最淺顯的IE反劫持攻略

軟件名稱： HijackThis 
　　軟件版本： 1.98.2 
　　授權方式： 免費軟件 
　　軟件大小： 178KB 
　　下載地址

　　“網絡很恐怖！” 
　　“嗯？” 
　　“真的很恐怖，我的IE已經被恐怖分子劫持了！” 
　　又有朋友來訴說自己的悲慘遭遇，負責“黑客戰線”的小編zaphay再也坐不住了，要站出來進行一場反劫持的正義之戰。於是，他向朋友推薦了下面這個技巧。 

　　自從上了寬帶網，經常都會遇到不同的惡意代碼，讓人頭痛不已。但是每次擊退這些“恐怖分子”，對我來說都是一個小小的勝利，與此同時自己的經驗也在不斷的積累。現在將這些經驗拿出來與大家分享，希望那些和我一樣常被“妖魔纏身”的小蝦米們能不再被“恐怖分子”騷擾。 

　　IE標題及主頁被修改 

　　這是惡意代碼最喜歡干的事情。其實處理這種情況是很容易的。在注冊表的HKEY_LOCAL_ 
　　MACHINESOFTWAREMicrosoftInternet ExplorerMain和HKEY_CURRENT_USER 
　　SoftwareMicrosoftInternet Explorer 
　　Main下，找到“Window Title”，這個就是IE的標題了。那主頁呢？當然也在這個下面啦，鍵名是“Start Page”，只要將後面的值給成你喜歡的或者是默認的就可以了。 

　　IE“主頁”失效 

　　有的惡意代碼不僅修改浏覽器首頁，而且還會在IE的“Internet選項”上動手腳，將“主頁”項改成不可用狀態。對付這麼惡心的事，其實也不麻煩。在開始菜單的運行中輸入“gpedit.msc”後運行，在打開的組策略編輯器中找到“用戶配置”→“管理模板”→“Windows組件”→“Internet Explorer”→“禁用更改主頁設置”，雙擊打開設置對話框，選擇“禁用”，然後關閉所有打開的IE，再次打開時主頁已經可以設置（圖1）。 

原來要害就在這裡
　　被添加了自啟動程序 

　　這個相對比較麻煩，因為涉及的東西比較多。先檢查注冊表：HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersion下的Run項和Runonce項，HKEY_LOCAL_MACHINE 
　　SOFTWAREMicrosoftWindowsCurrentVersion下的Run項、RunOnce項和RunOnceEx項，HKEY_LOCAL_MACHINESOFTWARE 
　　MicrosoftWindows NTCurrent Version 
　　Winlogon下的Shell和Userinit項，以及HKEY_CLASSES_ROOTexefileshell 
　　opencommand和HKEY_CLASSES_ 
　　ROOT xtfileshellopencommand的打開方式，剩下的啟動項也要特別留意，因為那裡往往是殺毒軟件忽略的地方。這些還不算，有的惡意代碼甚至修改DLL，用DLL來啟動，這個就防不勝防了。分析時一定要仔細，不能讓任何一個可疑的東東溜過去，否則可能前功盡棄。具體方法可參見第20期的《網盜》專題。 

　　注冊表編輯器被鎖定 

　　在開始菜單的運行中輸入“edit /80 regedit.exe”打開注冊表編輯器，在其中找到“DisableRegistryTools”（可能是全角的），將其中任意一個字母改成不相同的即可，然後退出保存，這樣注冊表編輯器就可以運行了。最後，在注冊表中找到HKEY_CURRENT_ 
　　USERSoftwareMicrosoftWindows 
　　CurrentVersionPoliciesSystem下的DisableRegistryTools項，直接刪除即可。這一招對於那些連注冊表腳本都被鎖定的情況十分有效。 

　　IE控件劫持 

　　消滅真正的IE劫持—控件劫持是很困難的，步驟很繁瑣。具體的方法不多說了，現在介紹一款小程序，它就是HijackThis，可以協助你檢測、分析和恢復被劫持的IE。使用方法很簡單，點擊“SCAN”按鈕，在掃描後在要恢復的相關項前面打上勾，點擊“Fix checked”即可。如果你不知道具體項的用處，可以選中那一條，點擊“Info on selected item”，隨後會彈出相應的說明，很詳細（圖2）。 

不喜歡就把它勾起來

　　這款程序設計得比較人性化，為防止錯誤操作，HijackThis在修復的同時留下備份文件，用來在將來後悔時取消當初的修復動作。點擊“Config”按鈕，進入設置界面，選擇“Backups”，選擇列表中相應的項點擊“Restore”按鈕即可恢復（圖3）。 

在這裡可進行恢復
　　Host文件劫持 

　　這是一種非常簡單但危害很大的劫持手段。我們知道，系統中的Host文件可在本地將域名解析為IP地址，如果惡意代碼悄悄修改了系統中的Host文件，將網友們常去的網站對應的IP地址修改到不良網站上去，則會讓網友們在進行日常的浏覽網頁操作時，被強拖到不良網站上去。可以想像，如果有不良份子將這種手段用於詐騙，那它的社會危害就相當驚人了。 

　　不過，應付它的方法也很簡單。先在系統中找到Host文件，Windows 9X中該文件在系統盤的Windows目錄下，Windows 2000/XP中它位於系統盤的Winnt System32DriversEtc目錄中。找到文件後，用普通的文本編輯軟件如記事本等打開它，查看其中是否有奇怪的域名解析項，若有則直接將之刪除即可。