关于浏览器劫持的一些知识和常用解决办法.

浏览器劫持是一种恶意程序，通过浏览器插件、BHO（浏览器辅助对象）、WinsockLSP等形式对用户的浏览器进行篡改，使用户的浏览器配置不正常，被强行引导到商业网站。 　　所谓浏览器劫持是指网页浏览器（IE等）被恶意程序修改。常见现象为主页及互联网搜索页变为不知名的网站、经常莫名弹出广告网页输入正常网站地址却连接到其他网站。收藏夹内被自动添加陌生网站地址等等。 　　下面我们就来了解一些对付浏览器劫持的方法： 　　1.编辑hosts文件. 　　HOSTS文件存在于Windows目录下的System32\\Drivers\\Etc目录中。如果恶意网页将正常的域名映射到恶意网页的IP地址，则输入正常网址便会连接到恶意程序指定的网页上。 　　当输入正常的网址却被打开一个不知名的网站，则很有可能是因为HOSTS文件被修改了。用记事本打开这个文件，手工删除被恶意程序添加的项目并保存文件，就可以正常访问你要浏览的网站了（如果你从未使用过该文件，则直接删除所有内容后保存也可）。 　　具体方法到下面这个网址看看： http://tech.163.com/05/0516/13/1JSKHGTB00091589.html 　　另外瑞星的卡卡社区里有一个专门收集恶意劫持网站的hosts文件下载，下载后覆盖原文件即可。 　　2.修改注册表项目 　　IE浏览器的主页地址、浏览器标题、默认搜索页地址等信息都是记录在系统注册表当中的，恶意程序通过对注册表的修改就可以控制这些项目的内容。 　　我们可以使用各大杀毒软件附带的注册表修复工具对注册表进行修复。 　　3.通过浏览器加载项方式及木马进行劫持： 　　一些恶意程序作为IE加载项（Plugins）的方式启动自己，每次IE浏览器后都会自动运行恶意程序。通常恶意程序用来定时弹出广告，在IE的右键菜单中添加恶意网站链接以及动态修改注册表等。另外木马方式运行的浏览器劫持程序，目的与浏览器加载项方式类似，只是自启动方式不同。这种木马方式的劫持程序运行更隐蔽，清除更复杂，可以自动更新程序，并且可能同时具备上面的几种劫持方式。 　　对于这2种浏览器劫持方式处理起来比较麻烦，这里推荐一个小软件－－IE清道夫Upiea 　　使用方法:http://news.onlinedown.net/info/9986-1.htm 　　下载：http://download.enet.com.cn/html/013612004112401.html 　　4.对于单一的弹出网站（网页），你可以试试下面的方法： 　　找到（复制）它的地址。 　　然后在IE里通过：工具－－Internet选项－－安全，点击“请为不同区域的Web内容指定安全设置”下的“受限站点”，然后点击下面的“站点”按钮，然后在“将该网站添加到区域”中将这个网站复制进去，点击“确定”即可。 　　定义分类 　　“浏览器劫持”，通俗点说就是故意误导浏览器的行进路线的一种现象，常见的浏览器劫持现象有：访问正常网站时被转向到恶意网页、当输入错误的网址时被转到劫持软件指定的网站、输入字符时浏览器速度严重减慢、IE浏览器主页/搜索页等被修改为劫持软件指定的网站地址、自动添加网站到“受信任站点”、不经意的插件提示安装、收藏夹里自动反复添加恶意网站链接等，不少用户都深受其害。 　　浏览器劫持从软件方面来说，它是一种恶意程序，通过DLL插件、BHO、WinsockLSP等形式对用户的浏览器进行篡改，使用户浏览器出现访问正常网站时被转向到恶意网页、IE浏览器主页/搜索页等被修改为劫持软件指定的网站地址等异常情况。 　　浏览器劫持从技术方面来说，它是一种常见的在线攻击类型，黑客可通过这种方式控制的计算机的浏览器，并更改网上冲浪的方式和冲浪时所显示的内容。 　　浏览器劫持分为多种不同的方式，从最简单的修改IE默认搜索页到最复杂的通过病毒修改系统设置并设置病毒守护进程，劫持浏览器，都有人采用。 　　