本文目录一览:
- 1、怎样处理恶意软件劫持桌面,具体点。现在桌面有金山毒霸和360,怎样使用
- 2、dll劫持的如何防止DLL劫持
- 3、电脑已经有杀毒软件了,也能自动升级,为什么电脑浏览器老是被劫持,而且不能恢复?
- 4、网络被攻击,安装包被劫持是怎么一回事?
怎样处理恶意软件劫持桌面,具体点。现在桌面有金山毒霸和360,怎样使用
请不要盗用我的答案!!
一号方案【新P】
注意【原创】:
1.安全模式下,效果更好!
2. 以下所要使用的软件,都要安装或升级到最新版本,以保证使用的效果。
3. 不杀毒,直接使用以下方法也可以 。若效果不好,就先在安全模式下用优质杀毒软件(如:卡巴斯基)杀一下,360安全卫士最好也用一下,之后,再用以下方法。
(用360安全卫士的“杀木马”----“全盘扫描”。杀完重启。)
以下方法,不一定都要用,可以一个一个去试。有时,仅第一个就管用了。
一. 关闭浏览器,打开新版本360安全卫士的“系统修复”,扫描后,再点“一键修复” 。
再用360急救箱(360安全卫士的“功能大全”里有。若未安装360安全卫士,也可单另安装急救箱。)【按步骤操作:先“开始急救”;扫描完后,重启;再点“系统修复” (可以全选)――“立即修复”。 接着,点“DLL文件恢复”,添加系统检测时所得知丢失的DLL文件,再点“立即修复’。“修复网络”视情况而决定是否修复。完后,应重启。】
二.用360安全卫士的“清理插件”进行扫描,扫除恶意插件后,进行清理。完后应重启。
三.用windows清理助手(从网上下载)。扫描后(若扫出东西,都勾并清理),再用故障修复(全选),然后在桌面点鼠标右键刷新。安全模式下效果好。
四.用金山急救箱【勾上“扩展扫描”,点扫描后,如果出现可以修复的项目,全选后,点“立即处理”,完后重启。】
也可下载使用可牛系统急救箱。
强调------1.修复中,杀软或360有提示时,请点允许。操作中如提示重启就重启下电脑。2.效果不好时,看“注意”中的三点。 3. 完后,效果不好的话,也可考虑系统还原一下(选好还原点)。4.还不行,就找专修店或重装系统。
祝你成功 !
dll劫持的如何防止DLL劫持
DLL劫持利用系统未知DLL的搜索路径方式,使得程序加载当前目录下的系统同名DLL。所以可以告诉系统DLL的位置,改变加载系统DLL的顺序不是当前目录,而是直接到系统目录下查找。
这个想法可以通过修改注册表实现。
在注册表键值:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs
是调用系统DLL的首要查找目录。例如里面有RE_SZ类型的ntdll=ntdll.dll项,则系统载入ntdll时会直接从系统目录加载。
由此,添加LPK=LPK.DLL即可防止LPK被劫持,同理可以阻止一些其他DLL被劫持,例如USP10。
在Windows NT系统,XP默认只有少数关键DLL在此键值下,Win7下面此键值已经相当齐全,在Win7系统下发生DLL劫持的概率要比XP小很多。
一 回顾DLL挟持的发展
2010年08月24日微软发布安全公告2269637,提到三方软件编程不安全存在一个DLL挟持的缺陷可以导致远程攻击
2010年08月24日流行的漏洞信息共享网站exploit-db马上就爆出多个DLL挟持漏洞涉及的软件有:Wireshark(免费嗅探器),Windows Live email(邮箱客户端), Microsoft MovieMaker(视频编辑处理),Firefox(网页浏览器), uTorrent (BT下载工具),PowerPoint 2010(办公软件)等
2010年08月25日-26日漏洞信息共享网站exploit-db继续爆出Winamp,Google Earth,Photoshop等软件存在DLL挟持漏洞,同时发布这个blog之前笔者的电脑中已经发掘存在的流行软件有,QQ影音,QQ音乐,美图秀秀,ppstream等
二新老DLL挟持的攻击原理分析和防御
1 动态链接库文件通常加载顺序如下
windows xp sp2系统以上会默认开启SafeDllSearchMode,安全dll搜索模式下DLL文件的搜索顺序如下所示
