的HKEY_LOCAL_

　　MACHINESOFTWAREMicrosoftInternet ExplorerMain和HKEY_CURRENT_USER

　　SoftwareMicrosoftInternet Explorer

　　Main下，找到“Window Title”，這個(gè)就是IE的標(biāo)題了。那主頁呢？當(dāng)然也在這個(gè)下面啦，鍵名是“Start Page”，只要將后面的值給成你喜歡的或者是默認(rèn)的就可以了。

　　IE“主頁”失效

　　有的惡意代碼不僅修改瀏覽器首頁，而且還會(huì)在IE的“Internet選項(xiàng)”上動(dòng)手腳，將“主頁”項(xiàng)改成不可用狀態(tài)。對付這么惡心的事，其實(shí)也不麻煩。在開始菜單的運(yùn)行中輸入“gpedit.msc”后運(yùn)行，在打開的組策略編輯器中找到“用戶配置”→“管理模板”→“Windows組件”→“Internet Explorer”→“禁用更改主頁設(shè)置”，雙擊打開設(shè)置對話框，選擇“禁用”，然后關(guān)閉所有打開的IE，再次打開時(shí)主頁已經(jīng)可以設(shè)置（圖1）。

原來要害就在這里　　被添加了自啟動(dòng)程序

　　這個(gè)相對比較麻煩，因?yàn)樯婕暗臇|西比較多。先檢查注冊表：HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersion下的Run項(xiàng)和Runonce項(xiàng)，HKEY_LOCAL_MACHINE

　　SOFTWAREMicrosoftWindowsCurrentVersion下的Run項(xiàng)、RunOnce項(xiàng)和RunOnceEx項(xiàng)，HKEY_LOCAL_MACHINESOFTWARE

　　MicrosoftWindows NTCurrent Version

　　Winlogon下的Shell和Userinit項(xiàng)，以及HKEY_CLASSES_ROOTexefileshell

　　opencommand和HKEY_CLASSES_

　　ROOT xtfileshellopencommand的打開方式，剩下的啟動(dòng)項(xiàng)也要特別留意，因?yàn)槟抢锿菤⒍拒浖雎缘牡胤健＿@些還不算，有的惡意代碼甚至修改DLL，用DLL來啟動(dòng)，這個(gè)就防不勝防了。分析時(shí)一定要仔細(xì)，不能讓任何一個(gè)可疑的東東溜過去，否則可能前功盡棄。具體方法可參見第20期的《網(wǎng)盜》專題。

　　注冊表編輯器被鎖定

　　在開始菜單的運(yùn)行中輸入“edit /80 regedit.exe”打開注冊表編輯器，在其中找到“DisableRegistryTools”（可能是全角的），將其中任意一個(gè)字母改成不相同的即可，然后退出保存，這樣注冊表編輯器就可以運(yùn)行了。最后，在注冊表中找到HKEY_CURRENT_

　　USERSoftwareMicrosoftWindows

　　CurrentVersionPoliciesSystem下的DisableRegistryTools項(xiàng)，直接刪除即可。這一招對于那些連注冊表腳本都被鎖定的情況十分有效。

　　IE控件劫持

　　消滅真正的IE劫持―控件劫持是很困難的，步驟很繁瑣。具體的方法不多說了，現(xiàn)在介紹一款小程序，它就是HijackThis，可以協(xié)助你檢測、分析和恢復(fù)被劫持的IE。使用方法很簡單，點(diǎn)擊“SCAN”按鈕，在掃描后在要恢復(fù)的相關(guān)項(xiàng)前面打上勾，點(diǎn)擊“Fix checked”即可。如果你不知道具體項(xiàng)的用處，可以選中那一條，點(diǎn)擊“Info on selected item”，隨后會(huì)彈出相應(yīng)的說明，很詳細(xì)（圖2）。

不喜歡就把它勾起來

　　這款程序設(shè)計(jì)得比較人性化，為防止錯(cuò)誤操作，HijackThis在修復(fù)的同時(shí)留下備份文件，用來在將來后悔時(shí)取消當(dāng)初的修復(fù)動(dòng)作。點(diǎn)擊“Config”按鈕，進(jìn)入設(shè)置界面，選擇“Backups”，選擇列表中相應(yīng)的項(xiàng)點(diǎn)擊“Restore”按鈕即可恢復(fù)（圖3）。

在這里可進(jìn)行恢復(fù)　　Host文件劫持

　　這是一種非常簡單但危害很大的劫持手段。我們知道，系統(tǒng)中的Host文件可在本地將域名解析為IP地址，如果惡意代碼悄悄修改了系統(tǒng)中的Host文件，將網(wǎng)友們常去的網(wǎng)站對應(yīng)的IP地址修改到不良網(wǎng)站上去，則會(huì)讓網(wǎng)友們在進(jìn)行日常的瀏覽網(wǎng)頁操作時(shí)，被強(qiáng)拖到不良網(wǎng)站上去。可以想像，如果有不良份子將這種手段用于詐騙，那它的社會(huì)危害就相當(dāng)驚人了。

　　不過，應(yīng)付它的方法也很簡單。先在系統(tǒng)中找到Host文件，Windows 9X中該文件在系統(tǒng)盤的Windows目錄下，Windows 2000/XP中它位于系統(tǒng)盤的Winnt System32DriversEtc目錄中。找到文件后，用普通的文本編輯軟件如記事本等打開它，查看其中是否有奇怪的域名解析項(xiàng)，若有則直接將之刪除即可。

來自 “ ITPUB博客 ” ，鏈接：http://blog.itpub.net/14102/viewspace-114929/，如需轉(zhuǎn)載，請注明出處，否則將追究法律責(zé)任。

轉(zhuǎn)載于:http://blog.itpub.net/14102/viewspace-114929/

總結(jié)

以上是生活随笔為你收集整理的最浅显的IE反劫持攻略(转)的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。