|
|
|||||||||||
|
|||||||||||||
| 当前位置: 电脑软硬件应用网 > 电脑学院 > 软件教程 > 安全工具 > 正文 |
|
|||
| HijackThis详解 | |||
| 2006-9-23 8:20:20 文/网络转载 出处:电脑软硬件应用网 | |||
|
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges 例子列表 O15 - Trusted Zone: http://www.bleepingcomputer.com O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: 206.161.125.149(HKLM) Domains或Ranges哪个将被IE使用决定于使用者正在尝试访问的网址。如果网址中包含一个域名,那么它将会将会在Domains子键中搜寻符合的项。 如果它包含一个IP地址那就搜寻Ranges子键来查找符合的项。当网域添加为一个受信站点或者受限站点他们将被分配一个值来表示。 如果他们被分配到 *=4 这个值,那一个网域将会被添加到受限区域。如果他们的值为 *=2, 那么那一个网域将会被加到受信区域。 增加一个 IP 地址的工作稍微有些不同。在 Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges 键下, 你可以找到名为Ranges1,Ranges2,Ranges3,Ranges4,...的其他的键。每个子键对应于一个特定的信任区域/协议。 如果你增加一个 IP地址到一个安全区域,Windows 将会在以 Ranges1 为开始创建一个包涵该区域所有IP地址及特定协议的子键。 举例来说,如果你增加如一个受信站点 http://192.168.1.1 ,Windows 会产生第一个可用的的Ranges键 (Ranges1) 而且增加一个数值 http=2。 任何将来的可信赖的 http:// IP 地址将会被添加加到 Range1 键。现在如果你增加一个使用 http 协议的受限的站点 (例如 http://192.16.1.10) , Windows 会按顺序创建一个新的键,叫做Range 2。它的值会是 http=4,而且任何以后添加到受限站点的 IP 地址将会被放在这个键下。 每个协定和信任区域设定组合都会延续这种方式。 如果你曾经在这里见到任何域名或者IP地址,除非它是一个你认识的网址,比如你的公司使用的,否则通常应该移除它。如果你希望修复它们, 你可以在free.aol.com找到一个公共的列表。当他们基本上是不必要的时候, 对我个人来讲会把所有的项目从受信区域移除。 ProtocolDefaults 当你使用 IE 连接到一个站点的时候,那一个站点的安全权限授权于它所在的区域。5个区域中的每一个都有一种相关的具体的识别号码。 这些区域以及它们相关联的号码的是: 区域 区域映射 My Computer 0 Intranet 1 Trusted 2 Internet 3 Restricted 4 每一个用于连接到站点的协议,像是 HTTP、FTP、HTTPS,都被映射到这些区域其中的一个。下列各项是默认的映射: 协议 区域映射 HTTP 3 HTTPS 3 FTP 3 @vit 1 shell 0 举例来说,如果你连接到一个使用 http:// 的站点那么将会是默认的Internet区域的一部份。这是因为 http 的默认区域是 3 即Internet区域。 如果恶意软件改变了特定协议的默认区域那么就会发生问题。举例来说,如果恶意软件已经将 HTTP 协议的默认区域改为 2, 那么你使用 http 连接到的任何站点将会被认为是处于受信区域中。到现在为止尚没有已知的恶意软件利用它,但我们可能会看到HJT正在枚举这个键。 注册表键: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults 如果默认的设定被改变你们将会见到一个类似下面的 HJT 项目: 例子列表 O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM) 你可以简单的通过HJT项目来修复这些设定使他们回到默认值。 O16 区段 这个区段对应于 ActiveX 对象也被称为Downloaded Program Files。 ActiveX 对象是从网站下载到你的计算机上的程序。这些对象被储存在 C:\Windows\Download Program Files下。 它们同样以在花括号之间的那串数值作为 CLSID 来被注册表引用。这里有许多合法的 ActiveX,比如这个iPix Viewer的例子。 例子列表 O16 - DPF: {11260943-421B-11D0-8 EAC-0000C07D88 CF}-(iPix ActiveX 控制) http:// www.ipix.com/download/ipixx.cab 如果你发现不认识的名字或地址,你应该 Google 下看看它们是否是合法的。如果你感觉它们不是,你可以修复它们。 即便删除了你计算机上的几乎所有 ActiveX 对象也不会有什么问题,因为你可以再次下载它们, 要知道有一些公司的应用程序也会使用ActiveX对象,所以要小心。你应该总是删除带有sex、porn、dialer、free、casino等词语的 016 项目。 有一个叫做SpywareBlaster的带有大量恶意 ActiveX 对象的数据库的程序。你可以下载和通过它搜寻已知的 ActiveX 对象数据库。 关于使用 SpywareBlaster 的指南可以在这里找到: Using SpywareBlaster to protect your computer from Spyware, Hijackers, and Malware. 当你修复 O16 项目的时候,HijackThis 将会尝试从你的硬盘删除他们。通常这不会有什么问题,但是有时候 HijackThis 可能不能删除有问题的文件。 如果发生了这种情况,请重新启动进入安全模式删除它。 O17 区段 这个区段对应于 Lop.com 域名入侵。 