IntemetExplorer是使用最广泛的网页浏览器,但由于其支持JavaScript脚本、ActiveX控件等元素,也使得它在浏览网页时留下了不少安全隐患。
在网上冲浪的人都知道,有一些网站充斥着大量足以让访问者的浏览器崩溃的动画、广告条、弹出式窗口、刺耳的音乐,以及无休无止的层层叠叠的打开充满色情内容的窗口。
这些网站总是有意或者是无意用一些设计技巧强行把来访者“沾”在这里,直到令其发狂。
7.1 揭开网页恶意攻击的神秘面纱
用恶意网页进行攻击可以强行修改用户操作系统的注册表设置及系统实用配置程序,或非法控制系统资源盗取用户文件,或以恶意删除硬盘文件、格式化硬盘为行为目标的非法恶意程序。一旦浏览了含有该病毒的网页,即可在不知不觉的情况下马上中招,并且完全不受用户的控制,为系统带来不同程度的破坏。
7.1.1 剖析网页攻击的恶意代码
网站的恶意代码没有足够的权限安装其软件、在起始文件夹中复制文件或更改浏览器主页或搜索提供商的设置。IE低权限功能的主要目的是限制安全漏洞造成的影响。
因此,如何利用网页来对访问者实施攻击,这大概是所有网友都关心的问题。因为不管是有心攻击别人还是无意浏览网页,都需要能够做到确保自己不被攻击。因此,下面就来看一下网页攻击者的这项技术或者叫攻击大法。
这里所讲的主要是利用Microsoft的IE浏览器所衍生出来的攻击方法,以下这段就是具有破坏性的HTML:
不过,即使看不明白也没关系,现在就来解释一下其中几个项目的意思:
“scr.Path=”C:Wmdows enuPrograms启动hack.hta”就是指当用户只要访问到该网页,它就会自动写入到用户的计算机启动目录下,并将其命名为hack.hta。
“wsh.Run(’start.exe /at c:/q /autotest,u)”就是实施攻击的语句,通常要格式化硬盘时都会先向用户询问是否需要执行,但”/autotest”项允许在输入后强制执行Forma的动作,该项中的,q、/u可令系统快速执行格式化破坏。而如果start.exe再配台/m选项,则可以使Format的DOS-prompt视窗在执行时处于最小化状态而不易被对方发现。
执行其他攻击指令时只要修改“startexe hn format c:/q /autote:st,u”项便可以实现了。
当然了,也可以将Format命令替换为其他具有破坏性的命令,如:
start,.exe /m deltree,y a:*.+c:*,*d:*,* (用于删除对方硬盘上的所有信息)start.exe /m deltree,y c:\windostem*.*(用于删除对方c:\windows\system下所有信息)
如果想要预防遭此手段的破坏,只要到Microsoft网站升级更新IE即可。对于没有进行升级更新的IE,在感染到此类病毒后,则可能会出现“当前的页面含有不完全的ActiveX,可能会对你造成危害,是否执行?”这样的提示框,单击Yes按钮则会迅速格式化硬盘(后台运行)。
因此,对于机器上许多时候突然出现的一些莫名其妙的提问,千万不要轻易回答“是”,最好是按下CLrI+Ait+Delet组合键来调出【进程管理】窗口,将其关闭即可。
7.1.2并非花开绚烂的“万花谷”病毒
笔者曾经在打开3种防火墙的情况下进入一个叫“万花谷”的网站,居然没有-一个防火墙报警,鼠标马上变慢,当离开该网站时,突然弹出了无数个IE新窗口,没等来得及关闭Windows就已经没了反应,按ctrI+Alt+Delete组台键关闭但却马上出现了蓝屏并完全死机了。
重启后出现提示信息:“欢迎你来到万花谷,你中了‘万花病毒’,请与QQ: 4040465联系”,单击【确定】按钮后可进入Windows系统但桌面上已空空如也,单击【开始】菜单后发现【关机】、【运行】两项均消失,再次重启后依然如此。这种情况表明,该机器已经感染了一个俗称“万花谷”的脚本病毒!