(1)可执行程序加载的目录(可理解为程序安装目录比如 C:\Program Files\uTorrent)(2)系统目录(即 %windir%\system32 )(3)16位系统目录(即 %windir%\system)(4)Windows目录(即 %windir%)(5)运行某文件的所在目录,比如C:\Documents and Settings\Administrator\Desktop\test)(6)PATH环境变量中列出的目录
2 老DLL挟持触发的原理解析和防御(漏洞触发在DLL搜索流程的第一层,运行程序即加载病毒)
(1)老DLL挟持的特点:
为了增加触发的概率,通常会使用usp1.dll,ws2_32.dll,lpk.dll等应用程序所必须的系统dll文件,然后利用DLL搜索第一顺位是程序安装目录,在程序安装目录释放一个同名DLL文件,抢先加载恶意病毒DLL文件,从而达到破坏的作用。这里可执行程序相当于恶意dll的加载器
(2)老DLL挟持病毒利用回顾重现
2007年罗姆病毒(ws2_32.dll导致很多杀毒软件无法打开),2009年春节猫癣病毒(usp10.dll导致很多用户重装系统都无法解决病毒问题)
通常使用老DLL挟持的病毒木马会枚举电脑里面的所有exe目录,然后将恶意的usp10.dll释放到每个exe所在的目录。当用户执行一个应用程序的时候,将会把恶意的usp10.dll文件优先加载从而感染系统
根据前面介绍的DLL加载顺序,运行程序的时候会优先到程序执行的目录下加载必须文件,下图显示了utorrent.exe在安装目录下的找到了usp10.dll文件并把它加载到内存中。
(3)老DLL挟持的通用免疫方案
可以通过编辑HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs来添加需要面议的DLL文件,比如:新建一个ws2_32 指向ws2_32.dll
3 新DLL挟持触发的原理解析和防御(漏洞触发在DLL搜索流程的第五层,运行图片即加载病毒)
(1)新DLL挟持的特点:
应用程序为了扩展或者兼容等目的需要加载相应的DLL文件,但是因为某些原因导致这个DLL文件默认不存在于当前系统,比如plugin_dll.dll文件默认情况下不存在utorrent的安装目录,dwmapi.dllxp环境下不存在(Vista以上系统存在),ie6环境下没有ieframe.dll(ie7以上版本存在)。正是因为程序需要的DLL文件在DLL搜索顺序的(1)-(4)中都不可能存在,此时就会尝试加载文件所在目录下的恶意dll文件,从而达到破坏的作用。这里运行的文件(比如mp3)相当于触发者,根据文件关联它会启动一个应用程序去播放mp3文件。而因为应用程序存在DLL挟持漏洞(比如QQ影音),此时QQ影音就会因为设计上的不足导致成为恶意DLL的加载器。相当于老DLL挟持,简直达到了运行图片/视频文件就会执行恶意文件的目的,当然前提是大灰客们能猜中你电脑里面的默认查看的软件是否存在DLL挟持漏洞了,目前已经发现的存在DLL挟持缺陷的主要有以下几类
① 特定系统环境下的文件
典型的有dwmapi.dll文件,xp环境下不存在,vista以上版本存在,也就是说需要触发这个漏洞的系统环境只能是XP系统
② 特定软件版本下的文件
典型的有:ieframe.dll,IE6下不 存在,ie7以上版本有,也就是说触发漏洞的电脑IE必须是IE6版本
③ 特定的库文件
典型的有:mfc80chs.dll
④ 程序自己需要的dll文件,可能是为了功能扩展或者兼容
典型的有:plugin_dll.dll
⑤ 其它未知
(2)新DLL挟持利用重现
通常灰客们会先通过DLL挟持挖掘工具寻找存在DLL挟持漏洞的流行应用程序,然后构造相应的文件上传到网络上供用户下载(具体的传播方式请看下一章),如果用户的电脑存在漏洞那么运行相应文件的时候就会执行存在漏洞的程序,从而使得恶意dll被不知不觉加载
根据前面介绍的DLL加载顺序和新DLL挟持的特点,程序在前四个流程都没有找到需要的文件,只能勉为其难的在第五流程-当前文件目录下加载恶意dll文件,下图就显示了uTorrent加载plugin_dll.dll顺序(前四个流程都是 name not found)并且加载当前目录下恶意plugin_dll.dll文件(第五流程显示的是success )的过程
(3)新DLL挟持的免疫
目前微软没有提供有效的免疫方案可以使用,建议升级你常用软件到最新版本.
