● 还你一个干净的浏览器--IE反修改篇【转自海雅论 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: Charels (那一剑的风情), 信区: Internet
标 题: 还你一个干净的浏览器--IE反修改篇【转自海雅论坛】
发信站: 荔园晨风BBS站 (Mon Feb 16 10:03:54 2004), 站内信件

现在广大网友最头疼的事，恐怕就是在浏览网页的同时，IE浏览器频频遭到恶意脚
本的修改！有时候浏览器标题栏在上午还写着“欢迎光临A网站”，下午再上网就
已经被改成了“B网站欢迎您再次访问”，真是让人苦笑不得。更有甚者，上了某
个网站之后连Windows的注册表都被锁定，这可让人有些恼火了！本文就是结合我
的实际经验，以目前较常见的十多种攻击方式为例，来教一些对注册表不甚了解的
朋友如何防范以及反修改。
一、常规防范

1. 卸载或升级WSH
WSH是Windows scripting Host Object Reference的简称，Windows 9x系
统把它设为默认的安装项。许多普通用户对WSH认识不多，当然也不会想到将它卸
载。我们从微软的中文官方网站上可以了解到："WSH 给 32 位 Windows 平台提供
了使用简便、功能强大和变化灵活的脚本。"，它支持的的ActiveX 脚本体系结构
"可让用户能使用强大的诸如 Visual Basic script 和 Java
script 之类的脚本语言，同时也支持 MS-DOS 命令脚本。"，并且"能使脚
本直接在 Windows 桌面或命令控制台上执行"。由此可知，利用WSH结合脚本程序
可以写出极剧杀伤力的病毒来。因此建议经常上网的普通计算机用户可以考虑卸载
WSH。卸载方法：进入"控制面板"，选择"添加/删除程序"，切换到"windows安装程
序"，选择"附件"，再选择"详细资料"中的Windows scripting Host，最后
点击"确定"即可卸载。此外，您还有一个更好的选择，升级到WSH 5.6。IE浏览器
可以被恶意脚本改，原因就是IE 5.5以及以前版本中的WSH允许攻击者利用
javascript中的Getobject函数以及htmlfilr Activex对象读取浏览者的注
册表。微软最新的Microsoft Windows script 5.6已经修正这个问题。安
装WSH 5.6后可以完全消除浏览器中潜在的不安全因素，使您从浏览器屡遭恶意修
改的恶梦中解脱出来！
附：WSH 5.6 For Win9X/NT及Win2000下载：http://download.pchome.
net/php/dl.php?sid=11065

2. 屏蔽已知的含有恶意脚本的网页

如果你使用诸如NetCaptor、MyIE等外挂浏览器，就可以把含有恶意脚本的网页（
当然，前提是您已经确认）屏蔽掉，以免今后再次受害。以NetCaptor浏览器为例
，在想要屏蔽的网页标签上单击鼠标右键，在弹出的菜单中选择"Add To" →
"Add to PopupCaptor"，然后在弹出的确定框点击"OK"即可。如果您常用的是IE浏
览器，选择菜单栏里的"工具"→"Internet选项"→"内容"→"分级审查"，点击"启
用"按钮，在弹出的"分级审查"对话框中切换到"许可站点"标签，输入您想屏蔽的
网站网址，随后点击"从不"按钮，再点"确定"即可。

3.设定IE浏览器的安全级别
由于IE遭到修改往往是因为浏览了含有恶意脚本的网页，因此在IE设置相应的安全
级别即可避免IE再次遭到恶意修改。设置方法：在IE的菜单栏中选择"工具"→
"Internet选项"，在弹出的对话框中切换到"安全"标签，选择"Internet"后点击"
自定义级别"按钮，在"安全设置"对话框中，把"ActiveX插件和控件"、"脚本"中的
相关选项全部选择"禁用"或"提示"即可。如果选择了"禁用"，一些正常使用
ActiveX和脚本的网站可能无法完全显示，建议大家不要因噎废食，还是选择"提示
"吧。