下面就进入“万花谷”来看一看其是如何实施攻击的。
①该病毒是嵌在HTML网页中的一段Java脚本程序,但用【查看源文件】的方法查看感染“万花谷”病毒的网页代码时,只能看到一大段的杂乱字符。该病毒采用JavaScript的escapeO函数进行了字符处理,以增强其隐蔽性,把某些符号、汉字等变成乱码以达到迷惑人的目的(程序运行时再调用unescape()解码到本地机器上运行)。
②该病毒的感染主要是通过修改或设置如下的注册表项来实现的:
设置H KEY_CURRENT_U SERS oftw are\MicrosomWindow vCummt\;hsion\Policies\Explorer\NoRun为OI(取消【开始】菜单上的【运行】项)。
设置HI<EY- CURRENT_USER.Software\MicrosofOJ)Vindowi∞、Policies\Exploret\NoClose为OI(取消【开始】菜单上的【关闭】项)。
设置HKEY_CURREtVersion\Policies\ExplorefiNoLogOff为Ol(取消【开始】菜单上的【注销】项)。
设置HKEY_CURRIWT_US ER\Softwarc\Microsott/Wndo、Explorer\NoDrives为00000004(取消对C:盘的访问权限),
设置HKEY_CURRENT_USER\S ottw are/MicroaofV.Nindow s\CurnntVersion\l-olicies\System\DisahlcRegis”ools为OOOOOOOI(使注册表工具不可用)。
设置HKEY_CURRare\Microsoft\Wdows\CbrrentVersion、Polieies\Explorer、NoDesktop为00000001(取消桌面)。
设置HKEY_CURRfi:ware\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\Disabled为OOOOOO01(原DOS程序小可用)。
设置HKEY_ CURREre\Microsoft\Windows\CurrentVersion\Policie.s\WinOldApp\NoRealMode为00000001(不能进入DOS方式)。
设置HKEY_L(X:AL Mare\MicrosomWindows\CurrerU Version\Winlogon\LegaINotce Caprion为“欢迎来到万花谷!你中了※万花奇毒※。”(设置登录窗口的标题为“欢迎来到万花谷!你中了※打花奇毒X.请与OICQ:4040465联系!”)。
设置HKEY_LOCAL_MACfflNE\Software\MicrosoR\Windows\CurrentVersion\Winlogorl、LegalNoticeText为“欢迎来到万花谷!你中了※万花奇毒※(设置登录窗口的提示为“欢迎来到万花谷!你中了※万花奇毒※.请与OICQ:4040465联系!”)。
设置HKEY_LOCAL_MACHINEISoftwan:ain\WindowTiOe为“欢迎来到万花谷!你中了※万花奇毒※(设置IE窗口的标题为“欢迎来到万花谷!你中了※万花奇毒※.请与OICQ:4040465联系!”)。
修改HKEY_CURRENT_USER\Software\Microsofi\lneernet ExplorerlMain\StartPage为“”(设置主页链接)。
另外,该病毒还会在收藏夹中增加相应的链接。
此病毒虽然很厉害,但还是有解决方法的,如下:
这样,以后再上网浏览时就不用担心脚本类病毒的攻击了,不过所带来的负面效果是,正常网页中所有通过脚本程序实现的网页特效也将全部被禁止了
7.2摆脱网页恶意代码的陷害
在浏览网页的过程中,还经常会遇到偷偷篡改IE标题栏的网页代码。许多网友纷纷指出有的网站更是不择手段,当用户访问过它们的网页后,不仅Ie默认酋页被篡改了,而且每次开机后IE都会自动弹出访问该网站。
7.2.1 剖析Office宏删除硬盘文件的攻击
如果某些别有用心者在其恶意网页中使用了Office宏(使用Office时可以在宏中加入一些VBA代码,从而执行一些命令),则可以在访问者浏览该网页时删除访问者硬盘中的文件,或者格式化其磁盘的分区。如果用户不小心浏览了上述的恶意网页.Windows系统重新启动后,硬盘中的文件就有可能被删除,甚至整个磁盘分区被格式化。
下面以Excel 2000为例来演示一下如何在Office文件中制作一个带有删除文件功能的宏。
①如图7-3所示,打开Excel并选择【工具→一【宏】→【Visual Basic编辑器】命令,
在打开的lfisual Basic编辑窗口中即可编辑Excel文件中宏的Visual Basic代码了,如图7—4所示。
②选择工作簿( Wotkbook)对象thisWo展开Visual Basic编辑器窗口右边的第一个下拉列表框,如圈7—5所示,选择Wodcbook选项,为rllusWorkbook中的Open事件添加代码,此时Visual Basic编辑器窗口如图7-6所示。
③这时即可看到Visual Basic编辑器自动为Workbook的Open事件创建了一个过程Workbook_Open,这个过程在Excel文件打开时就会被执行。
④在该过程Workbook_Open中添加删除硬盘文件的Visual Basic代码,例如“kiU”d:、del*.*””,’它表示删除D盘de1目录下的所有文件。最后将该Excel文件保存为Bookl. xls即可。当在Excel 2000文件Bookl. xls中制作带有删除文件功能的宏之后,就可以制作包含Bookl. xls的网页了。
具体制作步骤如下;
①利用FrontPage、Dreamweaver编辑器或一般的文本编辑器(如“记事本”、“写字板”等),创建一个Html文件,它的页面如图7-6所示,其HTML源代码如图7.7所示。
②把新建的网页跟Bookl.xls文件放在同一个文件夹(在Bookl.xls文件名之前不用添加文件路径).然后在新建的网页中对这个带有宏的Excel文件进行伪装,
③单击新建阿页中的【很好玩的哦】超链接,则会打开如图7-8所示的宏提示对话框。
④单击该宏提示对话框中的【是】按钮,则Bookl. xls中的宏将被执行,删除D:\test的所有文件并在IE浏览器中打开Excel文件Bookl. xls.如图7-9所示。
如果单击宏提示对话框中的【否】按钮,则Bookl. xls中的宏就不会运行,但如果在Excel中设置不当-则打开包奢宏的Excel文件时,宏提示对话框将不会出现,而是直接就去执行其所包含的宏了。如果此时将上述的网页和包含恶意宏的Excel X件放到网上,并把要删除文件的文件夹改成其他更为重要的文件夹,例如c:\WiⅡdows,那么当该网页?
