對這文章發表回應
發表限制: 非會員 可以發表
發表者: 冷日 發表時間: 2005/11/3 6:38:26
這裡有一個網頁內容寫的不錯,有關網頁被綁架的問題幾乎都有
http://myweb.hinet.net/home2/nomo/teach/un-web-kidnap.htm
跟各位網友分享一下在網上找回來的相關資料, 希望可以有更多人能處理這種擾人的東西.
廣告商有興趣的 IE 設定值, 大概如下,
- 使用者的 首頁
- 使用者的 我的最愛
- IE 的 context menu
- IE Search Page
這些, 都會存在 Registry 之內的, 只要改動 Registry, 就可以改動這些設定值. 但是, 這些 設定值, IE 也有提供介面給使用者去更改的, 因此, 為了防止使用者把設定值改掉, 廣告商 就會需要程式把值改回去.
可是... 使用者 當然不會願意執行 廣告商程式, 如此, 各式各樣去駕空 使用者意願 去執行程式的方法就由此衍生.
- Window Start Up (autoexe.bat, win.ini, registry)
這個應該是容易理解的, 這就是當 Window 啟動會被執行的程式. autoexe.bat 和 win.ini 都是 DOS 年代的東西, 現在的程式一般也用不到這個的, 除此之外, 也可以在 Registry 之內設定啟動程式 (例如, Run, RunOnce...), 在 Win98 年代, 改動 Registry 啟動程式, 很麻煩的事, 但是, Win98 之後的作業系統, 微軟 已提供了一支程式 msconfig.exe, 把 啟動程式 的 設定, 都整合到統一的介面之上, 只要你知道那個是有問題的程式, 就可以輕易的解決它.
- 使用者樣式表 (CSS)
樣式表 基本的用途就是用來設定不同 html 原件 的 字型, 字型大小, 等等...., 但是, 微軟 在這個之上, 加上了 javascript 和 vb script 的功能, 如果設定了 使用者樣式表, 每次看網頁時也會執行這個一次的, 又因為 使用者樣式表 是本機的 Script, 在系統有所有的權限, 因此, 這個就相等於一支程式呀.
要關掉這個, 只要取消 "網際網路選項=>存取設定=>使用者樣式表" 就可以了, 這個只是給予使用者方便, 是完全沒必要的.
- Active Desktop
Active Desktop, 就是 桌面的背景, 一般只會用圖檔的, 但是, 也可以用 網頁 的, 桌面背景 Window 啟動 會執行一次的, 又因為 網頁是 本機的, 在系統有所有的權限, 這個就相等於一支程式呀. 如果是這個的問題, 只要使用者把 桌面的背景 改回來就可以了.
- hosts 檔案
hosts 檔案, 是一個普通的文字檔, 位置在 [Window 資料夾]system32driversetc
之下, 記錄了 IP 和 網址 對換的資料, 如果把使用者常的網址 (例如, yahoo.com), 換成 廣告商 的 IP, 這麼, 使用者每次去這些網址, 都會去了 廣告商 的 IP. 這個, 一般只有一個值, 就是 "127.0.0.1 localhost".
如果是這個的問題, 只要用 notepad.exe 開它, 除了 "127.0.0.1 localhost" 之外的都刪掉就可以.
- 網址 prefix 設定值
網址 的 prefix, 是網址的一部份, 舉例說, http://www.yahoo.com, 這個網址的 prefix 就是 www, 又例如, http://web.icq.com, 它的 prefix 就是 web. IE 的 prefix, 只要在 Registry 內設定一下, 就可以強制換成使用者自定字串, 例如, 我們把 prefix www 強制設成 http://www.abc.com/redirect?s=, 這麼, 去 http://www.yahoo.com 的話, 就會被重導到 http://www.abc.com/redirect?s=yahoo.com, 這樣網頁都去了廣告商的網站了...
這個 Registry 的位置, 在
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionURL
. 有問題的話, 把值改回去就可以了.
- 網址 protocols 設定值
網址 的 Protocols, 就是 : 之前的東西, 舉例說,
http://www.yahoo.com, 它的 protocol 就是 http,
ftp://www.yahoo.com, 它的 protocol 就是 ftp.
about :blank, 它的 protocol 就是 about.
在 IE, 每一個 protocol 都可以是一個獨立的 DLL, 設定在 Registry [HKEY_CLASSES_ROOTPROTOCOLSHandler], 有需要時由 IE 載入. 現在很流行的一個做法, 就是先把 about 這個 protocol 設成廣告商DLL, 然後由程式強制首網成 about :blank, 這麼, 首頁開啟時, 就去了 about :blank, 然後, IE 就會載入 廣告商DLL, 然後... ...
