七彩课堂☆家用电脑
自己打造最安全的ie浏览器
    防止Internet Explorer浏览器中病毒的方法,自己打造最安全的ie浏览器
NND,昨天又中木马了。那木马太凶悍了把norton病毒防火墙都给搞瘫了,是编写木马的小子研究了一下病毒防火墙,有意关闭防火墙的。
我在虚拟机上研究了研究这些木马。发现基本都是用调用shell.application对象脚本程序和wscript.shell对象脚本程序。
类似来运行木马程序:
Set Shell = CreateObject("Wscript.Shell")
Shell.Run("C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\www.exe")
set Shell=Nothing
i=1
来修改注册表
Set WshShell = Wscript.CreateObject("Wscript.Shell")
sA = WshShell.RegRead("HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\A")
WshShell.RegWrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\B" , sA
vbs脚本的wscript.shell对象和shell.application对象是两个相当风险级别想到高的对象。如果你使用IE浏览器上网的话,且这两个对象存在的话。就相当于ie浏览器已经变成了个木马和病毒的载体了。
firefox呢有些网站不兼容。而且有占用内存比较大。你非要使用ie的话。
我建议你删除 Wscript.Shell和shell.application对象,还有FSO对象,stream对象,XMLHTTP对象。这样那些木马脚本就不能通过浏览器,上传下载病毒和运行病毒了。
注意正规网站是绝不会在你浏览器的网页中调用这些对象的。
方法一 :把注册表中的这些键删除或者改名
HKEY_CLASSES_ROOT\WScript.Shell
HKEY_CLASSES_ROOT\WScript.Shell.1
HKEY_CLASSES_ROOT\Shell.Application
HKEY_CLASSES_ROOT\Shell.Application.1
HKEY_CLASSES_ROOT\Scripting.FileSystemObject
HKEY_CLASSES_ROOT\ADODB.Stream
HKEY_CLASSES_ROOT\ADODB.Stream.2.5
HKEY_CLASSES_ROOT\Microsoft.XMLHTTP
HKEY_CLASSES_ROOT\Microsoft.XMLHTTP.1
HKEY_CLASSES_ROOT\Microsoft.XMLHTTP.1.0
因为以上的这些名称对应了一个classid就像
{13709620-C279-11CE-A49E-444553540000}
使用方法一删除名称也可以脚本中也直接使用这个classid
所以使用方法二:
'卸载WScript.Shell对象
regsvr32 /u wshom.ocx
'卸载Shell.Application对象
regsvr32 /u shell32.dll
'卸载臭名昭著的Scripting.FileSystemObject对象,修改注册表,创建文件
regsvr32 /u scrrun.dll
'卸载ADODB.Stream对象的漏洞用来上传用户的数据
regsvr32 /u C:\Progra~1\Common~1\System\ado\msado15.dll
'Microsoft.XMLHTTP下载漏洞用来下载病毒到用户机器上
regsvr32 /u msxml3.dll
方法三:
以上的方法1和方法2是全局的,如果你有其他正常的应用程序必须使用到以上这些对象的话会受到影响,像QQ木马病毒之类的病毒就被彻底阉割了。但你仅仅要求在ie浏览器中不使用这些对象的话
可以把这些对象的classid包含到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility
下创建以classid为名称的项 并创建双字节 Compatibility Flags 键设置值为 0x00000400表示禁制此classid的activex组件
'wshom.ocx的classid
{F935DC20-1CF0-11D0-ADB9-00C04FD58A0B}
'shell32.dll
{13709620-C279-11CE-A49E-444553540000}
'scrrun.dll
{0D43FE01-F093-11CF-8940-00A0C9054228}
'msado15.dll
{00000566-0000-0010-8000-00AA006D2EA4}//这个禁用以后添加删除程序会实效。所以禁用这个要慎重啊
'msxml3.dll
{ED8C108E-4349-11D2-91A4-00C04F7969E8}
补充:设置ie的安全级别设置那个鸡肋比较麻烦,而且设置过之后老是出现那个非常招人烦的"有啥啥组件未运行"的狗屁提示。本来想把我的ie设置提供附件给大家。我google的空间登陆不上去了。估计baidu的公关最近给某些小官又送礼了。baidu的空间不能上传附件。
我把注册表内容贴出来吧:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility]
"Version"="5.17"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F935DC20-1CF0-11D0-ADB9-00C04FD58A0B}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{13709620-C279-11CE-A49E-444553540000}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0D43FE01-F093-11CF-8940-00A0C9054228}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{00000566-0000-0010-8000-00AA006D2EA4}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{ED8C108E-4349-11D2-91A4-00C04F7969E8}]
"Compatibility Flags"=dword:00000400
把上面的内容复制到.reg文件,然后你可以自己导入注册表吧。
注意win9x和win2000,还有winxp的vbs object的同组件名称的classid值可能不同。你最好查找方法一中的名称确认一下classid值。不要搞错了。否则又感染病毒不要找我哭。
 
信息推荐
资讯中心 | 电子商务 | 搜索营销 | 设计学院 | 中医养生 | 养生保健 | 节日祝福 | 民俗文化 | 奇闻趣事
建站知识 | 人世百态 | 网站导航 | 传统节日 | 搜索热点 | 星座运势 | 趣闻轶事 | 祝福的话 | 短信大全
© 2023 QicaiSpace.Com