作者:   付謙                              

　　通過閱讀上篇文章，你是否對自己的瀏覽器抱有更大信心了呢？我相信經(jīng)過這樣一番強(qiáng)化后，日常瀏覽接觸到的內(nèi)容將不會(huì)再對你的瀏覽器構(gòu)成什么威脅了。然而，對于那些常常將瀏覽器置身于危險(xiǎn)環(huán)境中的朋友們，你們將不可避免地遭到惡意代碼的侵襲，這時(shí)請不要慌張，正確的處理將使你們化險(xiǎn)為夷。

　　第一部分：

　　首先我們來說說潛在威脅：通常情況下，當(dāng)你瀏覽一個(gè)含有惡意腳本的網(wǎng)站時(shí)，你會(huì)碰到不止一種惡意腳本，而是多個(gè)。它們分工明確：一部分負(fù)責(zé)修改注冊表；一部分負(fù)責(zé)將自己添加到進(jìn)程和啟動(dòng)程序。這一切有可能發(fā)生在一分鐘之內(nèi)，但也有可能發(fā)生在你重起電腦后。當(dāng)然，這一切很有可能沒有完成就因?yàn)槠渌蚪K止了，而我們要做的就是養(yǎng)成一些好的習(xí)慣，這樣即使我們受到了惡意腳本的侵?jǐn)_，良好的習(xí)慣也可以減輕甚至破壞它們的攻擊過程。

　　其實(shí)所謂消除潛在威脅無非是定期清除一下internet臨時(shí)文件夾、歷史紀(jì)錄、自動(dòng)完成和cookie，但有兩處我認(rèn)為一些符合我描述條件的朋友需要注意：若你是使用頁面模式進(jìn)行登錄的管理員或者你的郵箱非常的重要，例如論壇版主或郵件服務(wù)，如果黑客想竊取你們的權(quán)限搞破壞或竊取個(gè)人資料，那么機(jī)器中存留的cookie會(huì)成為黑客得逞的助手之一，所以如果有必要，可以將需要輸入用戶名和密碼的頁面放入編輯cookie策略中

　　若像論壇之類必須要cookie支持的頁面則最好每次登錄時(shí)都選擇不保存cookie，這樣在你關(guān)閉瀏覽器的時(shí)候cookie就會(huì)被刪除。

　　第二處需要注意的地方在internet臨時(shí)文件夾，不過需要注意的人只是習(xí)慣脫機(jī)瀏覽或者常常去這個(gè)文件夾找東西的人。一把情況下，我們可以選中關(guān)閉瀏覽器時(shí)清空internet臨時(shí)文件夾。

　　但當(dāng)你需要保留這個(gè)文件夾中的內(nèi)容時(shí)，這個(gè)選項(xiàng)就必須禁止

　　因?yàn)殚_啟這項(xiàng)IFRAME功能同樣意味著緩存中的有害程序可以直接執(zhí)行，這無異于增加了我們的危險(xiǎn)

　　第二部分：

　　簡單的防范工作只是前站，下面才是真正的恢復(fù)之旅。在恢復(fù)的時(shí)候，多種方法的使用得當(dāng)可以使我們干凈徹底地恢復(fù)瀏覽器和系統(tǒng)。下面我將以非常具體的操作來展示如何恢復(fù)。

　　還記得上篇一張圖中的被描述成五毒俱全的網(wǎng)站嗎？我已經(jīng)故意讓它徹底地感染了我。

　　先看看它都做了些什么：

　　1、  瀏覽器被改得面目全非慘不忍睹

　　瀏覽器的相貌徹底被改變了，畫框的地方被加上了不應(yīng)該有的內(nèi)容，這是ActiveX控件干的

　　2、  注冊表編輯器被鎖

　　3、  瀏覽器自動(dòng)打開一些網(wǎng)頁和不明進(jìn)程出現(xiàn)

　　4、  磁盤中出現(xiàn)未知可執(zhí)行文件

　　5、  啟動(dòng)項(xiàng)被改，rundll32.exe和IE被加shell

　　至于這些惡意程序?qū)ψ员砗蜑g覽器程序進(jìn)行的修改就更多了，但由于這部分比較雜，況且最終可以修復(fù)，我就不羅列了，反正此時(shí)的瀏覽器確實(shí)已經(jīng)比較慘了。