被浏览时,如果来访者单击了宏提示对话框中的【是】按钮或宏在不进行提示的情况下,就已经直接运行了,则用户计算机上的文件将会被Excel文件中的宏“悄悄”删除。
7.2.2剖析ActiveX对象删除硬盘文件的攻击
下面的例子演示了如何在网页中使用ActiveX对象来删除硬盘中的文件。
①如图7-10所示是一个包含Active X对象的网页源代码。
②只要将IE中的ActiveX控件项设置为禁用就可以在打开新制作的网页时。看到出现的ActiveX控件提示对话框。单击【是】按钮后网页将在启动区中建立文件Delete.xla.
③重新启动系统时将自动运行Delete. xla文件并执行其中的DOS命令“deltree,yd:*.*’,删除D盘中的所有文件。
把上述网页放到网上之后,只要来访者浏览了该网页,则其计算机D盘中的文件就会被自动删除了。
7.2.3如何防止硬盘文件被删除
对于上网用户而言,尽管恶意网页可以说是越来越防不胜防了,但如果在浏览时能够提高安全意识的话,那么,被攻击的可能性就可能会降到最低。
在使用Office时一定要提高宏的安全性设置,具体方法如下:
对于网页中的ActiveX控件要限制其使用(ActiveX控件是Internet上传播病毒和进行攻击的重要手段),具体方法如下:
①选择IE浏览器的【intemet属性】对话框中的【安全】选项卡。
②单击【安全】选项卡中的【自定义级别】按钮,打开ActiveX安全设置对话框,在该对话框中尽量调高ActiveX控件的安全级别。
③对于标记为可安全执行脚本的ActiveX控件,一般可以设置为启动。
④对于没有标记为安全的AcUveX控件,一般情况下要禁用。
⑤对于未签名的ActiveX控件的下载,一般情况下也要禁用。
7.2.4如何清除恶毒网站的恶意代码
由于上网的缘故,开机出现一大堆的网页自然是最常见的了,找个笔和纸记下网址中的关键字(就是www.关键字.net或.com),然后打开注册表,接着选择【编辑】→【查找】命令,输入关键字进行检索即可。
找到的分两种情况处理:
④ 在H KE Y_C URRENT_USER\S oftware\Micro softllntemetExploY_LOCAL_MACfflNE\Sottware\MicrosoffllntemeL ExplordVvkin中改成想要的主页网址。
②其余的统统删除掉,最好一个也不要保留。
@删除完后执行【开始】→【程序】→【附件】→【系统工具】→【系统信息】。找到工具中的【系统配置实用程序】并选中【启动】单选按钮,如图7-13所示,把带有.url、.htm后缀以及所有网址样式勾选掉,确定后先选择不重启。
④到C盘下看有没有网页样式的文件(*Phtm),网页样式的文件都带有一个微软的大“E”标志(大多都是隐藏的,所以之前要让所有文件可见).找到后将其删除。
⑤查找完C盘后进^ windows\system文件夹继续追查,此时建议把“查看”设置为按Web页查看,找到网页样式的文件后,左侧的描述就会显露出它的原形,一般是某某网址,将其删掉即可!