4. 使用更新版本的操作系统
如果您是使用Windows 2000/XP的朋友，可以通过禁用"远程注册表服务"来阻挡部
分恶意脚本。具体方法是：在"控制面板"→"管理工具"→"服务"中右键单击
"Remote Registry Service"，在弹出菜单中选择"属性"，打开属性对话框，在
"General"内将"Startup type"设为"Disabled"。这样也可以拦截部分的恶意脚本
程序。

5. 使用防火墙及杀毒软件
这可能是遇到这类问题后大家首先想到的。但根据我的一点实际经验，这并不是很
管用。防火墙我从来不用，杀毒软件只用诺顿，每次遇到含此类恶意脚本的网页，
诺顿尽管会弹出一个个的警告框，可IE还是被照改不误。也许是现在的杀毒软件对
这类脚本恶作剧还不太感冒吧。如果您正在使用的杀毒软件或防火墙可以有效遏制
这类脚本，不妨和其他朋友一同分享吧吧：）

二、工具修改
1. 老牌系统修改工具Megic Set
Megic Set--"超级兔子魔法设置"系列软件可以说是国内最棒的共享软件之一，和
经典的Tweak系列软件都有得一比。现在最新版本的超级兔子又新增了一个小工具
"超级兔子注册表保护器"，它的作用就是保护您的注册表不被恶意修改，以及被修
改后的及时恢复。保护器得使用方法很简单：先在左边的复选框内选中您想反修改
的项目，然后点"清除"按钮，它便会弹出一个确认框，提示非安装Windows时自带
的和IE有关的注册表项将被清除并恢复到初始状态，点击确定即可。当然，如果您
想保留某些自定义的项目，可以通过"超级兔子魔法设置"修改，具体的使用方法很
简单，相信您一看就会明白。另外，您也可以点击"保护"按钮，这时保护器就会最
小化在系统托盘，时刻保护您的注册表不被修改。最后，您还可选中"开机自动运
行………"前的选择框，保护器就会在您每次开机时运行，这样可以做到防范于未
然，您就可以高枕无忧的上网了。

2. 金山毒霸的反修改工具Duba_RegSolve
这是金山毒霸针对目前网上横行的恶意网页而开发的反修改小软件。您可以用它来
恢复注册表的默认设置。打开它的界面，您可以看到它的反修改选项较全面，而且
软件操作也很直观，相信不用我多做介绍您也很容易上手。

除此之外，在网上还有不少小软件可以对注册表的某些项目进行修改。只是其中鱼
龙混杂，也不及上文提到的两个软件全面和安全。所以在此也无需多做介绍。

三、手动清除

1. 注册表被禁用
对注册表的编辑是解决本文所涉及问题的关键所在，而许多朋友在打开注册表修编
辑器时，却发现居然连注册表都被"管理员禁用"了！其实这也是含有恶意代码的网
页文件捣的鬼。如果您的注册表也被禁用了，可以按下面的方法来解锁：

1.)新建一个文本文件，输入以下内容（注意保持文本格式）：
REGEDIT4

[HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼
Policies＼System]

"DisableRegistryTools"=dword:00000000
点击"文件"菜单，选择"保存"命令，以"recover.reg"为文件名保存在任意位置。
2.)双击该"recover.reg"文件，系统弹出"是否确认要将 recover.reg 中的信息添
加进注册表"的确认框，点"是"，随后，系统提示"recover.reg 里的信息已被成功
地输入注册表"，再点击"确定"即可将注册表解锁并进行随后的修改。

2. 开始菜单的"运行"消失
在"运行"栏中输入regedit是我们常用的打开注册表编辑器的方式。然而有些含恶
意代码的网页甚至连这里都不放过，难道它们认为凭这就可以阻止我们对注册表的
反修改吗？没问题，用两个简单的方法就可以把"运行"恢复。
其一，进入C:＼WINNT（Win9X的用户为C:＼WINDOWS），找到"regedit.exe"，双击
它就可以打开注册表编辑器，接着请定位到：
HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼
Policies＼Explorer
找到"NoRun"值项，右键单击之，选择"修改"（或者直接删除更好），把它的值改
为 0，重新启动电脑即可；
其二，新建一个文本文件，输入以下内容（注意保持文本格式）：
REGEDIT4

[HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼
Policies＼Explorer]

"NoRun"=dword:00000000
将该文件保存为run.reg文件，双击该文件，重启电脑后，再打开"开始"菜单看看
，"运行"选项是不是已经恢复了呢？

3. IE浏览器的标题栏被修改
这是目前最常见的修改IE浏览器的方式。它的反修改也很容易，首先打开"开始"菜
单，选运行...... "命令输入"regedit"，点击"确定"即打开了注册表编辑器。然
后请定位到：
HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Internet Explorer＼Main 、
HKEY_CURRENT_USER＼Software＼Microsoft＼Internet Explorer＼Main 及
HKEY_USERS＼.DEFAULT＼Control Panel
三处子项，您会发现在它们下面都有一个叫"Window Title"的值项（也可能只有一
处有，关键是要修改HKCU的值项），用鼠标右键单击该值项，在弹出菜单选择"修
改"，将它修改为默认的"Microsoft Internet Explorer"或者任意您希望看到的语
句，最后关闭注册表编辑器并打开一个新的IE浏览器窗口，就能看到您设定的效果
。

4. OutLook的标题栏被修改
这个情况比较少见，至少我没有遇到过，只是有网友询问，我才知道有些人居然无
聊到这种地步。不过没关系，它的反修改同样很简单，打开注册表编辑器，定位到
：
HKEY_CURRENT_USER＼Software＼Microsoft＼Outlook Express
子项下，找到值项"Window Title"，和反修改IE浏览器的方法一样来修改
"Window Title"值。最后关闭注册表编辑器并重起OutLook即可看到效果。

5. IE浏览器的首页被修改
这可能是目前网友反映最多的一个问题。一开始的时候解决这个问题很简单，在
IE的菜单中选择："工具"--"Internet选项"--"常规" ，在"主页"一栏中进行修改
即可。但随着事态的发展，形势日趋严峻：一些网站的站长将多个脚本程序联合使
用，导致的后果往往就是首页被修改的同时，IE的"主页"选项也被禁用（按钮呈灰
色不可用状态）！不过，没问题，现在我们就来解决这个问题。
请您打开注册表编辑器。定位到：HKEY_LOCAL_USER＼Software＼Policies＼
Microsoft＼Internet Explorer＼Control Panel及HKEY_CURRENT_USER＼
Software＼Policies＼Microsoft＼Internet Explorer＼Control Panel
两处子项，你会发现一个名为HomePage的DWORD值项，值为: 1 ，不必犹豫，直接
删掉它，或者把值改为0。然后关闭注册表编辑器，新开一个IE浏览器，再依次点
击"工具"--"Internet选项"--"常规"，你就会发现原来呈灰色的修改IE主页的按钮
已经恢复到了可编辑状态。此时您就可以按自己的喜好随意设定浏览器的主页了。

6. IE浏览器的默认页及空白页被修改

打开注册表编辑器，定位到：HKEY_LOCAL_MACHINE＼Software＼Microsoft＼
Internet Explorer＼Main子项，修改Default_Page_URL的值即可（原IE的默认页
为http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome）
。
定位到：HKEY_CURRENT_USER＼Software＼Microsoft＼Internet Explorer＼Main
子项，修改Local Page的值即可。

7. 每次开机后弹出一个网页
如果您每次开机后都会弹出一个IE浏览器，那就请您记住地址栏里的网址，然后打
开注册表编辑器，定位到：
HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run
HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼
Runonce
看看在该子项下是否有一个以这个网址为值的值项，如果有，删除它。下次开机时
就不会再有浏览器弹出了。不过道高一尺，魔高一丈，有时候这样也未必能解决问
题。遇到这种情况，您可以在注册表编辑器的菜单里选"编辑"-->"查找……."，在
"查找"对话框内输入开机时自动打开的网址，然后点击"查找下一个"，将查找到的
值项删除。另外，如果您是使用Win98的用户，请在"开始"菜单中的"运行"对话框
内输入"msconfig"，点击确定，打开"系统配置实用程序"并点击"启动"选项卡，检
查其中是否有可疑的启动项，有点话请将其禁用（去掉程序前的勾），然后重起系
统查看效果。如果您是Win2000的用户，可以copyWin98或WinXP下的"系统配置实用
程序

8. 每次开机后弹出一个确定框
这是Windows登陆后的一个提示框，Win98的用户可以在组策略中自由定义提示框的
内容。也可在注册表里编辑它。打开注册表编辑器，定位到：
HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼
Winlogon
该主键下分别有"LegalNoticeCaption"和"LegalNoticeText"两个值项。他们分别
定义了该提示框的标题和正文内容。将这两个值项删除即可。

9. IE浏览器的鼠标右键被禁用
其症状即为打开任意一个网页，单击鼠标右键都无法弹出菜单选项。这给许多经常
上网的朋友造成了很多不便。和上面一样，打开注册表编辑器，定位到：
HKEY_CURRENT_USER＼Software＼Policies＼Microsoft＼Internet Explorer＼
Restrictions,在该子项下有一个dword值为1的"NoBrowserContextMenu"值项，删
掉它即可。

10. 右键菜单内被添加网站链接
很多朋友会在无意间突然发现，自己的右键菜单里不知道什么时候多出了一个"欢
迎光临XXXXXX网站"的选项，点击之后便会打开浏览器进入这个网站。其实这往往
是通过脚本程序在注册表里做了手脚。我最早遇到这种情况是在5、6年前，那时
3721网站就采用了这种技术，在访问者的右键菜单加上了他们网站的快捷方式。解
决的方法也很简单，定位到：HKEY_CURRENT_USER＼Software＼Microsoft＼
Internet Explorer＼MenuExt ,仔细查看其下的子项，删除你不要的即可。当然您
也可以照此格式添加自己的快捷方式，比如常去的网站等等。不过要是您对注册表
不太熟悉的话，建议您先做好备份再修改。

11. 桌面上的图标全部消失
如果当您打开电脑，发现自己的桌面上居然空空如也，一个图标都不见了，您会作
何感想？不用说，这十有八九又是"上网惹得祸"。如果您想恢复，请把注册表定位
到：
HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼
Policies＼Explorer，找到"NoDesktop"值项，右键单击之，选择"修改"（或者干
脆删除也可以），把它的值改为0，重新启动电脑即可。看看，是不是又恢复到您
熟悉的桌面了^_^？

12. IE工具栏（菜单）被添加网站链接
大家都知道，我们常用的软件如Flashget、ICQ等在安装后，会向IE的工具栏（菜
单）中添加它们的快捷方式。现在有些网站也通过恶意脚本修改注册表来达到同样
的效果。下面就让我们来解决这个问题，请把注册表定位到：
HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Internet Explorer＼Extensions，
您会看到在该主键下有一些形同"{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"的子
键，仔细查看一下您就会明白，这些子键就是解决问题的关键所在，现在您只需将
包含恶意网站链接的那个子键删除即可。另外，如果在HKEY_CURRENT_USER＼
Software＼Microsoft＼Internet Explorer＼Extensions＼CmdMapping下有和您删
除的形同{X......X}一样键值的值项，也请将它删除。完成后关闭注册表编辑器，
重新打开一个IE窗口，看看工具栏（菜单）是不是已经恢复了？其实利用这个特性
我们还可以DIY一个属于自己的个性工具栏。

四、说明
1. 注册表是Windows系统的核心部分，对它的修改一旦出现错误就很容易造成系统
崩溃。因此，如果您在此之前没有这方面的经验，建议您采用文中提到的两个工具
进行反修改；如果您希望借此机会了解和熟悉Windows注册表，那么建议您在修改
前做好全面备份，以备今后恢复之用；

2. 现在的恶意脚本日趋复杂，往往是几段脚本程序混合使用，这可能需要您在反
修改时灵活运用文中所提到的技巧。

最后，奉劝各位仍在使用此类脚本网页的站长，这种偃苗助长的做法不可能为你带
来稳定的访问量，反而降低了你网站的品味。请为网络留出一片净土吧！

--
 。▍ ★∴
　　　．．．．▍▍.． █▍ ☆ ★∵ ..../
 ◥ Charels █ 祝你 ██天天快乐 ██◤
 ◥███████████████◤
 ◥█████████████◤
海上升明月 天涯共此时

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.1.155]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店