[轉]基於註冊表的網絡攻擊分析及解決方案

源地址：http://www.suzhou.cyberpolice.cn/shownews.asp?id=242

=====================================================================

 

在上網過程中,有人不慎瀏覽一些惡意不良網站,這些網站通過網絡對用戶的註冊表進行惡意的攻擊,強行修改用戶的IE,指向惡意的連接,改寫主頁地址,即使重新設置主頁地址也無濟於事(甚至無法重新設置主頁地址),造成用戶的不便;改寫文件,在啓動列表中添加不良網站,使計算機啓動時,連續打開這些網站,類似病毒發作,造成用戶的恐慌與不安;強行禁止用戶對註冊表的編輯權限,禁止用戶打開註冊表進行相應的操作,威脅操作系統的安全。下面就註冊表的結構及註冊表可能受到的網絡攻擊方式進行分析,並給出相應的解決方案和預防措施。

　　一  註冊表結構

　　在Windows的註冊表中,所有的數據都是通過一種樹狀結構以鍵和子鍵的方式組織起來,就象磁盤文件系統的目錄結構一樣。每個鍵都包含了一組特定的信息,每個鍵的鍵名都是和它所包含的信息相關聯的。使用註冊表編輯器可以觀察註冊表中的根鍵,在“運行”對話框中輸入Regedit,然後單擊“確定”按扭,則可以運行註冊表編輯器。註冊表的根鍵共有6個,這些根鍵都是大寫的,並以HKEY爲前綴(見圖1)。這種命令約定是以Win32API的Registry函數的關鍵字的符號變量爲基礎的。

　　它們分別爲:

　　1)HKEY—CLASSES—ROOT管理文件系統。根據在Windows中安裝的應用程序的擴展名,該根鍵指明其文件類型的名稱,相應打開該文件所要調用的程序等信息。

　　2)HKEY—CURRENT—USER管理系統當前的用戶信息。在這個根鍵中保存了本地計算機中存放的當前登錄的用戶信息,包括用戶登錄用戶名和暫存的密碼。在用戶登錄Windows時,其信息從HKEY—USERS中相應的項拷貝到HKEY—CURRENT—USER中。

　　3)HKEY—LOCAL—MACHINE該根鍵存放本地計算機硬件數據,管理當前系統硬件配置。此根鍵下的子關鍵字包括在SYSTEM.DAT中,用來提供HKEY—LOCAL—MACHINE所需的信息。

　　4)HKEY—USERS管理系統的用戶信息。在這個根鍵中保存了存放在本地計算機口令列表中的用戶標識和密碼列表。同時每個用戶的預配置信息都存儲在HKEY—USERS根鍵中。HKEY—USERS是遠程計算機中訪問的根鍵之一。

　　5)HKEY—CURRENT—CONFIG管理當前用戶的系統配置。在這個根鍵中保存着定義當前用戶桌面配置(如顯示器等等)的數據,該用戶使用過的文檔列表,應用程序配置和其他有關當前用戶的安裝信息。6)HKEY—DYN—DATA管理系統運行數據。在這個根鍵中保存了系統在運行時的動態數據,此數據在每次顯示時都是變化的,因此,此根鍵下的信息沒有放在註冊表中。

　　以上是註冊表樹最頂層的6個分支所分別代表的含義,可以由用戶有針對性的對其進行修改、編輯等操作,但也可能受到來自網絡的惡意攻擊。

　　二  對註冊表常見的攻擊手段及解決方案

　　1.IE默認連接首頁被修改。IE瀏覽器上方的標題欄被改成“歡迎訪問……網站”的樣式,這是最常見的攻擊手段。攻擊方式爲更改註冊表項目:

　　HKEY—LOCAL—MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main\StartPage

　　HKEY—CURRENT—USER\Software\Microsoft\InternetExplorer\Main\StartPage

　　通過修改“StartPage”的鍵值,來達到修改瀏覽者IE默認連接首頁的目的。如不慎瀏覽某一惡意網站“http://www.xxxx.com”,該網站就會將你的IE默認連接首頁修改爲“http://www.xxxx.com”。

　　解決方案: 

　　1)在Windows啓動後,點擊“開始”→“運行”菜單項,在“打開”欄中鍵入regedit,然後按“確定”。

　　2)展開註冊表到　HKEY—LOCAL—MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main下,在右半部分窗口中找到串值“StartPage”雙擊,將StartPage的鍵值改爲“about:blank”即可;

　　3)展開註冊表到　HKEY—CURRENT—USER\Software\Microsoft\InternetExplorer\Main　在右半部分窗口中找到串值“StartPage”,然後按2中所述方法處理。