最后重启系统,一般情况下,90%的恶毒网站都会被清除的。
7.3最让人心有余悸的IE炸弹
当用IE浏览埋伏了IE窗口炸弹的阿页时,将会不断地弹出新窗口或打开非常耗费系统资源的窗口,最后造成用户的系统不稳定或Windows资源耗尽而死机。
7.3.1 IE炸弹攻击的表现形式
IE窗口炸弹攻击的主要表现形式有死循环、打开窗口死循环、不间断发文件和耗尽CPU资源等几种形式,下面对其进行一些简单介绍。
1、死循环
死循环是指在执行一段网页包含的代码段之后将陷入无穷的循环,最终导致耗尽系统资源。如图7-14所示即为一个包含死循环代码网页的html源代码。
该段代码在IE浏览器中显示的网页如图7-15所示,其划线部分代码中的“onmouseover=”while(l)(’l’)”是导致死循环的原因。
2、打开窗口死循环
如图7- 16所示的代码就是包含打开窗口死循环代码的网页例子,只要把该段网页代码加入到上述网页代码中,在该网页被浏览时就会不停地弹出新的窗口,想必大家在浏览网页时都遇到过这种情况吧
3、耗尽CPU资源
如图7-17所示的网页代码就是一个使CPU超负荷的例子,其攻击原理是通过设置超出 CPU处理范围的大图片来使CPU超出负荷。虽然不会造成什么危害,但还是不要随便乱试,否则就只好重新启动机器了。
7.3.2IE死机共享炸弹的攻击
所谓ie死机共享炸弹其实就是利用共享炸弹在IE中对访问者实施攻击,共有5个设备或设备驱动程序可以使系统崩溃,它们分别是CON、NUL、AUX、CLOCK$和CONFIG。
把上述5个设备组合起来形成一个路径。如CONINUL,NUL\CON,AUX\NUL,只要请求成功.Windows系统就将崩溃。
如果目标计算机上存在共享,不管该共享资源是否设置密码,都可以通过该办法使系统崩溃。如192.168.0.2上有一个名称为d的共享,则只要在【运行】对话框中输入“\192.168.0.2\d\nul\nul”命令就可以使目标Windows 9x系统崩溃。
如果使用攻击命令“\l 92.168.0.2\printer$\12”来攻击网上大量打开打印机共享的Windows 9x计算机,则只要通过IE共享炸弹制作包含下列HTML代码的一个网页,并利用邮件方式或浏览器方式设法在目标计算机上运行即可。
当使用Windows 98的用户接收到包含该网页代码的html格式邮件时,只要将其打开,系统就会马上崩溃。不过,这个漏洞对Windows NT以上版本的操作系统无效。
7.3.3 IE窗口炸弹的防御
鉴于IE窗口炸弹只是耗尽了系统的资源而基本没有破坏性,实际上只是类似一个恶作剧的情况,因此,即便碰到IE窗口炸弹也完全没有必要太惊慌。
对付IE窗口炸弹最有效的方法就是利用Ctd+Alt+Delete组合键关闭引起IE炸弹的网页。
在Windows NT/2000/XP中,用CtrI+Alt+Delete组合键关闭网页的方法如下所示:
①按下Ctrl+Ak+Delete组合键后在【Windows安全】对话框中单击【任务管理器】按钮,打开如图7-18所示的IWindows任务管理器】窗口。
②在【应用程序】选项卡中选择制造ie炸弹的网页并单击【结束任务】按钮,打开如图7-19所示的【结束程序】对话框,单击【立即结束】按钮即可关闭制造IE窗口的网页。
7.4 实现IE处理异常的MIME漏洞攻防
MuvlE(Multipurpose Intemet Majl Extension)是一种指定文件类型(Intemet的仟何形式的消息:E-mail、usenet新闻和Web)的通用方法。如果Imemet上有两个程序在联系,其中一个发送文件,另一个接收文件。如果发送的是MIME类型的文件,接收程序通过识别会告诉用户它是否能够处理。每一种文件格式都有一组相一致的名称。在使用MIME时其文件类型(如texr/html或text/plain)是用Content-Type语句来指定的。
7.4.1使用木马攻击浏览网页的计算机
MIME漏洞就是利用了IE处理附件的方式。如果邮件的附件是一个EXE可执行文件,攻击者可以更改MIME类型,把MIME类型改成IE直接播故的声音或者图像文件,那么ie就会不提示用户,而是直接运行附件中的EXE文件,从而使攻击者加在附件中的程序、攻击命令能够直接运行。
在介绍这种攻击方法的具体步骤之前,需要先了解一下HTML格式的E-mail文件的源文件内容,下面以Outlook Express为例进行介绍。
①在Outlook Express中新建一个邮件并在邮件中插入可执行文件作为附件,单击工具栏上的【附件】按钮,打开如图7-20所示的【插入附件】对话框。
②选择要作为附件的可执行文件后单击【附件】按钮,插入附件,如图7-21所示。
③选择【文件】→【另存为】命令后打开如图7-22所示的【邮件另存为】对话框选择文件另存的路径以及文件另存的名称test. emI。