当你使用主机名像是 www.bleepingcomputer.com 而不是IP地址访问一个网站的时候,你的计算机通过一个DNS服务器将主机名解析为一个IP地址。 域名入侵是指,劫持程序改变你的机器上的 DNS 服务器指向他们自己的服务器,他们能将你定向到他们希望的任何的位置。 藉由把 google.com 加入他们的 DNS 服务器,他们能在你试图访问 www.google.com 的时候,把你重定向到一个他们的选择的网站。 例子列表 017- HKLM\system\CS1\service\VxD\ MSTCP: NameServer=69.57.146.14,69.57.147.175 如果你见到此项目而它并不属于你所认识的ISP或者公司的网域,以及 DNS 服务器不属于你的ISP或者公司,那么你应该让HijackThis修复它。 你可以到 Arin 查询下 whois a 通过DNS服务器的IP地址来判断他们属于哪个公司。 O18 区段 这个区段对应于额外的协议和协议劫持。 这个方法通过将你的电脑使用的标准协议驱动更改为劫持程序所提供的驱动来实现。这让劫持程序可以控制你的计算机以特定方式发送接受信息。 注册表键: HKEY_LOCAL_MACHINE\Software\Class\PROTOCOLS HKEY_LOCAL_MACHINE\Software\Class\CLSID HKEY_LOCAL_MACHINE\Software\Class\Protocol\Handler HKEY_LOCAL_MACHINE\Software\Class\Protocol\Filter HijackThis 首先读取非标准的协议的注册表协议区段。一但找到便在列出的CLSID中查询于关于它的文件路径的信息。 例子列表 O18 - Protocol: relatedlinks - {5AB65DD4-01 FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll 通常嫌犯是CoolWebSearch,Related Links和Lop.com。如果你发现了这些项,你可以让 HijackThis 修复它。 使用Google来看看文件是否是合法的。你也可以使用Castlecop's O18 List来帮助你确认文件。 需要注意的是修复这些项目似乎不会删除与它有关的注册表项目或文件。你应该重新启动进入安全模式手动删除有问题的文件。 O19 区段 这个区段对应于用户式样表劫持。 式样表是描述html页面的布局,彩色和字型如何显示的一个模板。这一类型的劫持程序会重写为残障人士设计的默认式样表单, 并引起大量的弹出窗口和潜在的速度降低。 注册表键: HKEY_CURRENT_USER\software\Microsoft\Internet Explorer\Style\: User Stylesheets 例子列表 O19 - User style sheet: c:\Windows\Java\my.css 除非你确实创建了自己的式样,否则你通常可以移除它们。 当你修复项目的这些类型的时候, HijackThis 不会删除在列的有问题的文件。 建议你重新启动到安全模式删除式样表单。 O20 区段 AppInit_DLLs 这个区段对应于通过 AppInit_DLLs 的注册表值和 Winlogon Notify 子键载入文件 AppInit_DLLs 注册表值包含了当 user32.dll被载入时将会载入的一连串的动态链接库。而大多数的 Windows 可执行程序都会使用user32.dll, 这意谓着任何在 AppInit_DLLs 注册表键列出的DLL也会被载入。当它被多个进程里面载入的时候,要移除 DLL 将会变得非常困难, 其中一些很难在不引起系统不稳定的情况下被终止。user32.dll文件也被很多当你登录时系统自动启动的进程使用。 这意谓着 AppInit_DLLs 中的文件将会非常早在我们可以访问系统之前就被载入,Windows 启动程序可以允许DLL隐藏自身或保护自身。 这一个方法已知被一个 CoolWebSearch 的变种使用而且只能在注册表编辑器中同过右击数值查看,并且选择修改二进制数据。 另外 Registrar Lite 也可以相对容易的查看这些DLL。 注册表键: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs 例子列表 O20 - AppInit_DLLs: C:\Windows\system32\winifhi.dll 有些使用这个注册表键的合法程序,所以当删除在列的文件的时候,你应该小心。 使用我们的Bleeping Computer Startup Database或Castlecops O20 list 来帮助你确认文件。 当你修复这一类型的项目的时候,HijackThis 不会删除在列的有问题的文件。建议你重新启动进入安全模式删除有问题的文件。 Winlogon Notify Winlogon Notify键通常被 Look2Me 感染。HijackThis 将会列出所有非标准的Winlogon Notify键,以便你能容易地发现哪一个是本不属于那里的。 你可以通过列出的在%SYSTEM%目录下的一个随机名字的Dll来确认 Look2ME 感染的键。即使它并不属于那里,该键也会有一个看似正常名字。 注册表键: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify 例子列表 O20 - Winlogon Notify: Extensions -C:\Windows\system32\i042laho1d4c.dll 当你修复这个项目的时候它将会移除注册表中的键但保留文件。你必须手动删除这个文件。 |
|||
| 最新热点 | 最新推荐 | 相关文章 | ||
| HijackThis 日志分析——如何识别有… |
| 关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
|
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |
