计算机病毒原理与防范 第7章 网络安全

第7章 网络安全,计算机病毒原理与防范秦志光, 张凤荔,第7章 网络安全,网络安全概述 Internet服务的安全隐患 垃圾邮件 系统安全 恶意代码的处理 网络安全的防范技巧 用户对计算机病毒的认识误区,7.1 网络安全概述,网络安全的概念, 计算机网络安全隐患主要体现在下列几方面。 （1）Internet是一个开放的、无控制机构的网络，黑客（Hacker）经常会侵入网络中的计算机系统，或窃取机密数据和盗用特权，或破坏重要数据，或使系统功能得不到充分发挥直至瘫痪。 （2）Internet的数据传输是基于TCP/IP的，ICP/IP使传输过程中的信息不被窃取的安全措施。 （3）在计算机上存储、传输和处理的电子信息，还没有像传统的邮件通信那样进行信封保护和签字盖章。 （4）电子邮件存在着被拆看、误投和伪造的可能性。使用电子邮件来传输重要机密信息会存在着很大的危险。 （5）计算机病毒通过Internet的传播给上网用户带来极大的危害，计算机病毒可以使计算机和计算机网络系统瘫痪，数据和文件丢失。,网络安全防范的内容,一个安全的计算机网络应该具有可靠性、可用性、完整性、保密性和真实性等特点。计算机网络不仅要保护计算机网络设备安全和计算机网络系统安全，还要保护数据安全等。 针对计算机网络本身可能存在的安全问题，实施网络安全保护方案以确保计算机网络自身的安全性是每一个计算机网络都要认真对待的一个重要问题。 网络安全防范的重点主要有两个方面：一是计算机病毒，二是黑客。计算机病毒是一种危害计算机系统和网络安全的破坏性程序。,7.2 Internet服务的安全隐患,电子邮件 文件传输（FTP） 远程登录（Telnet）,电子邮件,电子邮件是个人、企业、组织之间进行交流、沟通的重要手段。 在安全研究机构美国系统网络安全协会（SANS Institute）发布的2004年度“20大Internet安全隐患”中，电子邮件客户端被列入10项最重大的Windows安全隐患之一。 大部分计算机病毒都是依附于垃圾邮件攻击用户的网络系统。目前国内网民大多已使用自己的个人邮箱进行商务往来，免费的个人邮箱对垃圾邮件的过滤能力十分低下，这个极大的安全漏洞被一些不怀好意者利用，成为非法获取他人信息的“绿色”通道。 一些垃圾邮件的制造者受雇于商业罪犯，设计含有计算机病毒的电子邮件发送到企业员工的个人邮件系统，破解密码获取信息。,文件传输（FTP）,FTP即文件传输协议，指通过网络以约定的协议实现文件传输。由于其简单易用，得到了极大的普及和广泛使用。 通常FTP服务器是允许匿名访问的，目的是为用户匿名访问上传、下载文件提供方便，但却存在极大的安全隐患。因为用户不需要申请合法的账号，就能访问他人的FTP服务器，甚至还可以上传、下载文件，特别对于一些存储重要资料的FTP服务器，很容易出现泄密的情况，成为黑客们的攻击目标。 在网络上传播计算机病毒就可以通过公共匿名FTP文件传送，因此为了系统安全必须取消匿名访问功能。 启用FTP日志记录以记录所有用户的访问信息，如访问时间、客户机IP地址、使用的登录账号等，这些信息对于FTP服务器的稳定运行具有很重要的意义，一旦服务器出现问题，就可以查看FTP日志，找到故障所在，及时排除。,远程登录（Telnet）,Telnet全称为远程登录协议，该协议是Internet上普遍采用的仿真网络协议，同时Telnet也是从远程位置登录常用的程序。 通过Telnet协议可以把自己的计算机作为远程计算机的一个终端，通过Telnet程序登录远程Telnet计算机，一般采用授权的用户名和密码登录。 Telnet同时也造成了一个系统后门，为攻击者提供了方便，而又对用户没有太大用处，建议删除Telnet服务以减少被攻击的可能性。,7.3 垃圾邮件,垃圾邮件的定义 垃圾邮件的危害 追踪垃圾邮件 邮件防毒技术,垃圾邮件的定义,垃圾邮件是指未经用户许可，但却被强行塞入用户邮箱的电子邮件。 垃圾邮件一般具有批量发送的特征，在Internet上同时传送多个副本。从内容上看，它们通常是商业广告、宣传资料或者其他一些无关的内容。 垃圾邮件是Internet发展的副产品，最早起源于美国，在英文中有3个称呼：UCE（Unsolicited Commercial Email），UBE（Unsolicited Bulk Email）和Spam，但最常用的是Spam。UCE是专指以商业广告为内容的垃圾邮件，UBE则还包含其他一些无关的内容。,垃圾邮件的危害,垃圾邮件不顾他人的反对，强制性地把邮件发到别人的邮箱，侵犯了个人的隐私权，打破平等自愿交流的规则，无疑会遭到人们的反对；另外，大量的垃圾邮件发到新闻组，会降低新闻组的信息价值，甚至可能导致新闻组因此关闭。大量发到个人邮箱的垃圾邮件会给人们的通信带来不便。 垃圾邮件与其他的媒体不同，它的成本部分是追加到收件人一方的。垃圾邮件占用了收件方的带宽和存储资源。 垃圾邮件也威胁着网络的安全，特别是那些利用别人的服务器转发邮件的情况。例如2003年3月份，CCERT就收到两起来自用户的有关事故报告。其中一个是网络管理员发现他们的服务器在以每秒60封的速度转发邮件，占用了大量的系统资源，其他正常运作被迫终止，构成了典型的DOS型攻击；另外一起是管理员发现出国流量突然增加，一查发现该服务器转发了200多万封来自国外来源不明的邮件，严重阻碍了网络流量。 垃圾邮件不仅带来了技术方面和经济方面的问题，同时也带来令人关注社会问题，如一些含有色情内容的邮件和带有明显欺诈性质的内容的邮件。,追踪垃圾邮件,阻止垃圾邮件的首要任务是找到垃圾邮件的真正源头。 由于协议的弱认证机制，使得邮件信头的部分内容很容易被伪造。 充分理解信头各部分的含义可以帮助我们迅速找出邮件的正确源头。,邮件防毒技术,电子邮件因其具有广泛的用户群体，而成为计算机病毒的主要传播通道与重要载体后，邮件防毒技术也在逐步发展，并可分为删除邮件时代、查杀压缩文件时代和邮件计算机病毒前杀时代3个阶段。 1删除邮件时代 2查杀压缩文件时代 3邮件病毒前杀时代 4比特动态滤毒技术,7.4 系统安全,来自Internet实验室的相关数据显示，每年宽带用户数量同比上一年度都有比较大幅的增长，绝大多数用户因为宽带上网而受到计算机病毒威胁，有三成经常上网的用户遇到过网络游戏用户名被盗的情况。宽带越来越“宽”，直接导致木马病毒、间谍软件、垃圾邮件、网页恶意程序等计算机病毒传播速度更加惊人。 计算机病毒传播的网络化趋势更加明显，Internet下载、浏览网站和电子邮件成为计算机病毒传播的重要途径，由此感染的用户数量明显增加。 随着网络技术的发展，网络安全也就成为当今网络社会焦点中的焦点。就像“矛”与“盾”，网络与计算机病毒、黑客永远是一对共存体。,网络安全体系,1网络安全问题分析 从计算机病毒诞生开始，人们就发现这么一个基本事实：计算机系统本身是脆弱的，大量依赖国外计算机产品本身就不安全。从计算机科学的研究对象上分析，目前人类制造出完全没有漏洞、绝对安全的计算机系统几乎是不可能的。 2网络安全基本体系 按照安全策略的要求及风险分析的结果，整个网络的安全措施应按系统体系建立。具体的安全控制系统应由以下几个方面组成：物理安全、网络安全和信息安全。 物理安全：保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提。主要包括3个方面：环境安全、设备安全和媒体安全。 网络安全：系统（主机、服务器）安全、反计算机病毒、系统安全检测、入侵检测（监控）、审计分析、网络运行安全、备份与恢复应急、局域网、子网安全、访问控制（防火墙）以及网络安全检测等。 信息安全：主要涉及信息传输的安全、信息存储的安全以及对网络传输信息内容的审计三方面。 3网络安全的构架 网络安全构架包括以下层次的内容，安全政策评估、安全漏洞侦测、防黑客探测器，边界安全性中的防火墙、安全漏洞侦测、防骇客探测器，Internet Extranet安全性中的验证、外联网、VPN计算机安全性、Web安全性和安全管理中的一次性入网、网络资源管理、UNIX安全性，在此基础上统一指定战略安全服务，构成一个完整的网络安全框架。,加密技术,现代的加密技术就是适应了网络安全的需要而应运产生的，它为我们进行一般的电子商务活动提供了安全保障，如在网络中进行文件传输、电子邮件往来和进行合同文本的签署等。 1加密技术产生的背景 2加密产生的过程 数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理，使其成为不可读的一段代码，通常称为“密文”，使其只能在输入相应的密钥之后才能显示出本来内容，通过这样的途径来达到保护数据不被非法窃取、阅读的目的。该过程的逆过程为解密，即将该编码信息转化为其原来数据的过程。 3加密技术的作用 首先，通过Internet进行文件传输或电子邮件商务往来存在许多不安全因素，特别是对于一些大公司和一些机密文件在网络上传输。为了能在安全的基础上打开这通向世界之门，人们只好选择数据加密、数字签名等技术。 加密在网络上的作用就是防止有用或私有化信息在网络上被拦截和窃取。,加密技术,4加密技术的分类 信息交换加密技术分为两类：即对称加密和非对称加密。具体如下。 （1）对称加密技术 在对称加密技术中，对信息的加密和解密都使用相同的密钥，通常称之为“Session Key”。这种加密技术有加密速度快，可以用软件或硬件实现，目前被广泛采用但对称加密技术存在密钥交换换问题。 （2）非对称加密技术 在非对称加密体系中，密钥被分解为一对（即公开密钥和私有密钥），即加密和解密所使用的不是同一个密钥，通常有两个密钥，称为“公钥”和“私钥”，它们两个必须配对使用，否则不能打开加密文件。这对密钥中任何一把都可以作为公开密钥（加密密钥）通过非保密方式向他人公开，而另一把作为私有密钥（解密密钥）加以保存。公开密钥用于加密，私有密钥用于解密，私有密钥只能由生成密钥的交换方掌握，公开密钥可广泛公布，但它只对应于生成密钥的交换方。 非对称加密体系一般是建立在某些已知的数学难题之上，是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。RSA算法是Rivest，Shamir和Adleman于1977年提出的第一个完善的公钥密码体制，其安全性是基于分解大整数的困难性。RSA算法的描述如下。 公开密钥：n=pq（p，q分别为两个互异的大素数，p，q必须保密）。 e与（p-1）（q-1）互素。 私有密钥：d=e-1 mod（p-1）（q-1）。加密：c=me（mod n），其中m为明文，c为密文。 解密：m=cd（mod n）。 5摘要函数 数据摘要是一种保证数据完整性的方法，其中用到的函数叫摘要函数。这些函数的输入可以是任意大小的消息，而输出是一个固定长度的数据摘要。数据摘要有这样一个性质，如果改变了输入消息中的任何东西，甚至只有一位，输出的数据摘要将会发生不可预测的改变，也就是说输入消息的每一位对输出摘要都有影响。,加密技术,6加密技术的密钥管理 加密技术的实现是通过密钥，但并不是有了密钥就高枕无忧，任何保密也只是相对的，是有时效的，这涉及密钥的管理，如果管理不好，密钥就会丢失。 通常密钥的管理要注意以下几个方面。 （1）密钥的使用要注意时效和次数 如果用户可以一次又一次地使用同样密钥与别人交换信息，那么密钥也同其他任何密码一样存在着一定的安全性，虽然说用户的私钥是不对外公开的，但是也很难保证私钥长期的保密性，很难保证长期以往不被泄露。 （2）多密钥的管理 假设在某机构中有100个人，如果其中任意两人之间可以进行秘密对话，那么总共需要多少密钥呢？每个人需要知道多少密钥呢？也许很容易得出答案，如果任何两个人之间要不同的密钥，则总共需要4950个密钥，而且每个人应记住99个密钥。如果机构的人数是1000，10000入或更多，这种办法就显然过于复杂了，管理密钥将是一件可怕的事情。Kerberos提供了一种较好的解决方案，能在Internet上提供一个实用的解决方案，Kerberos建立了一个安全的、可信任的密钥分发中心即KDC，每个用户只要知道一个和KDC进行会话的密钥就可以了，而不需要知道成百上千个不同的密钥。 7加密技术应用 加密技术的应用是多方面的，但最为广泛的还是在电子商务和VPN上的应用，前者应用电子商务（E-business），以让顾客可以在网上进行各种商务活动，而不必担心自己的信用卡会被盗用。在过去，用户为了防止信用卡的号码被窃取，一般是通过电话订货，然后使用用户的信用卡进行付款。现在人们开始用RSA（一种公开/私有密钥）的加密技术，提高信用卡交易的安全性，从而使电子商务走向实用成为可能。,黑客防范,现在全球每20秒就有一起黑客事件发生，仅美国，每年由黑客所造成的经济损失就高达100亿美元。“黑客攻击”在今后的电子对抗中可能成为一种重要武器。随着Internet的日益普及和在社会经济活动中的地位不断加强，Internet安全性得到了更多的关注。目前黑客防范主要是针对特洛伊木马、拒绝服务攻击等以下内容。 1特洛伊木马 特洛伊木马在前面的章节中已述及，简单地说是包含在合法程序中的未授权代码，执行不为用户所知的功能。国际著名的计算机病毒专家Alan Solomon博士在他的计算机病毒大全一书中给出了另一个恰当的定义：“特洛伊木马是超出用户所希望的，并且有害的程序”。一般来说，我们可以把特洛伊看成是执行隐藏功能的任何程序。 2拒绝服务攻击 拒绝服务实际就是分布式DDOS（Distributed Denial Of Service）攻击。这种攻击的简单原理是：攻击者首先通过一些常用的黑客手段侵入并控制一些计算机，在这些计算机上安装并启动一个进程，这个进程将听命于攻击者的特殊指令。当攻击者把攻击目标的IP地址作为指令下达给这些进程的时候，这些进程就开始向目标主机发送攻击。,黑客防范,3网络嗅探器 嗅探器（Sniffer）就是能够捕获网络报文的设备。嗅探器的正当用处在于监视网络的状态、数据流动情况以及网络上传输的信息，分析网络的流量，以便找出网络中潜在的问题，嗅探器有时又叫网络侦听。嗅探器程序在功能和设计方面有很多不同，有些只能分析一种协议，而另一些则能够分析几百种协议。 嗅探器网络监听的特点如下。 （1）网络响应速度慢。网络监听要保存大量的信息，并对收集的信息进行整理，因此，正在进行监听的计算机对用户的请求响应很慢，但也不能完全凭此而判定其正在运行网络监听软件。 （2）只能监听同一网段的主机。 （3）网络监听最有用的是获得用户口令。目前网上的数据绝大多数是以明文的形式传输，而且口令通常都很短且容易辨认。 （4）网络监听很难被发现。运行网络监听的主机只是被动地接收在局部网络上传输的信息，并没有主动的行动，既不会与其他主机交换信息，也不修改在网上传输的信包。 击败网络监听最有效的方法是使用安全的网络拓扑结构。这种技术通常被称为分段技术，将网络分成一些小的网络，每一网段的集线器被连接到一个交换机上。这样，网络中的其余部分（不在同一网段的部分）就被保护了，用户也可以使用网桥或者路由器来进行分段。,黑客防范,扫描程序 扫描程序（Scanner）是自动检测主机安全脆弱点的程序。通过使用扫描程序，一个洛杉矶用户足不出户就可以发现在日本境内服务器的安全脆弱点。扫描程序通过确定下列项目，收集关于目标主机的有用信息：当前正在进行什么服务、哪些用户拥有这些服务、是否支持匿名登录、是否有某些网络服务需要鉴别。扫描程序具有两面性：一方面它能揭示一个网络的脆弱点，扫描程序可以使一些繁琐的安全审计工作得到简化；另一方面，在不负责任的人手中，扫描程序会对网络的安全造成合法的威胁。 5字典攻击 字典攻击是一种典型的网络攻击手段，简单地说它就是用字典库中的数据不断地进行用户名和口令的反复试探。一般黑客都拥有自己的攻击用字典，其中包括常用的词、词组、数字及其组合等，并在进行攻击的过程中不断地充实丰富自己的字典库，黑客之间也经常会交换各自的字典库。对付字典攻击最有效的方法，是设置合适的口令，建议不要用自己的名字、生日、电话号码或简单的单词作为自己的口令，如果能隐蔽自己的用户名当然更好。 另有一些黑客，出于某种原因进行汇愤、报复、抗议而侵入，纂改目标网页的内容，羞辱对方，虽不对系统进行致命性的破坏，也足以令对方伤脑筋。 第三类就是恶意的攻击、破坏。其危害性最大，所占的比例也最大。其中又可分为3种情况：一是窃取国防、军事、政治、经济机密，轻则损害企业、团体的利益，重则危及国家安全；二是谋取非法的经济利益，如盗用账号非法提取他人的银行存款，或对被攻击对象进行勒索，使个人、团体、国家遭受重大的经济损夫；三是蓄意毁坏对方的计算机系统，为一定的政治、军事、经济目的服务，系统中重要的程序数据可能被纂改、毁坏，甚至全部丢失，导致系统崩溃、业务瘫痪，后果不堪设想。,安全漏洞库及补丁程序,安全漏洞通常是指操作系统漏洞。由于漏洞攻击不需经由使用者执行程序就能发作，加上全球计算机与服务器已网网相连，不但较以往更难防范、造成的财务损失也特别巨大。 据统计，有80%的网络计算机病毒是通过系统安全漏洞进行传播的，象蠕虫王、冲击波、震荡波等，所以我们应该定期到系统提供商网站去下载最新的安全补丁，以防范未然。据报道，目前全球每年平均发现2500个以上的安全漏洞。同时各种网络计算机病毒也越发肆虐。 此外，如今操作系统漏洞公布后计算机病毒出现的时间也越来越短。如2001年的Nimda计算机病毒是在安全漏洞发现后336天开始出现，而2003年的“Blaster”在漏洞发布后不足一个月便告诞生（26天）。到了2004年，“Sasser”只用了18天，而8月出现的“Witty”计算机病毒仅仅用了48小时，速度之快令人咋舌。 及时地对系统补丁进行更新，大多数计算机病毒和黑客都是通过系统漏洞进来的，但也不一定所有补丁都打上。,7.5 恶意代码的处理,不必要代码（Unwanted Code）是指没有作用却会带来危险的代码，一个最安全的定义是把所有不必要的代码都看做是恶意的，不必要代码比恶意代码具有更宽泛的含义，包括所有可能与某个组织安全策略相冲突的软件。恶意代码（Malicious Code）或者叫恶意软件Malware（Malicious Software）具有如下共同特征： 恶意的目的； 本身是程序； 通过执行发生作用。 有些恶作剧程序或者游戏程序不能看做是恶意代码。,恶意代码的种类,谍件 远程访问特洛伊 zombies程序的攻击 非法获取资源访问权 键盘记录程序 P2P系统 逻辑炸弹和时间炸弹,恶意代码的传播手法,恶意代码编写者一般利用三类手段来传播恶意代码：软件漏洞、用户本身或者两者的混合。有些恶意代码是自启动的蠕虫和嵌入脚本，本身就是软件，这类恶意代码对用户的活动没有要求。 利用商品软件缺陷的恶意代码有“Code Red”，“KaK” 和“BubbleBoy”。它们完全依赖商业软件产品的缺陷和弱点，例如溢出漏洞和可以在不适当的环境中执行任意代码。像没有打补丁的IIS软件就有输入缓冲区溢出方面的缺陷。 利用Web 服务缺陷的攻击代码有“Code Red”，“Nimda”等，恶意代码编写者的一种典型手法是把恶意代码邮件伪装成其他恶意代码受害者的感染报警邮件，恶意代码受害者往往是Outlook地址簿中的用户或者是缓冲区中Web页的用户，这样做可以最大可能地吸引受害者的注意力。 附件的使用正在和必将受到网关过滤程序的限制和阻断，恶意代码的编写者也会设法绕过网关过滤程序的检查。使用的手法可能包括采用模糊的文件类型，将公共的执行文件类型压缩成zip文件等。对聊天室IRC（Internet Relay Chat）和即时消息IM（Instant Messaging）系统的攻击案例不断增加，其手法多为欺骗用户下载和执行自动的Agent软件，让远程系统用做分布式拒绝服务（DDOS）的攻击平台，或者使用后门程序和特洛伊木马程序控制它们,恶意代码的发展趋势,种类更模糊 混合传播模式 多平台攻击开始出现 使用销售技术 服务器和客户机同样遭受攻击 Windows操作系统遭受的攻击最多 恶意代码类型变化,恶意代码的危害及其解决方案,网络安全问题一向被人们所看重，随着网络的不断发展，众多的攻击手法层出不穷，现在就连普通的浏览网页也存在着不安全的因素。在网页上还可以插入Java等功能强大的语言来进行编程。 除了JavaScript脚本语言ActiveX控件在网页中的应用也比较广泛，通过对ActiveX的调用，或者是利用系统漏洞，就可以对硬盘上的文件进行访问，其中包括对文件的读取与改写，这样就有可能暴露用户的隐私，另外利用这一点对硬盘进行格式化已经不是新闻了。通过这些代码，可以调用硬盘上的“”或“deltree.exe”等文件来对硬盘进行格式化或删除文件，并且这一切都是比较隐蔽的。 在上网时对于一些选择性的提示一定要留意，另外可以将“format.exe”和“deltree.exe”等有可能对文件数据造成破坏的程序改名，这样除了可以防止网页上的恶意代码对用户造成损坏，同样也可以避免一些宏病毒发作时造成的破坏。,网页恶意代码,制造恶意代码的人大多数是出于个人目的，通过在其主页源程序里加入具有破坏性的代码，使浏览网站的计算机受到严重破坏。而这些代码通常是Java Applet小应用程序，JavaScript脚本语言程序和ActiveX控件。 1Java Applet 由于Internet和Java在全球应用得越来越普及，因此人们在浏览Web页面的同时也会同时下载大量的Java Applet，就使得Web用户的计算机面临的安全威胁比以往任何时候都要大。 2JavaScript JavaScript有两个特点：第一，JavaScript是一种像文件一样的描述语言，通过浏览器就可以直接执行；第二，JavaScript编写在HTML文件中，直接查看网页的原始码，就可以看到JavaScript程序，所以没有保护，任何人都可以通过HTML文件复制程序。正是因为JavaScript具有以上特点，所以在网络中可以很轻易地得到编写好了的恶意JavaScript程序。 3ActiveX控件 它提供了Office和IE内部的大量有用功能。但因为它们是可执行的代码片段，一个恶意的开发人员可以编写一个ActiveX控件来窃取或损害用户的信息，或者做一些其他的有害事情。,IE恶性修改,1篡改IE的默认页, 它主要是修改了注册表中 IE 设置的下面这个键值： 1).HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain “Start Page“=“about：blank“ 2).HKEY_LOCAL_MACHINESoftwareMicrosoftInternetExplorerMain “Start Page“=“about：blank“ 3) .HKEY_USERs.DEFAULTSoftwareMicrosoftInternet ExplorerMain “Start Page“=“about：blank“ 2修改IE缺省主页，锁定设置项并禁止用户更改回来 它主要是修改了注册表中IE设置的下面这些键值（dWord：1时为不可选）： HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel “Settings“=dWord：0 HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel “Links“=dWord：0 HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel “SecAddSites“=dWord：0,IE恶性修改,3IE标题栏被修改 修改IE浏览器标题栏，把缺省或者用户设定的标题改成浏览网站的标题。 它主要是修改了注册表中 IE 设置的下面这个键值： 1).HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain “Window Title“=“IE 浏览器标题“ 2).HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain “Window Title“=“IE 浏览器标题“ 3).HKEY_USERs.DEFAULTSoftwareMicrosoftInternet ExplorerMain “Window Title“=“IE 浏览器标题“ 4IE右键菜单被修改 修改IE右键菜单，并将未经授权网站的网址加到右键菜单上。 它主要是修改了注册表中 IE 设置的下面这个键值： HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt 5IE默认搜索引擎被修改 修改IE中的搜索引擎，它主要是修改了注册表中 IE 设置的下面这个键值： HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain “Search Page“=“被更改后的搜索引擎地址如I“ 6系统启动时弹出