　　接下來就是修復(fù)的步驟：

　　1、  斷開網(wǎng)路連接、清除所有上網(wǎng)記錄。

　　這樣做的目的主要是為了斷絕二次感染的途徑，在清除的上網(wǎng)記錄中我們需要清除包括internet臨時(shí)文件夾、歷史記錄、cookie、記住密碼和自動(dòng)完成表單。這樣還不夠，我們需要到%windows% Downloaded Program Files查看已經(jīng)被安裝的ActiveX控件

　　如果不清除這其中有害的控件，不管你之前做了哪些修改，再次連接到網(wǎng)絡(luò)時(shí)系統(tǒng)也會(huì)把它們默認(rèn)成為可安全執(zhí)行的操作而再次污染你的瀏覽器。所以清除的最后一步就是通過查看這些控件的屬性確定哪些是有用的，至于不確定和肯定是有害的，不妨一并刪除，反正不確定的那個(gè)部分時(shí)可以再次下載的。圖中的那個(gè)IEToolbarCab插件就是先前圖中在IE底端出現(xiàn)的那個(gè)工具欄，我將它刪除后工具欄便立刻消失了。像圖中前三個(gè)插件，通過查看它們屬性中的基本代碼你就會(huì)發(fā)現(xiàn)其中的奧秘，原來這些插件就是用來在每次啟動(dòng)時(shí)讀取有害文件，篡改瀏覽器的，元兇就是最底下的那行基本代碼。讀不懂它不要緊，直接刪除它我們就可以不再受到它的影響了。

　　2、  查看可疑的系統(tǒng)進(jìn)程、服務(wù)和啟動(dòng)項(xiàng)

　　這個(gè)部分是我們與惡意程序進(jìn)行斗爭的關(guān)鍵一步，在這部分的操作都只是為了一個(gè)目的：消除任何可導(dǎo)致惡意程序在系統(tǒng)重起時(shí)不被加載。做好這一步，即使我們的硬盤中會(huì)留有一些惡意程序的運(yùn)行文件，這些程序也許會(huì)隱藏在很深的地方，但是由于缺少了啟動(dòng)它們的手段，所以想感染我們也會(huì)很困難了。在這里我向大家推薦一個(gè)大家非常熟悉但卻幾乎不怎么用到的工具：系統(tǒng)信息。

　　在圖中我們清楚地看到紅框標(biāo)記的地方其實(shí)就是當(dāng)前進(jìn)程、服務(wù)項(xiàng)、啟動(dòng)項(xiàng)和IE文件管理。這四個(gè)部分時(shí)我們常用的，但我們幾乎不怎么在這里用。通過圖大家會(huì)發(fā)現(xiàn)系統(tǒng)信息提供的進(jìn)程與資源管理器中的相比不僅列出了進(jìn)程，而且還表明了進(jìn)程的路徑，這對我們來說是個(gè)莫大的幫助，因?yàn)檫@樣我們可以輕而易舉地判定哪些是惡意程序的進(jìn)程并直接找到它們的所在位置。當(dāng)然系統(tǒng)信息有個(gè)小小的缺憾，那就是它只能夠查看不能修改，不過這個(gè)問題當(dāng)然難不倒我們，我們都知道哪些其他地方可以打開它們。

　　IE文件管理的用處最后會(huì)提到，我們先來具體地操作一下，看看如何干凈徹底地?cái)嘟^惡意程序的生路。

　　首先我們來查看進(jìn)程中有哪些比較可疑

　　很明顯地紅框標(biāo)示的相當(dāng)可疑，于是我記下他們的路徑和文件名等待一會(huì)刪除。大家看到那個(gè)svch0st.exe了嗎？這是惡意程序最常用也最容易得逞的方法之一，就是通過偽裝文件名騙過我們的眼睛，除了像這個(gè)進(jìn)程這樣更改名稱，還有改變大小寫、使用shell（可以通過路徑判斷）的手段，所以我們在查看可疑程序時(shí)一定仔細(xì)分辨，有些人一定會(huì)問windows的進(jìn)程那么多我怎么知道哪些是真的？其實(shí)很簡單，在google上可以找到許多詳盡的進(jìn)程描述。

　　接下來是服務(wù)

　　這次故意被感染一個(gè)遺憾的地方就是我沒有受到以建立服務(wù)方式進(jìn)行的攻擊，但卻有惡意程序會(huì)在你的電腦里建立一個(gè)服務(wù)，通常情況下使用這種手段的惡意程序還很厲害，所以這里仍然不能放過。服務(wù)項(xiàng)確實(shí)也有很多，想了解詳細(xì)的服務(wù)仍然 可以在google上找到很多。

　　啟動(dòng)項(xiàng)

　　這里已經(jīng)不再有什么秘密，這是一個(gè)所有人都回第一個(gè)想到的地方。把在這里看到的和進(jìn)程中的相結(jié)合，惡意程序被我們挖出來了。

　　結(jié)合這三處觀察，我們就可以使用相關(guān)程序進(jìn)行操作了：殺掉進(jìn)程，刪除源文件，然后再將啟動(dòng)項(xiàng)中的垃圾清理掉------我們已經(jīng)完成了一半的工作了

　　3、  恢復(fù)受損的注冊表

　　注冊表的恢復(fù)手段多樣，可繁可簡，根據(jù)實(shí)際情況大家可以挑選其中一個(gè)方法。

　　（1）最后一次正確配置

　　如果你的受損情況不是很嚴(yán)重，并且你及時(shí)的發(fā)現(xiàn)并采取了措施，那么可以重新啟動(dòng)系統(tǒng)，在系統(tǒng)啟動(dòng)前按F8鍵，然后選擇“最后一次正確配置”，這樣可以非常簡單的恢復(fù)。

　　（2）組策略恢復(fù)

　　適用于系統(tǒng)的可視化部分被大量更改和熟悉組策略的用戶，在運(yùn)行菜單中輸入gpedit.msc可以進(jìn)入組策略編輯器，然后找到用戶配置―系統(tǒng)，在這里可以解鎖被鎖的注冊表。除此而外，在組策略中還有許多針對IE瀏覽器和桌面的設(shè)置，大家有興趣可以自己找找看。事實(shí)上，組策略編輯器就是注冊表鍵值的編輯器，在這里進(jìn)行的所有操作和網(wǎng)上許多文章中介紹的效果是一樣的，當(dāng)然我使用它的一個(gè)主要目的是解除鎖定。

　　（3）第三方軟件恢復(fù)

　　可能是最多人使用的方法，而且網(wǎng)上這方面內(nèi)容比較多，常用的像3721之類。其實(shí)它們工作的原理就是修改注冊表的相關(guān)鍵值，不過有一點(diǎn)我們必須明確，這些程序是死的，它們不能做到面面俱到，所以就算是使用它們恢復(fù)，我們也需要留意有沒有被修復(fù)的地方并及時(shí)做出處理。

　　4、  重新啟動(dòng)計(jì)算機(jī)，檢查還沒殺掉的shell

　　看到這個(gè)提示有些人可能會(huì)比較親切，事實(shí)上當(dāng)我們看到這個(gè)提示后首先想到的就是有shell，找到它的辦法很簡單，我們只需要在注冊表中輸入提示中的那個(gè)文件，然后搜索。我通過搜索后發(fā)現(xiàn)這個(gè)提示被掛接載在explorer.exe上了，于是我將鍵值多余的地方改掉下次開機(jī)便沒有這個(gè)提示了。同時(shí)也希望大家記住這個(gè)鍵值

　　HLMsoftwaremicrosoftinternet explorerwinntcurrentversionwinlogon

　　藏在這里的shell比較多。

　　5、  修復(fù)受損的文件

　　文章終于接近尾聲了，在我們進(jìn)行了上面的操作以后，惡意程序已經(jīng)基本被我們趕出了計(jì)算機(jī)，剩下的工作只有清掃一下受損的文件了。還記得剛才那個(gè)在系統(tǒng)信息中記錄IE瀏覽器文件情況的對話框嗎？？如果你發(fā)現(xiàn)文件有缺失，你可以有針對性地copy一份到你的本地計(jì)算機(jī)，如果你的瀏覽器因?yàn)樾薷脑斐蔁o法啟動(dòng)，還有一個(gè)更徹底的辦法就是卸載瀏覽器。卸載瀏覽器可不是覆蓋安裝，我們要徹底清楚注冊表中的垃圾就必須卸載，但瀏覽器又不能從添加/刪除中卸載，怎么辦呢？別著急，我們可以用以下方法：

　　首先將windows xp光盤插入光驅(qū)，然后單擊“開始→運(yùn)行”命令，在“運(yùn)行”對話框中輸入“rundll32 setupapi,installhinfsectiondefaultinstall 132 c :windowsinfie.inf”命令，回車后系統(tǒng)會(huì)打開安裝進(jìn)程對話框，開始重新安裝ie6.0。

　　提示：如果你的windows xp系統(tǒng)不是安裝在c盤，請將“c