　　4)退出註冊表編輯器,重新啓動計算機。

　　特殊情況: 當IE的起始頁變成了某些網址後,即使通過選項設置修改好了,重啓以後又會變成他們的網址。這是因爲這些惡意攻擊者在你機器里加了一個自運行程序,它會在系統啓動時將你的IE起始頁設成他們的網站。解決方案:運行註冊表編輯器regedit.exe,然後依次展開HKEY—LOCAL—MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主鍵,然後將其下的registry.exe子鍵刪除,再刪除自運行程序c:\ProgramFiles\registry.exe,最後從IE選項中重新設置起始頁就好了。

　　2.篡改IE的默認頁。有些IE被改了起始頁後,即使設置了“使用默認頁”仍然無效,這是因爲IE起始頁的默認頁也被篡改。攻擊的方式爲修改註冊表項:

　　HKEY-LOCAL-MACHINE\Software\Microsoft\InternetExplorer\Main\Default_Page_URL

　　Default_Page_URL這個子鍵的鍵值即起始頁的默認頁。

　　解決方案:運行註冊表編輯器,然後展開上述子鍵,將“Default_Page_URL”子鍵的鍵值中的那些篡改網站的網址改掉就好了,或者設置爲IE的默認值。

　　3.修改IE瀏覽器缺省主頁,並且鎖定設置項,禁止用戶更改回來。攻擊的方式爲修改了註冊表中IE設置的下面這些鍵值（DWORD值爲1時爲不可選）：

　　HKEY—CURRENT—USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel

　　“Settings”=dword:1

　　 HKEY—CURRENT—USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel

　　“Links”=dword:1

　　 HKEY—CURRENT—USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel

　　“SecAddSites”=dword:1

　　解決方案:將上面這些DWORD值改爲“0”即可恢復功能。

　　4.IE的默認首頁灰色按扭不可選。攻擊的方式爲修改註冊表項目HKEYUSERS\.DEFAULT\Software\Policies\Microsoft\InternetExplorer\ControlPanel下的DWORD值“homepage”的鍵值。原來的鍵值爲“0”,被修改爲“1”(即爲灰色不可選狀態)。

　　解決方案:將“homepage”的鍵值改爲“0”。

　　5.IE標題欄被修改。在系統默認狀態下,是由應用程序本身來提供標題欄的信息,但也允許用戶自行在上述註冊表項目中填加信息,而一些惡意的網站正是利用了這一點來得逞的:它們將串值Window_Title下的鍵值改爲其網站名或更多的廣告信息,從而達到改變瀏覽者IE標題欄的目的。

　　攻擊的方式爲更改註冊表項目:

　　HKEY—LOCAL—MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main\Window_Title

　　HKEY—CURRENT—USER\Software\Microsoft\InternetExplorer\Main\Window_Title

　　解決方案:

　　1)在Windows啓動後,點擊“開始”→“運行”菜單項,在“打開”欄中鍵入regedit,然後按“確定”鍵;

　　2)展開註冊表到HKEY—LOCAL—MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main下,在右半部分窗口中找到串值“Window_Title”,將該串值刪除即可,或將Window_Title的鍵值改爲“IE瀏覽器”等你喜歡的名字;

　　3)同理,展開註冊表到HKEY—CURRENT—USER\Software\Microsoft\InternetExplorer\Main然後按2中所述方法處理。

　　4)退出註冊表編輯器,重新啓動計算機,運行IE。

　　6.IE右鍵菜單被修改。

　　攻擊的方式爲將註冊表項目:

　　HKEY—CURRENT—USER\Software\Microsoft\InternetExplorer\MenuExt下被新建了網頁的廣告信息,並由此在IE右鍵菜單中出現。

　　解決方案:

　　打開註冊標編輯器,找到

　　HKEY—CURRENT—USER\Software\Microsoft\InternetExplorer\MenuExt刪除相關的廣告條文即可,注意不要把下載軟件Netants或者FLASHGET刪除掉。

　　7.IE默認搜索引擎被修改。在IE瀏覽器的工具欄中有一個搜索引擎的工具按鈕,可以實現網絡搜索,被篡改後只要點擊那個搜索工具按鈕就會鏈接到那個篡改網站。攻擊的方式爲修改以下註冊表:

　　HKEY—LOCAL—MACHINE\Software\Microsoft\InternetExplorer\Search\CustomizeSearch

　　HKEY—LOCAL—MACHINE\Software\Microsoft\InternetExplorer\Search\SearchAssistant

　　解決方案:

　　運行註冊表編輯器,依次展開上述子鍵,將“CustomizeSearch”和“SearchAssistant”的鍵值改爲某個搜索引擎的網址即可。

　　8.系統啓動時彈出對話框。

　　攻擊的方式爲更改註冊表項目:

　　HKEY—LOCAL—MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon

　　在其下被建立了字符串“LegalNoticeCaption”和“LegalNoticeText”,其中“LegalNoticeCaption”是提示框的標題,“LegalNoticeText”是提示框的文本內容。由於它們的存在,就使得系統每次登陸到Windwos桌面前都出現一個提示窗口,顯示那些網頁的廣告信息。

　　解決方案:

　　打開註冊表編輯器,找到HKEY—LOCAL—MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon這一個主鍵,然後在右邊窗口中找到“LegalNoticeCaption”和“LegalNoticeText”這兩個字符串,刪除這兩個字符串就可以解決在登陸時出現提示框的現象了。

　　9.瀏覽網頁註冊表被禁用。

　　攻擊的方式爲將註冊表項目

　　HKEY—CURRENT—USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

　　下的DWORD值“DisableRegistryTools”修改爲“1”。將其鍵值恢復爲“0”即可恢復註冊表的使用。

　　解決方案:

　　用記事本程序建立以REG爲後綴名的文件,將下面這些內容複製在其中就可以了:

　　REGEDIT4

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]“DisableRegistryTools”=dword:00000000

　　10.IE中鼠標右鍵失效、查看“源文件”菜單被禁用。

　　瀏覽網頁後在IE中鼠標右鍵失效,點擊右鍵沒有任何反應;在IE窗口中點擊“查看”→“源文件”,發現“源文件”菜單已經被禁用。

　　攻擊手段爲在註冊表

　　HKEY—CURRENT—USER\Software\Policies\Microsoft\InternetExplorer

　　下建子鍵“Restrictions”,然後在“Restrictions”下面建立兩個DWORD值:“NoViewSource”和NoBrowserContextMenu”,併爲這兩個DWORD值賦值爲“1”。在註冊表HKEY—USERS\.DEFAULT\Software\Policies\Microsoft\InternetExplorer\Restrictions,將兩個DWORD值:“NoViewSource”和“NoBrowserContextMenu”的鍵值都改爲了“1”。

　　解決方案:

　　將以下內容另存爲後綴名爲reg的註冊表文件,如dragon.reg,雙擊dragon.reg,導入註冊表,不用重啓電腦,重新運行IE就會發現IE的功能恢復正常了。

　　REGEDIT4

　　[HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Restrictions]“NoViewSource”=dword:00000000

　　“NoBrowserContextMenu”=dword:00000000

　　[HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\InternetExplorer\Restrictions]“NoViewSource”=dword:00000000

　　“NoBrowserContextMenu”=dword:00000000

　　要特別注意的是,在編制的註冊表文件dragon.reg中,“REGEDIT4”一定要大寫,並且它的後面一定要空一行,還有,“REGEDIT4”中的“4”和“T”之間一定不能有空格。如果你的操作系統是Win2000或WinXP,則將“REGEDIT4”改爲WindowsRegistryEditorVersion5.00。

　　三  預防措施

　　對於這種來自網絡對註冊表的實施的惡意攻擊,不僅要有相應的解決方案,還要做到防患於未然,採取一定的預防措施。首先,不要輕易去一些自己並不瞭解的站點,特別是那些看上去美麗誘人的網址更不要貿然前往,否則美麗的外表下面暗藏着陷阱。其次,由於該類網頁是含有有害代碼的ActiveX網頁文件,因此在IE設置中將ActiveX插件和控件、Java腳本等全部禁止就可以避免中招。具體方法是:在IE窗口中點擊“工具→Internet選項,在彈出的對話框中選擇“安全”標籤,再點擊“自定義級別”按鈕,就會彈出“安全設置”對話框,把其中所有ActiveX插件和控件以及Java相關全部選擇“禁用”即可。不過,這樣做在以後的網頁瀏覽過程中可能會造成一些正常使用ActiveX的網站無法瀏覽。另外,這類網頁是通過攻擊註冊表來破壞系統的,那麼可以事先把註冊表加鎖,禁止對註冊表攻擊,這樣就可以達到預防的目的。爲了可以使用註冊表編輯器regedit.exe,還要在此前事先準備一把“鑰匙”,以便打開這把“鎖”。加鎖方法如下:

　　1)運行註冊表編輯器regedit.exe;

　　2)展開註冊表到

　　HKEY—CURRENT—USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下,新建一個名爲DisableRegistryTools的DWORD值,並將其值改爲“1”,即可禁止使用註冊表編輯器regedit.exe。

　　解鎖方法:用記事本編輯一個任意名字的.reg文件,比如dragon.reg,內容如下:

　　REGEDIT4

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]“DisableRegistryTools”=dword:00000000

　　然後保存，如果要使用註冊表編輯器,則雙擊dragon.reg即可。如果用的是Win2000或WinXP,將“REGEDIT4”寫爲WindowsRegistryEditorVersion5.00。