④用“写字板”或其他文本编辑浏览器打开test.eml文件后,即可看到如图7-23所示的test. eml源代码。值得注意的是源文件中的附件部分,其含义如下所示;
Content-Type:表示MIME类型。
Content。Transfer-Encoding:附件文件的编码方式,一般为base64方式。
ConLeat-Disposition:表示附件。
如果把Content-Type指定的类型改成audio/x-wav,那就表示附件中的文件是声音文件,并且IE能直接播放这个文件,也就是说如果把附件中可执行文件的MIME类型(ConLent-Type)改成声音文件类型,那么当用IE打开eml邮件时-附件中的可执行文件未经提示就可以直接执行了。
通过这种方法,攻击者就可以把木马程序插入到邮件中作为附件,然后修改邮件附件的MIME类型为声音文件类型,当远程用户在IE中浏览该邮件时木马程序就自动运行了,从而也就达到了往远程用户计算机中植入木马的目的。
利用MIME漏洞还可以使远程用户浏览网页时中木马,具体操作步骤如下:
①在Outlook Express中新建一封邮件并把木马程序作为附件插入到该邮件中。
②插入后把邮件另存到某个文件夹下并用“写字板”等文本编辑器查看该邮件的源代码。
③把附件中的木马程序的base64编码复制下来后保存在另外一个文本文件中,假定该文件为bak. txt,用如图7-24中所示的源代码替换邮件的所有源代码。
④用保存在文件bak.Lxt中的木马程序的b-asc64编码替换上述代码中的。*****部分并保存该邮件。
⑤创建一个新网页并在该网页中添加一个指向上面新建的邮件文件(扩展名为.eml的文件)超链接,把新建的网页和邮件发布到网上,当远程用户用IE浏览该网页时,邮件中的木马附件就会自动执行,从而达到种植木马的目的。
7.4.2对浏览网页的用户执行恶意指令攻击
笔者在本节中介绍的攻击方法也是利用了IE处理异常MIME的漏洞。
制作包含恶意指令(执行批处理文件的指令)的邮件文件(.eml文件)的方法如下:
①在Outlook Express中创建一个新邮件并另存到某个文件夹中,将其命名为cmd.eml。
②在“写字板”中打开cmd. eml文件后用如图7-25所示的代码替换cmd. eml文件中的所有源代码。
通过分析上述代码,可以看到上述邮件代码跟如图7-24所示中的邮件代码相比,只是附件部分有所不同,其余部分则是完全一样的,在该邮件源代码的附件部分,定义了一个名为heUo.bat的批处理文件,该文件中包含了几个DOS命令。
当在IE中打开这个邮件后,heUo.bat就自动运行了。攻击者可以在hello.bat中添加具有破坏性的DOS命令,如“formatd:,q,u/amotest”将在不提示用户的情况下直接快速格式化掉D盘,另外还可以使用format、deletetlree、fdisk、debug、move等外部命令。
在邮件文件中还可以附加Visual Basic脚本文件,制作方法如下:
在上述的邮件源代码中可以看到,在附件部分使用了Visual Basic脚本hello.vbs.当这 个脚本执行后,会在C盘上创建一个文本文件deleteme. txt。
在上面的两个例子中,当在IE中浏览.eml文件时,,eml文件中的附件都是在没有提示的情况下就直接运行的,在邮件文件中也可对附件进行伪装。这样一来,即使MLME头漏洞被修补之后,远程用户也可能被欺骗,而执行附件中的命令。
伪装了附件的邮件文件的制作方法如下:
④在Outlook Express中创建一个新邮件并另存到某个文件夹中,命名为cmd,eml。
②在“写字板”中打开cmd.eml后用如图7-28所示代码替换cmd.ernj中的所有源代码。
③在上面的代码中主要是把附件的Content-ID名称改为readme.txt.当IE执行批处理文件hello+bat前给出提示时,提示对话框如图7-29所示。
文件下载提示对话框中提示的文件为文本文件reiadme. txt.如果选择“在文件的当前位置打开,则批处理文件hello. bat将被执行。此时,这个经过伪装的.eml文件就非常具有欺骗性,一般的远程用户根本就不可能将其识别出来。
7.4.3如何防范IE异常处理MIME漏洞的攻击
于一般上网用户,可以通过开始Windows Update在线自动升级Windows和IE、Outlook,Outlook Express防范错误的MIME漏洞。
①微软公司为这漏洞提供了一个补丁,可以到下面地址获取:www.****** soft.corrr/wiIldows/ie/ad;tc ritical/Q290108/default. asp
