本文介绍了一种RES木马导致IE浏览器主页被劫持至特定网站的问题及解决方法。通过修改注册表设置及使用DEPENDENCYWALKER检查shdoclc.dll文件,可以有效识别并清除RES木马。
最近我的IE出现了一个很奇怪的现象就是即便你把IE主页设置为about:blank还是会打开(http://www.vi128.com/)等一些莫名的站点,于是在网上费了九牛二虎之力才搜到相关的资料,现在分享给大家,
首先我们要先看一下设置为about:blank后打开IE系统是怎样工作的。
IE会进入一个空白页面,其实这个页面其实是指向了一个地址,默认是res://mshtml.dll/blank.htm
这个地址是可以修改的,其修改地址就在注册表中相应注册键是
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/InternetExplorer/AboutURLs
进去看看吧,把他修改回默认的值或者你喜欢的网页都可以。
可是当你修改了这个设置重启电脑打开IE时讨厌的(http://www.vi128.com/)站点还是被打开,这种情况下往往是由于RES协议造成的。说到RES就不得不提一下RES病毒。最近网上在流传杀不干净得木马吧
这些也就是一些杀毒软件杀不完全病毒造成的,用杀毒软件杀毒后,过不了多久就会继续中标。此类木马利用了RES协议的漏洞,手段很隐蔽。
下面我们看一下RES木马的原理。我们在用IE浏览网页的时候,系统会调用shdoclc.dll中的资源,windows系统规定在载入dll文件的时候,如果dll文件含有dllmain函数就对它进行初始化,但是正常的shdoclc.dll文件是没有dllmain函数的,他只是包含了各种资源而已。RES木马包含的dllmain函数,利用这一点,我们就会在浏览网页的时候自动中招。
我们了解了RES木马原理后,我们便可以把系统的RES给找出来了。原shdoclc.dll文件没有任何执行代码,其函数输出表应该为空,但是木马就会调用系统的API函数。我们根据这点来查出系统的RES内鬼。
我们要使用的工具是DEPENDENCYWALKER来查看其API输出表即可。
【http://download.enet.com.cn/html/060442000102701.html】
运行解压后的文件,使用"FLIE-OPEN"打开shdoclc.dll文件
【默认地址在:c:/windows/sysytm32/shdoclc.dll】
查看左面的函数输出表如果为空表明你没有中这种毒。
如果已经中标了,重启到安全模式,用sfc命令恢复即可,或者从别人机器拷贝一个也可以。
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