三 新DLL挟持可能存在的攻击方式
exploit-db公布了存在DLL Hijacking的大量常用软件,这些软件里面有视频音频播放器,图像设计浏览软件,IM聊天工具,文字处理软件,网页浏览器,下载软件,杀毒软件。根据在下的一点拙见如果病毒作者想要利用这个漏洞来实现广泛传播的话主要有几种方式。
1 BT下载大片传播
挖掘出支持BT下载的流行软件(比如uTorrent )的DLL Hijacking漏洞,然后构造一个恶意dll文件(估计会设置隐藏属性,这样你解压以后将不会看到这个文件)和BT种子文件打包成压缩包上传到网上供用户下载,用户一旦下载了这个压缩包双击BT种子文件的时候会调用uTorrent 打开,uTorrent 运行的时候由于设计上的不河蟹根据dll加载的顺序最后会将种子所在目录的恶意dll加载
2 美女图片分享传播
挖掘出流行图片浏览工具(比如美图秀秀)的DLL Hijacking漏洞,然后构造一个恶意dll文件(估计会设置隐藏属性,这样你解压以后将不会看到这个文件)和图片文件打包成压缩包上传到网上供用户下载,用户一旦下载了这个压缩包,解压浏览美女靓照的时候可能会调用图片浏览工具打开从而触发漏洞加载恶意dll文件
3 软件下载包含的网页文件传播
挖掘出流行网页浏览工具(比如firefox)的DLL Hijacking漏洞,然后构造一个恶意dll文件(估计会设置隐藏属性,这样你解压以后将不会看到这个文件),应用程序和htm等网页文件打包成软件压缩包并上传到网上供用户下载。用户一旦下载了这个软件压缩包,解压以后运行安装必看.htm之类的网页文件会调用网页浏览工具打开从而触发漏洞加载恶意dll文件
4 热门视频音频文件传播
挖掘出流行视频音频播放工具(比如QQ影音)的DLL Hijacking漏洞,然后构造一个恶意dll文件(估计会设置隐藏属性,这样你解压以后将不会看到这个文件)和rmvb等视音频文件打包压缩包并上传到网上供用户下载。用户一旦下载了这个压缩包,解压播放相应视频的时候从而触发漏洞加载恶意dll文件
5 目前公布的部分软件列表
Google Earth
Nullsoft Winamp 5.581
Media Player Classic 6.4.9.1
Mozilla Thunderbird
Microsoft Office PowerPoint 2007
Adobe InDesign CS4
Nvidia Driver
Adobe Illustrator CS4
Adobe Premier Pro CS4
Skype = 4.2.0.169
TechSmith Snagit 10
Safari v5.0.1
uTorrent
Microsoft Visio 2003
Adobe Photoshop CS2
avast! = 5.0.594
Adobe Dreamweaver CS5
Opera v10.61
Firefox = 3.6.8
四 DLL安全编程,避免产生DLL挟持问题
(1) 调用LoadLibrary, LoadLibraryEx, CreateProcess的,或者 的ShellExecute 等涉及到模块加载的函数的时候,指定DLL加载的完整路径,貌似应该有API可以获取当前程序运行的目录的
(2)考虑使用 的DLL重定向 或 Manifests文件 ,以确保您的应用程序使用正确的DLL。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs
(3)确保DLL安全搜索模式被激活。未使用安全搜索设置的话,第二加载项就是当前目录。
HKLM\System\CurrentControlSet\Control\Session Manager \ SafeDllSearchMode
(4)从搜索列表中取消当前目录,可以通过调用SetDllDirectory 参数设置为一个空字符串
电脑已经有杀毒软件了,也能自动升级,为什么电脑浏览器老是被劫持,而且不能恢复?
你的这个叫“浏览器劫持”。
一般在聊天或浏览网页时,被引导点击某个网址,知情或不知情的下载了某个小程序后,导致IE主页被强迫连接到不同网站。你可以参考以下几种方法:
第一 右键点击IE浏览器,打开属性检查internet选项设置 主页 项是否被修改,如果是请改为空白页,并清空IE的临时文件夹。
第二 用查木马软件,查杀内存中是否有病毒运行(只查杀内存即可)。
第三 在开始菜单中的 运行 项中输入msconfig命令调出 系统配置实用程序 ,检查 启动 项(2000系统可以从XP系统拷贝MSCONFIG.EXE使用,也可以使用第三方软件查看,如WINDOWS优化大师)。记录每个不明启动项的文件名及所在路径,并取消这些自启动项。
第四 CTRL+ALT+DEL 打开 任务管理器 ,检查 进程 中是否有和启动项中同名的的程序在运行,尝试结束该进程!(注意,该名称很可能与某些系统程序同名,即恶意攻击程序伪装成系统进程运行。也许会有两个同名进程存在,这很可能就是你要找的凶手。)
附:已知伪装进程
英文文件名 taskmgr.exe 中文名 任务管理器
现象:两个同名进程同时运行,基本无法分辨。但结束正确进程会关闭任务管理器,而结束假冒进程则可暂时解决IE自动连接问题!
第五 按照在启动项里所找到的文件路径,查找你刚刚你所结束的可以进程的文件。打开我的电脑,在窗口上方菜单中依次打开 工具——文件夹选项——查看,点选 显示所有文件和文件夹 项,同时取消 隐藏受保护的操作系统文件 前的对勾,以便完全检查所有文件。(注意,已知恶意程序均为深度隐藏,98系统下需打开显示隐藏文件功能,2000、XP系统下必须同时取消隐藏受保护的操作系统文件功能)
第六 找到目标文件后,请右键该文件查看属性。注意其创建时间和修改时间,多数病毒文件这两个时间都会一致或相差较小,这个时间就是你中招的时间。还有,请将查看设置为 详细信息 检查是否在该文件夹下还有同时间创建的文件,病毒有可能伪装成影音或其他格式的文件,不要被它迷惑更不要点击运行它。马上原地将它们压缩,改为其他名称,这样以来可以解除威胁,二来可以防止误删除系统文件。(如果提示你该程序正在运行,你可以重起机器后连续按F8键进入安全模式,然后压缩)当然,如果你可以确认是病毒,最好直接删除~
第七 使用开始菜单中的 搜索 功能在硬盘上完全查找你发现的可以文件,看是否在其他位置还有该文件副本一并删除。(笔者所遭遇的恶意程序就是在伪装成 任务管理器 的同时又伪装成notepad.exe记事本程序,并使得所有记事本文件都会通过它打开,也就是说你打开某个记事本文件的同时恶意程序会再度运行。)另外,请手动检查windows文件夹下是否存留同名病毒文件,还有windows下的system和system32文件夹也要仔细检查,笔者发现最近的病毒都将自身副本加入了上述三个文件夹中,如果清楚不干净很可能死灰复燃!
第八 重新启动你的电脑,连线上网打开IE,看看是否已经恢复正常。如果不行请再次按上述方法更详细的分析一下,看看是否有遗漏。
第九 问题解决不要高兴的太早,这种恶意程序引导的网站很有可能带有病毒会木马程序。请将杀毒软件升级至最新版本进入安全模式完全查杀一遍,保证安全!
以上是本人根据自己的实际情况所总结的经验,望能给同样问题的以帮助。另外,还是提醒大家不要被好奇心驱使,去点击陌生网址或接收不明文件~
可以去瑞星或者金山下载IE修改器
网络被攻击,安装包被劫持是怎么一回事?
你可以试一下用Winsockfix这个小工具来重置LSP(下载运行后点fix开始修复,重启后故障一般都能得到解决)另外,SystemRepairEngineer(简称Sreng)也可以修复这类故障。方法是:启动SystemRepairEngineer-系统修复-Winsock供应者,点“重置所有内容为默认值”。还有比如LSPFix,Spybot-SearchDestroy软件,不过操作比较复杂。修复后,可能有的软件工作出现不正常,你要重新装一下。