②—些关于该漏洞的附加信息:补丁可安装在运行Internet Explorer 5.01 Service Packl或者Intemet Explorer 5.5 Service Pack 1的系统上。漏洞修补的补丁将收录在Internet,Explorer 5.01 Service Pack 2或者Intemet Explorer 5.5 Service Pack 2.上。对于使用MIME漏洞执行恶意批处理命令、VB脚本的攻击方法,可以进行如下防范:
①简单更改format、deletetree、fdisk、debug、move等外部命令,修改command.com或者cmd.exe支持的危险内部命令名,比如clel、rmdir、rd、erase。
②修改.bat文件和.vbs的关联,使得.bat文件和.vbs文件的默认操作是用NotePad打开,而非执行(直接修改注册表就可以了,如果不熟悉注册表则可利用其他工具软件修改,如“超级兔子魔法设置”)。
③如果是Windows NT、Windows 2000的用户,应该仔细设置I.rrFS文件系统保护,减少超级用户登录,以阻止恶性破坏。对于使用MIME漏洞执行恶意可执行文件的攻击方法,只要在【安全设置】中将【文件下载】设为【禁用】即可,此后如果在IE中打扦其有攻击性的.eml、.nws文件,将会提示:当前安全设置禁止文件下栽。这种解决方案虽然使得用户无法下载阿页中的文件(IE快捷菜单中的【文件另存为】命令将失效),但暂时杜绝了利用MIME漏洞的恶意攻击。
7.5破坏性极强的IE执行任意程序攻防
在因特网高速发展的同时,也就使得网络的安全问题越来越受重视,只要在网上稍稍留意一下,就会发现许多关于网络安全的问题。攻击和防范是密不可分的,了解了攻击的原理和方法,对其进行簖范也就容易多了。
7.5.1 利用chm帮助文件执行任意程序攻击
由于文件扩展名为chm的文件足已经编译的hyml.帮助文件,因此,当在Wndows系统中打开这些chm文件时,会发现其具有统一的界面,窗口左边是帮助文件的目录,窗口右边则是已经编译好的HTML文件,如图7-30所示。
利用chm帮助文件进行攻击具体的操作步骤如下:
①使用鼠标右键在如图7-30所示的右边窗口中单击,则会弹出一个如图7-31所示的快捷菜单。
②选择【查看源】命令后将用“记事本”打开右边窗口中HTML文件的源文件,如图7-32所示。
③该HTML文件的源文件在被打开以后,在使用chm文件编译的HrML文件中,也可加入一些脚本代码,如JavaScript代码。
下面就来学习制作一个带有;favaScript代码的}rrML文件,该HTML文件的源文件具体代码如图7-33所示。
在上述的代码中,由于使用了一个ActiveX对象,并且该对象定义了一个快捷方式,将该快捷方式指向“写字板”程序,并以位图按钮的形式表现出来。
利用chm帮助文件执行任意程序的攻击方法如下:
①新建一个包含特定代码的HTML文件,该HTML的源文件如图7-25中的代码所示,可以把要执行的程序从“写字板”换成其他程序,但这里用“写字板”程序来演示。
②把新建的HTML文件加入到一个新制作的chm帮助文件中,将该HTML设置为chm文件的首页并将其命名为chml. chm。
③再创建一个新的网页,该网页的源文件如图7-34所示,用window.showHelp打开该chm帮助文件。
④把新建的网页和chml. chm文件放在同一个文件夹中,以后在打开该网页时,chml.chm文件就会被自动打开并同时打开“写字板”程序。
⑤再把新建的网页和帮助文件chml. chm放到网上,当访问者在浏览到该网页时,就可以产生打开的“写字板”程序是用户计算机中的“写字板”程序的效果了。
7.5.2 chm帮助文件执行任意程序的防范
虽然微软公司在ie6中已经对chm帮助文件的漏洞做了一定的修补:只有当chm帮助文件从本地文件系统中加载时,才允许chm文件执行程序。但目前对于利用chm帮助文件执行任意程序的攻击方法,微软的补丁基本上不起什么作用。因为该攻击方法也是依靠在网页中执行脚本代码实现的,所以通过限制网页中的脚本代码的使用,也可以较好地防范
该种攻击方法。
具体操作步骤如下:
①运行IE后执行【工具】→【lntemet选项】命令.打开【Intemet选项】对话框。
②单击【安全】选项卡中的【自定义级别】按钮,打开如图7-35所示的【安全设置】对话框。
③只要在【安全设置】对话框中,选择禁用ActiveX控件和活动脚本,就可以有效地防止利用chm帮助文件的恶意代码进行攻击了。
7.5.3 利用IE执行本地可执行文件进行攻击
本节中就来介绍如何利用IE中的一个漏洞允许恶意网站在浏览其网页的客户机上执行任意程序。
下面的例子演示了利用该漏洞的攻击方法。
①新建一个网页.使其源代码如图7-36所示。利用JavaScripL中定义的快捷菜单对象.