浏览器一旦被劫持，就意味这用户无法决定自己的电脑里将被存放进什么资料，这无疑存在巨大安全隐患。而如今的互联网络环境可谓处处是“浏览器劫持”式的陷阱，单凭普通用户被动的事后修正无异于亡羊补牢；更多的需要全世界互联网使用者把好公众舆论和道德走向一关。 　　判断方法 　　包括以下异常行为： 　　1、计算机上的主页或其他设置已被更改，包括增加了一些指向通常会避免的网站的链接。 　　2、无法浏览某些网页，例如反间谍软件和其他安全软件站点。 　　3、出现级联弹出窗口。屏幕上出现看似无穷无尽的连环广告弹出窗口。 　　4、安装了新的工具栏或收藏夹，并提供指向您不需要的网页的图标和链接。 　　5、减慢计算机的运行速度。恶意软件会减慢计算机的运行速度。 　　“浏览器劫持”的攻击手段可以通过被系统认可的“合法途径”来进行。所谓“合法途径”，即是说大部分浏览器劫持的发起者，都是通过一种被称为“BHO”(BrowserHelperObject，浏览器辅助对象)的技术手段来植入系统。 　　而BHO是微软早在1999年推出的作为浏览器对第三方程序员开放交互接口的业界标准，它是一种可以让程序员使用简单代码进入浏览器领域的“交互接口”，由于BHO的交互特性，程序员还可以使用代码去控制浏览器的行为，比如常见的修改替换浏览器工具栏、在浏览器界面上添加自己的程序按钮等操作，这些操作都被系统视为“合法”，这就是“浏览器劫持”现象赖以存在的根源。  　　浏览器劫持的攻与防 　　浏览器劫持”，通俗点说就是故意误导浏览器的行进路线的一种现象，常见的浏览器劫持现象有:访问正常网站时被转向到恶意网页、当输入错误的网址时被转到劫持软件指定的网站、输入字符时浏览器速度严重减慢、IE浏览器主页/搜索页等被修改为劫持软件指定的网站地址、自动添加网站到“受信任站点”、不经意的插件提示安装、收藏夹里自动反复添加恶意网站链接等，不少用户都深受其害。那么，这类现象是如何引起的呢?用户又该如何防范应对呢?这就是本文要介绍的内容。 　　一、“攻”之解说 　　1、整体认识。浏览器劫持(Browser Hijack)是一种恶意程序软件，通过恶意修改用户个人电脑的浏览器默认设置，以引导用户登录被其修改的或并非用户本意要浏览的网页。大多数浏览器劫持者是在用户访问其网站时，通过修改其浏览器默认首页或搜索结果页，达到劫持网民浏览器的目的。这些载体可以直接寄生于浏览器的模块里，成为浏览器的一部分，进而直接操纵浏览器的行为。“浏览器劫持”的后果非常严重，用户只有在受到劫持后才会发现异常情况;目前，浏览器劫持已经成为Internet用户最大的威胁之一。 　　2、现象分析。 “浏览器劫持”的攻击手段可以通过被系统认可的“合法途径”来进行。所谓“合法途径”，即是说大部分浏览器劫持的发起者，都是通过一种被称为“BHO”(Browser Helper Object，浏览器辅助对象)的技术手段来植入系统。而BHO是微软早在1999年推出的作为浏览器对第三方程序员开放交互接口的业界标准，它是一种可以让程序员使用简单代码进入浏览器领域的“交互接口”， 由于BHO的交互特性，程序员还可以使用代码去控制浏览器的行为，比如常见的修改替换浏览器工具栏、在浏览器界面上添加自己的程序按钮等操作，这些操作都被系统视为“合法”，这就是“浏览器劫持”现象赖以存在的根源。 　　二、“防”之细谈。 　　这类现象确实难以防范，用户永远处于被动地位。我们只能通过一些设置与软件的应用，让这种影响减至最低。以下办法可供大家参考。 　　1、个别劫持现象的手动修正。 Windows登录窗口被劫持。在注册表中打开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon分支，然后将其下的“LegalNoticeCaption”和“LegalNoticeText”主键删除即可解决问题。 在网页中单击鼠标右键，在弹出的菜单里显示网页广告。 