实习阶段性总结1
前言：回了这么多帖子，要想继续完成400帖子的任务并不困难（听我把话说完再拿砖拍我-_-!)，参加实习生这个活动的目的不在于回帖，而在于怎么样学到东西。经过了上课和前一个阶段的实习，我想我有必要写个东西出来。这次的阶段总结，打算用注册表和组策略模拟下故障现象。也许有人会认为这简单，但这是从我的需要出发的。模拟一些故障现象，可能原理和真正的病毒破坏不一样。但是，这至少可以让我熟悉一下系统。由于第三方工具的存在，让我对系统修复的概念变得模糊。所以，在实习期，就着碰到的现象做一组模拟的故障现场，也算是一种学习。发上来备查，共享。

关于IE的探讨：
最近流氓对IE的修改越来越疯狂，所以，搞清楚一些容易被修改的键位是很重要的，在网上发现了篇文章，按照它的思路整理实践一下，我相信这会对实习有帮助的。
1、修改IE主页。这方法很老了，在06年的时候类似3721，雅虎助手等通通干过这事情，修改的键值一般是starpage，其位置在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page
或者是HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
这里以后者为例，我们看看，将starpage的值修改为“http://www.rising.com.cn”然后打开IE，页面即链接到瑞星网：

 附件: 您所在的用户组无法下载或查看附件
一般的，我们知道病毒可能会循环的写入IFEO或者hosts。但是，在网上搜一搜，我们也可以找到一些不断写注册表的程序，专门在重启之后修改starpage值为某广告站或恶意网站（-_-!)。
比较典型的是臭名昭著的registry.exe。一般这个程序被放在C:\Program Files下，尝试删除它，同样到卡卡助手高级工具下的【启动项管理】登陆项下去删掉这个东西的启动项即可。（这个程序的名称可能随时变化，在操作时可以试试反过来操作，先看登陆项，借助卡卡的安全等级来判断这个家伙）
2、修改IE默认页
我们来做个试验：
打开注册表编辑器，找到HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
将这个值改为http://www.baidu.com
然后，去IE属性页看看

 附件: 您所在的用户组无法下载或查看附件
如果我们想个办法禁止改回，那么，这就是个流氓行为。举个例子看看，下图有啥异常没？答案是【常规】选项卡没了（-_-!)

 附件: 您所在的用户组无法下载或查看附件
3、禁止改回主页
那么，无论是修改HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL还是上面所说的starpage,配上这一招就会让用户无法改回主页。除了第二点中讲到的禁用选项卡的方法，还有其他的办法。下面再举一例：

 附件: 您所在的用户组无法下载或查看附件
这是几年前经常有的现象。改回主页的按钮全部灰色。即禁止用户手动改回。
图3和图4其实都是依靠在注册表中的相应位置建立DEWORD值来限制权限做到的。在外网的求助帖上比较难得改回主页的求助比较多。所以，自己动手做了这两个故障现象。
经过小皮批准，把操作原理给大家
在HKEY_CURRET_USER\software\policies\Microsoft下新建项Internet Explorer在这项下再新建Control Panel项在该项下新建DWORD数据，不同的数据命名代表不同的权限设置，而一般的DWORD值为0代表允许而DWORD值为1代表禁止。
以此类推，流氓软件可以在该项下做相当多的禁止操作。用户会非常头疼。除了这一个键位，还有几个键位是同样可以达到这个效果的。下面给大家一些参考设置，这些是网上查到的，我没试过
主要是修改了注册表中IE设置的下面这些键值(DWORD值为1时为不可选)：
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel
"Settings"=dword:1
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel
"Links"=dword:1
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel
"SecAddSites"=dword:1
4。【Internet Exolorer】的标题栏
装了瑞星IE8后，有人反映，卸载后在标题栏上还写着“由瑞星提供”（鬼知道真的还是假的）
不过修改IE标题栏，倒是有几种方法，用第三方工具的话，windows优化大师，超级兔子个性化设置，卡卡助手，金山卫士倒是都能做到。
如果没有这些工具呢？
首先，尝试组策略。选择【用户配置】【windows设置】【Internet Explorer维护】【浏览器用户界面】【浏览器标题】
在这里，可以解决上面所说的那个故障，比如，我改一个：

 附件: 您所在的用户组无法下载或查看附件

还有一种办法即修改注册表HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main 找到或新建字符串值WindowTitle=你想要的标题。

 附件: 您所在的用户组无法下载或查看附件
5、假IE!
这话题说的人要吐血... ...不过，还是要说。其实系统图标在注册表上都是有对应的ClassID的，桌面上的图标，存放位置是HKEY_LOCAL_MACHINE\SOFTWARE\Micorosoft\Windows\currentvirsion\EXPLORER\Desktop\NameSpace
打开它，查看里面的ClassID

 附件: 您所在的用户组无法下载或查看附件
我特别不喜欢记ClasssID,这里列出正常的，备查：
{1f4de370-d627-11d1-ba4f-00a0c91eedba}
{450D8FBA-AD25-11D0-98A8-0800361B1103}
{645FF040-5081-101B-9F08-00AA002F954E}
{e17d4fc0-5564-11d1-83f2-00a0c90dc849}
在被流氓的时候，在这个位置保留以上，其余的全部删除。