使用window. createPopup创建了一个oPopup对象,然后在该对象的document.body,innerHTML中插入Object对象,并且在Object对象中指定CODEBASF,的内容+该内容可以是本地计算机上的任意一个可执行文件,最后可以用oPopup对象的showO函数来显示docume nbody的内容。实际上上述的代码就是执行了document- body. innerHTML中的由Object对象的CODEBASE所指定的可执行文件。
②在如图7-36所示的代码例子中只是列举了部分可执行文件,采用类似的方法还可以在网页中添加其他的可执行文件,如图7-37所示,再用IE6打开如图7-36所示中代码例子所示的网页。
⑤在如图7-37所示的网页中单击Command之后,即可看到如图7-38所示打开的Windows资源管理器窗口。
④在如图7-37所示的网页中,单击Regedit超链接打开注册表编辑器窗口,如图7-39所示。
⑤在如图7-36所示的代码例子中,还可以把CODEBASE后面指定的可执行程序换成其他具有破坏性的命令,例如CODEBASE--c: \Winnt\system32\format e:/q/autotesUu或CODEBASE=c:\Windows\formatc:,q/autotest/u,再把新建的网页发布到网上去,这样,当用户浏览到该网页时,该网页就会未经提示丙格式化用户计算机中的c盘了。
对于利用IE执行本地任意程序的攻击,主要通过以下两种手段来防范:
①可以从微软的网站下载最新的补丁:http://www. microsndow“e,default+asp。
②如果没有补丁可以修补,又怕黑客采用这种方法对自己进行攻击,那么就只好在IE属性中禁止使用活动脚本了,如图740所示。但需要说明的是,在禁止使用活动脚本之后,IE将无法执行其他非恶意的活动脚本。
7.6极易忽视的IE浏览泄密
其实许多时候,当在打开文件、输入各种密码或用QQ与朋友聊天时,都会在机器上留下踪迹,从而泄漏个人机密。为安全起见,最好在离开时抹去这些痕迹。
7.6.1 IE浏览网址(URL)泄密
为了方便用户,Wrndows系统具有历史记录功能,能将用户以前的各种操作全部记录下来(如运行的程序、浏览的网站、查找过的内容等)。但任何事情都有两个方面,历史记录间时也带来了泄密的可能。有些人会利用这些记录来获取你已经访问过的Web页面信息,从而窥探你的喜好。
具体的解决办法如下:
①在浏览器中选择【工具】→【Intemet选项】命令,在打开的对话框中选择【常规】选项卡,然后单击【历史记录】选项区域中的【清除历史记录】按钮即可,如圈7-4l所示。
② 或启动注册表编辑器Regedit并展开到HKEY_CURRENT_USER\Sofiwntemet Explorer\TypedURLs键值,如图7-42所示,该键值就是专门用于保存IE历史记录的,将其删除即可。
另外,在输入网址时,按下Ctrl+0组合键后,在弹出的窗口中输入要访问的网站名称或lP地址,输入的URL就不会保存在地址栏内了。
7.6.2 Cookie泄密的解决方法
Cookie是Web服务器发送到计算机里的数据文件,它记录了诸如用户名、口令和关于用户兴趣取向的信息。对于那些喜欢搞“恶作剧”的人,会利用Cookie的功能冒充用户去干一些“可怕”的事情。
目前有许多阿站Coolae文件中的Usemame和Password是不加密的明文信息,更容易泄密。因此,如果是在公共场合上网,删除Cookies文件将是很有必要的。
解决Coolde泄密的具体办法如下:
①打开资源管理器内的C:\Documents and Seffings\XXXX\Cookies目录,就会发现有许多记录自己个人网上信息的文件,在该文件夹下用鼠标选中除index.dat文件(系统自身所形成的文件)外的所有的文件,然后删除它们即可。
②此外,选择IE中的【工具】一【Intemet选项】命令,在【安全】选项卡中单击【自定义级别】按钮,打开【安全设置】对话框并找到关于Cookie的设置,然后选择【禁用】或【提示】,就用小着每次都进行删除操作了。
7.6.3 0utlook Express的查看邮件信息漏洞攻击
下面来看一些黑客是如何利用Outlook Express中的允许远程发件人读取本地信箱内的邮件漏洞实施攻击的。
这个攻击方法的操作步骤如下:
①单击Outlook Express工具栏上【新邮件】按钮。新建一封邮件。然后在这封新邮件中输入收件人的邮箱(即要查看的邮箱)、主题以及邮件的内容。
②选择【查看】→【查看源文件】命令后即可看到,在新邮件窗口的底部出现了【编辑】、【源文件】、【预览】3个选项卡,如图7-43所示。
③选择【源文件】选项卡,则会显示出邮件正文的HTML源文件,如图7-44所示。
④在邮件正文的源文件中的</STYLE>dHEAlb之间添加一段如图7-45所示的代码。
⑤直接单击工具栏上的【发送】按钮,把这封邮件发出去。
⑥这样,当目标邮箱的用户在Outook Express中收到并打开这封邮件时,同时就会打开图7-46所示的IE窗口。
⑦此时,Outlook Express的主窗口就会如图7-47所示。在Outlook Express主窗口的右下方,显示的是邮件的正文:"This is a test mail!!!”。
如果此时单击如图7-46中所示网页的超级链接,就会打开【显示邮件正文】的提示对话框,该提示对话框显示的是当前邮件的正文。
