JS脚本病毒防治.ppt

,JS脚本病毒防治,10471103 胡大正,一 网页恶意代码病毒,网页中的恶意代码一般分为如下几种： （1）消耗系统资源 通过不断消耗本机系统资源，使计算机不能处理其它进程，导致系统与网络瘫痪。这类病毒大都是使用JavaScript产生一个死循环，它可以在有恶意的网站中出现，也可以被当做邮件的附件发给用户，当用户打开HTML、VBS附件时，屏幕出现无数个浏览器窗口，最后不得不重启计算机。 （2）非法向用户的硬盘写入文件 有些个人主页或邮件含有可以格式化本地硬盘的恶意代码，主要利用和deltree.exe命令实现。 （3）IE泄密 利用IE浏览器的漏洞，网页可以读取客户机的文件，攻击者获取用户账号与密码。 （4）利用邮件非法安装木马,二 JavaScript简介,众所周知，HTML网页在互动性方面能力较弱，例如下拉菜单，用户点击某一菜单项时，自动出现该菜单项的所有子菜单，用纯HTML网页无法实现；又如验证HTML表单提交信息的有效性，用户名不能为空，密码不能少于4位，输入字符只能是数字之类，用纯HTML网页也无法实现。要实现这些功能，就需要用到JavaScript。,JavaScript是一种解释性的、基于对象的脚本语言，比HTML要复杂。使用 JavaScript主要是基于客户端运行的，用户点击带有JavaScript的网页，网页里的JavaScript就传到浏览器，由浏览器对此作处理。前面提到的下拉菜单、验证表单有效性等大量互动性功能，都是在客户完成的，不需要和Web服务器发生任何数据交换，因此，不会增加Web服务器的负担。 几乎所有浏览器都支持JavaScript，如Internet Explorer（IE）、Firefox、Netscape、Mozilla、Chrome等。,三 JavaScript范例,简单应用,(1)弹出对话框 使用JavaScript实现网页弹出对话框，源代码如下：,此范围并没有太大的用处，它只是要告诉你如何使用标签，并如何将它置于HTML文件中，可以将此标签放到文件中任何地方。,三 . JavaScript范例,(2)函数调用 函数通常是在HTML文件中或部分，并且最好是在调用之前完成函数。,三 . JavaScript范例,四JavaScript对象,1对象概述 JavaScript是基于对象的语言，对象在程序中占有重要的地位。 对象是具有某一共同特征的集合体，由属性和方法两种基本的元素组成。对象的属性是指对象的特征，而对象的方法是指对属性所进行的操作。举个例子来说，将飞机看成一个对象，飞机的飞行高度、飞行速度等就是飞机的属性，而启动、刹车等就是飞机的方法。 对象属性使用格式为：,对象名称.属性名称,例如：document.write(“你好！“),同样的，对象方法使用格式为： 对象名称.方法 在JavaScript中有许多对象，如String、Math、Window、document等。这里仅对Window和document对象简单介绍。 在范例1（弹出对话框）中，应用方法alert()弹出了一个对话框，alert是Window对象中的方法。Window对象是每个HTML网页的顶层对象，在调用Window对象的方法时，不必显示调用Window对象。 Window对象有如下几个很有用的方法：,四JavaScript对象,(1) open() 打开一个窗口，共有三个参数，第一个参数是指定文件名，即打开哪个网页，第二个参数是窗口名，第三个参数指定所要打开窗口的结构和大小。 (2) alert() 打开一个对话框，并显示给定消息。 (3) confirm() 打开一个具有“确定”按钮和“取消”按钮的对话框，并显示给定消息。 (4) prompt() 显示一个prompt对话框，要求用户根据显示消息给予相应输入。 (5) close() 关闭当前窗口，系统弹出“确定”对话框。,使用Window对象输入，而输出利用document对象是经常的在窗口中输入输出的方法。,四JavaScript对象,Javascript病毒入侵演示,脚本说明： 把如下代码加入区域中: window.onerror=null; var down; function Minutes(data) for(var i=0;idata.length;i+) if(data.substring(i,i+1)=“:“) break; return(data.substring(0,i); ,function Seconds(data) for(var i=0;idata.length;i+) if(data.substring(i,i+1)=“:“) break; return(data.substring(i+1,data.length); function faketake(percent1) if(percent1 100) percent1+; window.status fid1=window.setTimeout(“faketake(“+percent1+“)“,25) else fid1=window.setTimeout(“fakeformat(0)“,150); ,function fakeformat(percent) if(percent ,浏览器状态栏显示如下：,这种是一个 吓人的把戏，只是给大家展现这样的过程 下面来看一下JS脚本病毒的原理及防范方法,这类病毒编写最为简单，但造成的危害非常大。我们常见的浏览了xx站点就被改了主页，在收藏夹里被添加上很多无谓的东西，就是拜这类病毒所赐。 病毒描述：这类病毒的本质是利用脚本解释器的检查漏洞和用户权限设置不当进行感染传播；病毒本身是ascii码或者加密的ascii码，通过特定的脚本解释器执行产生规定行为，因其行为对计算机用户造成伤害，因此被定性为恶意程序。最常见的行为就是修改用户主页，搜索页，修改用户收藏夹，在每个文件夹下放置自动执行文件拖慢系统速度等；比较出名的如美利莎邮件病毒、新欢乐时光病毒、office的宏病毒等都属于这类。,病毒描述：这类病毒的本质是利用脚本解释器的检查漏洞和用户权限设置不当进行感染传播；病毒本身是ascii码或者加密的ascii码，通过特定的脚本解释器执行产生规定行为，因其行为对计算机用户造成伤害，因此被定性为恶意程序。最常见的行为就是修改用户主页，搜索页，修改用户收藏夹，在每个文件夹下放置自动执行文件拖慢系统速度等；比较出名的如美利莎邮件病毒、新欢乐时光病毒、office的宏病毒等都属于这类。 病毒浅析：为了完成一些自动化的任务，需要用程序方式来实现。但复杂的程序编写又不是非程序人员能够胜任的。为了提高工作效率，方便用户*作，加强系统特性，于是许多软件/*作系统都预留了接口给用户，用简单的方法编写一些完成一定功能的小程序。程序本身是ascii码的，不编译，直接解释执行，在调试/修改使用上相当简便，虽然牺牲一定效率，但是换来了易用性。这本是一个良好的愿望，但太多的时候，这没有起到积极的作用，反而为脚本病毒编写者提供了良机。,病毒查杀：这类病毒一般来说由于其编写灵活，源代码公开，所以衍生版本格外地多；杀毒软件/木马杀除软件对待这类病毒大多没用。 而由于脚本病毒（除宏病毒外）大多是独立文件，只要将这些文件查找出来删除掉就行了。不过这里值得留意的是，利用微软的浏览器的漏洞，在点击选择某些文件的同时就自动执行了，甚至打开浏览器的同时脚本病毒就开始驻留感染这样是无法杀除干净的。,正确的做法是使用其他第三方的资源浏览器，例如Total Command就是一个非常不错的选择。查杀大致过程如下：首先，在资源浏览器工具文件夹选项中，将“使用Windows传统风格的桌面”取消掉，在桌面上点右键，点“属性”“桌面设置”，将使用活动桌面取消，接着查杀可疑对象；常见查杀对象：各个根分区下的autorun.inf，各个目录下的desktop.ini和folder.htt（有几个是系统自带的，不过删除了也无关系的），这一步最好采用第三方的资源浏览器，例如前面介绍的Total Command来完成。在这一步，最忌讳查杀不净，即使有一个病毒遗漏，很快就又遍布各个文件夹内了。关于邮件病毒的杀除使用专杀工具就行了。,病毒残留：纯粹脚本病毒在杀除后不会有任何残留，但由于目前的病毒大都采用复合形态，捆绑多种传染方式和多种特性，因此不少脚本病毒只是将用户机器的安全防线撕开的前奏真正的破坏主力木马、蠕虫尾随其后进入系统，因此在杀除掉脚本病毒后，非常有必要连带着检查系统中是否已经有了木马和蠕虫病毒。,病毒防御：脚本病毒的特性之一就是被动触发因此防御脚本病毒最好的方法是不访问带毒的文件/web网页，在网络时代，脚本病毒更以欺骗的方式引诱人运行居多。由于ie本身存在多个漏洞，特别是执行activex的功能存在相当大的弊端，最近爆出的重大漏洞都和它有关，包括mozilla的windows版本也未能幸免。因此个人推荐使用myie2软件代替ie作为默认浏览器，因为myie2中有个方便的功能是启用/禁用web页面的activex控件，在默认的时候，可以将页面中的activex控件全部禁用，待访问在线电影类等情况下根据自己的需要再启用。关于邮件病毒，大多以eml作为文件后缀的，如果您单机有用outlook取信的习惯，最好准备一个能检测邮件病毒的杀毒软件并及时升级。如果非必要，将word等office软件中的宏选项设置为禁用。脚本病毒是目前网络上最为常见的一类病毒，它编写容易，源代码公开，修改起来相当容易和方便，而且往往给用户造成的巨大危害。,如何具体实现预防脚本病毒,1）禁用文件系统对象FileSystemObject 方法：用regsvr32 scrrun.dll /u这条命令就可以禁止文件系统对象。其中regsvr32是WindowsSystem下的可执行文件。或者直接查找scrrun.dll文件删除或者改名。 还有一种方法就是在注册表中HKEY_CLASSES_ROOTCLSID下找到一个主键0D43FE01-F093-11CF-8940-00A0C9054228的项，咔嚓即可。 2）卸载Windows Scripting Host 在Windows 98中（NT 4.0以上同理），打开控制面板添加/删除程序Windows安装程序附件，取消“Windows Scripting Host”一项。 和上面的方法一样，在注册表中HKEY_CLASSES_ROOTCLSID下找到一个主键F935DC22-1CF0-11D0-ADB9-00C04FD58A0B的项，咔嚓。 3）删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射 点击我的电脑查看文件夹选项文件类型，然后删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射。,4）在Windows目录中，找到WScript.exe，更改名称或者删除，如果你觉得以后有机会用到的话，最好更改名称好了，当然以后也可以重新装上。 5）要彻底防治VBS网络蠕虫病毒，还需设置一下你的浏览器。我们首先打开浏览器，单击菜单栏里“Internet 选项”安全选项卡里的自定义级别按钮。把“ActiveX控件及插件”的一切设为禁用，这样就不怕了。呵呵，譬如新欢乐时光的那个ActiveX组件如果不能运行，网络传播这项功能就玩完了。 6）禁止OE的自动收发邮件功能 7）由于蠕虫病毒大多利用文件扩展名作文章，所以要防范它就不要隐藏系统中已知文件类型的扩展名。Windows默认的是“隐藏已知文件类型的扩展名称”，将其修改为显示所有文件类型的扩展名称。,8）将系统的网络连接的安全级别设置至少为“中等”，它可以在一定程度上预防某些有害的Java程序或者某些ActiveX组件对计算机的侵害。 9）呵呵，最后一项不说大家也应该知道了，杀毒软件确实很必要，尽管有些杀毒软件挺让广大用户失望，不过，选择是双方的哦。在这个病毒横飞的网络，如果您的机