在注册表中打开HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt分支，IE浏览器中显示的附加右键菜单都在这里设置，常见的网际快车单击右键下载的信息也存放在这里，只需找到显示广告的主键条目删除即可。 　　2、通用修正法。虽然“浏览器劫持”一般都需要手工修正，但仍可以通过一些检测浏览器劫持工具如HijackThis、Browser Hijack Recover等来实现修正工作。下面以HijackThis为例，简要说明修正过程。 　　软件下载地址:http://www.mydown.com/soft/187/187841.html。下载完成后双击即可启动到如图所示主界面。单击左下角“扫描”按钮，软件会自动对系统进行全方位的安全检测;稍等之后即会返回系统中所有可疑内容，每个可疑项目前都有一个编号，这些编号代表了不同的类别;勾选某个项目后单击右下角的“显示所选项目信息”按钮可以查看到更详细的信息;然后单击“修复”按钮即可进行修复。 　　三、总结 　　　　浏览器劫持 防御 　　定义：浏览器劫持是一种恶意程序，通过浏览器插件、BHO（浏览器辅助对象）、Winsock LSP等形式对用户的浏览器进行篡改，使用户的浏览器配置不正常，被强行引导到商业网站。 　　所谓浏览器劫持是指网页浏览器（IE等）被恶意程序修改。常见现象为主页及互联网搜索页变为不知名的网站、经常莫名弹出广告网页输入正常网站地址却连接到其他网站。收藏夹内被自动添加陌生网站地址等等。 　　下面我们就来了解一些对付浏览器劫持的方法： 　　1.编辑hosts文件 　　HOSTS文件存在于Windows目录下的System32\Drivers\Etc目录中。如果恶意网页将正常的域名映射到
恶意网页的IP地址，则输入正常网址便会连接到恶意程序指定的网页上。 　　当输入正常的网址却被打开一个不知名的网站，则很有可能是因为HOSTS文件被修改了。用记事本打开这个文件，手工删除被恶意程序添加的项目并保存文件，就可以正常访问你要浏览的网站了（如果你从未使用过该文件，则直接删除所有内容后保存也可）。 　　具体方法到这个上去看看 http://tech.163.com/05/0516/13/1JSKHGTB00091589.html 　　另外瑞星的卡卡社区里有一个专门收集恶意劫持网站的hosts文件下载，下载后覆盖原文件即可。 　　2.修改注册表项目 　　IE浏览器的主页地址、浏览器标题、默认搜索页地址等信息都是记录在系统注册表当中的，恶意程序通过对注册表的修改就可以控制这些项目的内容。 　　我们可以使用各大杀毒软件附带的注册表修复工具对注册表进行修复。 　　3.通过浏览器加载项方式及木马进行劫持： 　　一些恶意程序作为IE加载项（Plugins）的方式启动自己，每次IE浏览器后都会自动运行恶意程序。通常恶意程序用来定时弹出广告，在IE的右键菜单中添加恶意网站链接以及动态修改注册表等。另外木马方式运行的浏览器劫持程序，目的与浏览器加载项方式类似，只是自启动方式不同。这种木马方式的劫持程序运行更隐蔽，清除更复杂，可以自动更新程序，并且可能同时具备上面的几种劫持方式。 　　对于这2种浏览器劫持方式处理起来比较麻烦，这里推荐一个小软件－－IE清道夫Upiea 　　使用方法:http://news.onlinedown.net/info/9986-1.htm 　　下载：http://download.enet.com.cn/html/013612004112401.html 　　4.对于单一的弹出网站（网页），你可以试试下面的方法： 　　找到（复制）它的地址。 　　然后在IE里通过：工具－－Internet选项－－安全，点击“请为不同区域的Web内容指定安全设置”下的“受限站点”，然后点击下面的“站点”按钮，然后在“将该网站添加到区域”中将这个网站复制进去，点击“确定”即可。

同意