⑧如果不关闭该IE窗口,而是在Oudook Express中浏览其他邮件,例如浏览主题为“谁家排行榜最权威”的邮件,其正文的内容如图7-48所示。
⑨如果此时单击如图7-46所示中的超级链接,则弹出的提示对话框将显示主题为“谁家排行榜最权威”的邮件内容。
如果把如图7-46所示的窗口关闭的话,那么这种攻击方法就不起作用了。但攻击者可以进-步对添加的ActiveX脚本进行完善,如添加使窗口隐蔽起来的代码,以及添加把邮件正文发送到远程服务器的代码,那么,这种攻击方法就会变得极具破坏性了。
7.6.4通过IE漏洞读取客户机上的文件
由于利用IE中的某些漏洞,网页能够读取客户机上的文件。因此只要通过读取客户机上的文件,攻击者就可以获得客户机上的一些敏感信息,如用户账号、密码信息等。
假设客户机的D:\test目录下存在文件test.txt,该文件在“记事本”中如图7-49所示。
①这时候新建一个网页,然后使其HTML代码如图7-50所示。
②在IE浏览器中打开这个新建的网页,则会弹出一个IE提示的对话框,实际上,上述HTML代码相当于如图7-51所示的代码,二者的执行结果是一样的。
③将此D:\restltest. txt文件中的内容发到某个服务器中,内容如图7-52所示。
在这个利用IE漏洞读取客户机上文件内容的例子中,攻击之前首先要知道客户机上文件的路径.以及文件的内容必须符合一定的规范,所以该例子的适用范围还是比较有限的。假设客户机中的D: 1test目录下存在tesL.txI文件,并且其内容如下
①新建一个网页,并且使其源文件代码如图7-53所示。
②如果用ie打开新建的网页,则系统就会弹出一个提示文件读取对话框。接着只要单击其中的【是】按钮即可。
③同样,在如图7-34所示代码的HTML文件中,也可以把d:\test\test.txt文件中的内容发送到服务器中,具体的代码如图7-54所示。
当然了,和实例一比起来,实例二有着更大的应用范围,通过这种方法,就可以窃取客户机上的敏感信息,如密码文件或别的什么了。
对于黑客们利用ie漏洞获取客户机上信息的攻击手段,可以采用的最有效的防范手段就是对IE使用ActiveX控件和JavaScript脚本进行控制。只要在IE的属性对话框中提高IE的安全级别,并且禁用其中的ActiveX控件和JavaSclipt控件即可。
7.7可能出现的问题与解决
某些恶意网站会对收藏夹进行修改,大多是通过修改C:\ Windows/tes中的Desktop.ini文件来实现的,所以只要删除这个文件即可。如果根本就无法打开c:\Windows\Favorites文件夹,就到DOS下进行删除(要先用attrib—f -s—h后才能将其删除)。
另外,“收藏夹”中的内窖并没有被删除,只是放入了另一个文件夹中,名称和Favorites差不多(如Favorites2等),如果想恢复原来的“收藏夹”,只要剪切一下即可。
如果是将系统默认的“收藏夹”路径设置成指定的目录(如C:\Windows\Favorites2等),只要恢复正常的“注册表”即可。
如果遇到安装自动拔号程序的情况,就要小心惊人的国际长话费了。对付它的方法是定期还原正常的注册表!这样做虽不能彻底删除此类恶意程序,但却能让其完全禁止运行,
因为这类程序是通过修改注册表来达到随机运行的目的的(只有极少数是在【开始】菜单的【启动】项内做文章),只不过大部分用户无法通过手工删除干净罢了,该方法用来对付那些自动安装木马程序的情况也同样适用。
通常恶意网站都接着具有“诱惑力”的外衣,设下诱人的陷阱让大家“中招”。所以一定要意志坚强,抵制住诱惑。只要自己坚持做到“任尔花言巧语,我自岿然不动”。那么,什么样的陷阱也奈何不了您。
另外,现在有很多恶意网站开始通过即时通信软件来传播了,如QQ、uc等,方式虽然多种多样,但通常是在对方网友的话后面又发来了一个网站信息,有的会附有一些带有“诱惑性”的话(如“看看我的样子”、“我刚刚上传了照片”等),有的只是一个有着诱人域名的网址,对于这样的阿站,原则也同样——就是不上当。
7.8总结与经验积累
尽管Windows现在已经陷入了无休止的升级和修补中,并且也将很大一部分精力放在了应付查错除虫中。
更重要的是,透过因特网极速增长的病毒、蠕虫、木马和其他一些恶意攻击程序层出不穷,让IE每天都受到很多威胁。虽然微软勤奋地在修补IE中的漏洞(SP2就是最好的例子),但其仍不愿意放弃对ActiveX技术的支持。当Windows用户们被不时弹出的广告窗口、强行安装的工具条以及透过ActiveX脆弱的安全机制寄生在用户系统内的间谍软件骚扰时,IE不可避免地就成为了众矢之的。
正是这一系列的问题,使得IE为其他另类浏览器的发展提供了空间,它们提供了IE所没有提供的功能,也使具有10年历史的IE面临了种种非议和质疑。
但目前还很难真正放弃IE.因为我们中的绝大多数人用IE浏览网页,网站开发者也在针对IE开发网站,一些网站(包括微软自己的Mndows升级站点)就只能通过IE访问。
同样,一些大的门户站点和许多公司的企业内部网站也是通过IE授权的扩充工具包架设而成,所以它们不能正确识别其他的浏览器。
对于大多数用户来说,使用选择一种浏览器与IE搭配使用是一种比较现实的方案。
本文内容所提及均为本地测试或经过目标授权同意,旨在提供教育和研究信息,内容已去除关键敏感信息和代码,以防止被恶意利用。文章内提及的漏洞均已修复,作者不鼓励或支持任何形式的非法行为。