這個值應該如下,
不是的話, 就有問題了.
- - MIME type
所謂 MIME type, 就是文件的類型, 一般的網頁, 會是 text/html 或 text/plain. IE 處理網頁時的, 每一個 MIME type 都可以在 Registry [HKEY_CLASSES_ROOTPROTOCOLSFilter] 設成一個獨立的 DLL, 有需要時由 IE 載入, 如果 text/html 和 text/plain 都設成 廣告商DLL, 這個, 用家看什麼網頁, 都會先執行廣告商的 DLL.
正常的只有如下的五個值. 還有, text/html 和 text/plain 是沒必要定義的.
- - Browser Helper Object (BHO)
BHO 的用途, 是 IE 的外掛原件, 例如, Yahoo Toolbar, 防毒軟體 的 處理網頁, 也會用到這個, 對 WinXP, Explorer 和 IE 啟動也會載入這個的, BHO 對網頁有存取的功能, 這, 就給予廣告商便利.
要關掉 BHO, 只要關掉
網際網路選項=>進階=>瀏覽=>啟用第三方瀏覽器延伸(需要重新啟動)
就可以了.
所有 BHO 的安裝資料, 也會放在
關於 BHO 更詳細的資料, 可以參考以下網址
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnwebgen/html/bho.asp
- 還有, 以上提及的個別使用, 也許不是甚麼, 但是, 如果組合使用, 就會讓情況變得很難處理. 要處理的話, 最好在 安全模式 處理.
以上提及的, 是較容易處理的情況, 如果是故意生事的, 可以用上更多 木馬 和 電腦病毒 的技巧. 這樣, 情況就更糟糕.
在此, 介紹一個網站, 它提供了一個專門對付這類不良廣告商軟件的程式, 以上提及的資料, 好些也是來自這個網站.
http://www.spywareinfo.com/~merijn/cwschronicles.html
最後, 告誡各位網友, 要多多更新 Window, 千萬不要執行不明來歷的程式, 看網頁時看到安全警告, 要三思才好按確定, 色情網頁嘛... 還是少看為佳 (於電腦 和 於自己 的身心也有益呢 ^^)
http://myweb.hinet.net/home2/nomo/teach/un-web-kidnap.htm
跟各位網友分享一下在網上找回來的相關資料, 希望可以有更多人能處理這種擾人的東西.
廣告商有興趣的 IE 設定值, 大概如下,
- 使用者的 首頁
- 使用者的 我的最愛
- IE 的 context menu
- IE Search Page
這些, 都會存在 Registry 之內的, 只要改動 Registry, 就可以改動這些設定值. 但是, 這些 設定值, IE 也有提供介面給使用者去更改的, 因此, 為了防止使用者把設定值改掉, 廣告商 就會需要程式把值改回去.
可是... 使用者 當然不會願意執行 廣告商程式, 如此, 各式各樣去駕空 使用者意願 去執行程式的方法就由此衍生.
- Window Start Up (autoexe.bat, win.ini, registry)
這個應該是容易理解的, 這就是當 Window 啟動會被執行的程式. autoexe.bat 和 win.ini 都是 DOS 年代的東西, 現在的程式一般也用不到這個的, 除此之外, 也可以在 Registry 之內設定啟動程式 (例如, Run, RunOnce...), 在 Win98 年代, 改動 Registry 啟動程式, 很麻煩的事, 但是, Win98 之後的作業系統, 微軟 已提供了一支程式 msconfig.exe, 把 啟動程式 的 設定, 都整合到統一的介面之上, 只要你知道那個是有問題的程式, 就可以輕易的解決它.
- 使用者樣式表 (CSS)
樣式表 基本的用途就是用來設定不同 html 原件 的 字型, 字型大小, 等等...., 但是, 微軟 在這個之上, 加上了 javascript 和 vb script 的功能, 如果設定了 使用者樣式表, 每次看網頁時也會執行這個一次的, 又因為 使用者樣式表 是本機的 Script, 在系統有所有的權限, 因此, 這個就相等於一支程式呀.
要關掉這個, 只要取消 "網際網路選項=>存取設定=>使用者樣式表" 就可以了, 這個只是給予使用者方便, 是完全沒必要的.
- Active Desktop
Active Desktop, 就是 桌面的背景, 一般只會用圖檔的, 但是, 也可以用 網頁 的, 桌面背景 Window 啟動 會執行一次的, 又因為 網頁是 本機的, 在系統有所有的權限, 這個就相等於一支程式呀. 如果是這個的問題, 只要使用者把 桌面的背景 改回來就可以了.
- hosts 檔案
hosts 檔案, 是一個普通的文字檔, 位置在 [Window 資料夾]system32driversetc
之下, 記錄了 IP 和 網址 對換的資料, 如果把使用者常的網址 (例如, yahoo.com), 換成 廣告商 的 IP, 這麼, 使用者每次去這些網址, 都會去了 廣告商 的 IP. 這個, 一般只有一個值, 就是 "127.0.0.1 localhost".
如果是這個的問題, 只要用 notepad.exe 開它, 除了 "127.0.0.1 localhost" 之外的都刪掉就可以.
- 網址 prefix 設定值
網址 的 prefix, 是網址的一部份, 舉例說, http://www.yahoo.com, 這個網址的 prefix 就是 www, 又例如, http://web.icq.com, 它的 prefix 就是 web. IE 的 prefix, 只要在 Registry 內設定一下, 就可以強制換成使用者自定字串, 例如, 我們把 prefix www 強制設成 http://www.abc.com/redirect?s=, 這麼, 去 http://www.yahoo.com 的話, 就會被重導到 http://www.abc.com/redirect?s=yahoo.com, 這樣網頁都去了廣告商的網站了...
這個 Registry 的位置, 在
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionURL
. 有問題的話, 把值改回去就可以了.
- 網址 protocols 設定值
網址 的 Protocols, 就是 : 之前的東西, 舉例說,
http://www.yahoo.com, 它的 protocol 就是 http,
ftp://www.yahoo.com, 它的 protocol 就是 ftp.
about :blank, 它的 protocol 就是 about.
在 IE, 每一個 protocol 都可以是一個獨立的 DLL, 設定在 Registry [HKEY_CLASSES_ROOTPROTOCOLSHandler], 有需要時由 IE 載入. 現在很流行的一個做法, 就是先把 about 這個 protocol 設成廣告商DLL, 然後由程式強制首網成 about :blank, 這麼, 首頁開啟時, 就去了 about :blank, 然後, IE 就會載入 廣告商DLL, 然後... ...
這個值應該如下,
[HKEY_CLASSES_ROOTPROTOCOLSHandlerabout]
"CLSID"="{3050F406-98B5-11CF-BB82-00AA00BDCE0B}"不是的話, 就有問題了.
- - MIME type
所謂 MIME type, 就是文件的類型, 一般的網頁, 會是 text/html 或 text/plain. IE 處理網頁時的, 每一個 MIME type 都可以在 Registry [HKEY_CLASSES_ROOTPROTOCOLSFilter] 設成一個獨立的 DLL, 有需要時由 IE 載入, 如果 text/html 和 text/plain 都設成 廣告商DLL, 這個, 用家看什麼網頁, 都會先執行廣告商的 DLL.
正常的只有如下的五個值. 還有, text/html 和 text/plain 是沒必要定義的.
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOTPROTOCOLSFilter]
[HKEY_CLASSES_ROOTPROTOCOLSFilterClass Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"
[HKEY_CLASSES_ROOTPROTOCOLSFilterdeflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOTPROTOCOLSFiltergzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOTPROTOCOLSFilterlzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOTPROTOCOLSFilter ext/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"- - Browser Helper Object (BHO)
BHO 的用途, 是 IE 的外掛原件, 例如, Yahoo Toolbar, 防毒軟體 的 處理網頁, 也會用到這個, 對 WinXP, Explorer 和 IE 啟動也會載入這個的, BHO 對網頁有存取的功能, 這, 就給予廣告商便利.
要關掉 BHO, 只要關掉
網際網路選項=>進階=>瀏覽=>啟用第三方瀏覽器延伸(需要重新啟動)
就可以了.
所有 BHO 的安裝資料, 也會放在
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects
關於 BHO 更詳細的資料, 可以參考以下網址
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnwebgen/html/bho.asp
- 還有, 以上提及的個別使用, 也許不是甚麼, 但是, 如果組合使用, 就會讓情況變得很難處理. 要處理的話, 最好在 安全模式 處理.
以上提及的, 是較容易處理的情況, 如果是故意生事的, 可以用上更多 木馬 和 電腦病毒 的技巧. 這樣, 情況就更糟糕.
在此, 介紹一個網站, 它提供了一個專門對付這類不良廣告商軟件的程式, 以上提及的資料, 好些也是來自這個網站.
http://www.spywareinfo.com/~merijn/cwschronicles.html
最後, 告誡各位網友, 要多多更新 Window, 千萬不要執行不明來歷的程式, 看網頁時看到安全警告, 要三思才好按確定, 色情網頁嘛... 還是少看為佳 (於電腦 和 於自己 的身心也有益呢 ^^)