用户系统信息：Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)

[attachimg]626634[/attachimg][attachimg]626624[/attachimg]
这时，要考虑注册表权限了。

 附件: 您所在的用户组无法下载或查看附件



我们来做个假设，如果图标被修改的一团糟，一般的用户会疯掉的（我也快了）那么，这时我们希望有强大的第三方工具来修复它。
去天月的工具箱你看看吧。也希望新版的卡卡助手能帮上我们。
关于盘符的探讨
1、关于autorun.inf
这里最好的例子就是光盘，打开一个盘符，你应该可以看到盘中的内容。但是某些软件光盘并不是这样。举个例子，打开江民KV2007的安装光盘。（双击这个盘符）会出现以下情况。

 附件: 您所在的用户组无法下载或查看附件

为啥会这样？看看光盘内容，我们找到一个Autorun.inf的文件，给出的信息是：

 附件: 您所在的用户组无法下载或查看附件
那么，我们再看看，在这个光盘里还有俩文件

 附件: 您所在的用户组无法下载或查看附件
根据以上的图，简单解释，open=是打开的程序，ICON=是光盘盘符的图标
（注：我的电脑被彻底免疫了，也就是把相关的键值del了... ...所以默认的自动播放没有开启，汗！）
以此类推，在盘符下放个autorun.inf，将open后改个乱七八糟的东西，应该会造成打开错误了。
2、关于禁止访问的探讨
注册表使得硬盘无法打了应该有俩招，一是隐藏盘符，二是屏蔽访问。
先来看屏蔽访问。使得用户丧失权限访问磁盘是常用的。比较简单的方法是用组策略直接编辑
完成后效果如下：

 附件: 您所在的用户组无法下载或查看附件
具体方法是在【用户配置】【WINDOWS组件】【WINDOWS资源管理器】下做相应的改动。
再来就是常见的隐藏分区。这一点可以用很多第三方工具做到。在没有第三方工具的时候，试试注册表编辑器。
找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer，在这个项中新建一个值叫做NoDrives
关于这个值的编辑有很多很多种版本。我分别试了下，貌似只有一种版本有效。即编辑DWORD=NoDrives并填写十进制数据4可以隐藏c盘。
这个值可以根据2的N此方运算出来即：
C=4
D=8
E=16
... ...

 附件: 您所在的用户组无法下载或查看附件
3、关于盘符右键菜单的探讨
盘符的右键菜单多了啥？这好像是我遇到的一个外网的求助。设置盘符的右键菜单，则需要到shell项下。
具体位置是HKEY_CLASS_ROOT\Drive\shell在这里添加一个名称为“卡卡助手”的项目，你会看到

但是光有这个还不行，如果现在选择这个项目，你会看到：

 附件: 您所在的用户组无法下载或查看附件
我们需要给出一个命令，让这选项对应相应的程序，也就是ras.exe
在“卡卡助手”下再建一项命名command,在这里把默认的字符串值改为C:\Program Files\Rising\AntiSpyware\ras.exe
你就可以看到卡卡的界面了。（卡卡万岁^-^）

 附件: 您所在的用户组无法下载或查看附件

关于系统组件故障的探讨
这里说的组件就不包括IE了（前面说过）来看个现象：
桌面上的【我的电脑】图标不见了，我们试着在【自定义桌面】中找回来。结果... ...

 附件: 您所在的用户组无法下载或查看附件
我们可以找IE代劳，打开IE,在地址栏上写c:\,然后我们可以到达c盘目录，但，当点击向上时，你会发现：

 附件: 您所在的用户组无法下载或查看附件
其实，这个故障也是用组策略做出的。

写在后面：
写上来的话都是自己的体会和感悟，写写好，写写才能学到东西，多写这些即使到时候不能毕业，也能学到东西，反之，则不是我要追求的。因此，特停止回帖两天。另外，这东西是有感而发的，虽然我的标题是实习阶段总结1，但是并不代表着有2，有3...如果后期还有感悟那就继续写，如果觉得没有必要，那么也就不写了。

占楼

谢谢分享

好厉害！！

不错！

有没有关于那个桌面上出来IE快捷方式的做法详细介绍啊？以前我是用360强力木马专杀，普通的360都不行，但是瑞星没试过，这个应该是木马，回复帮助帖的时候说用卡卡扫描木马和用强力删除，觉得力度还是不太够啊。。。。也没有回馈说这个问题解决没，吼吼

回复饭饭同学：

在网上看了不少关于假IE的清除方法：
大多都分几步：
1、去【NameSpace】项下检查并设置权限
2、在该项下删除多余的CLASSID(最常见的是将备份的正常clsd导入）
3、在HKEY_CLASSES_ROOT\CLSID下找到对应的流氓图标的实体文件（dll），删除它、就OK了。
有些文章还写到了调整组策略，解禁桌面图标清理向导。
剩下的一般都是推荐软件的，像金山网盾，360保险箱 widows清理助手 或者一些个人开发的批处理工具。
网上的大体情况如此，可以自己去找找。

看来偶要好好向panxiaoting童鞋学习 致敬