电脑协议被劫持
篇一:DNS劫持解决
方法
快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载
说明
我们知道,某些网络运营商为了某些目的,对 DNS 进行了某些操作,导致使用 ISP 的正常上网设置无法通过域名取得正确的 IP 地址。常用的手段有:DNS劫持 和 DNS污染。DNS劫持 和 DNS污染 在天朝(转 载于:wWw.xLTkwj.cOM 小 龙 文档网:电脑协议被劫持)是非常常见的现象。一般情况下输入一个错误或不存在的 URL 后,本应该出现404页面,而我们看到的却都是电信、联通等运营商的网址导航页面,正常访问网站时出现电信的小广告,使用了代理却依然无法正常访问某些境外网站,以及最近Google 几乎被彻底封杀、微软 OneDrive 打不开,这些都和 DNS 有一定关系。
DNS劫持
DNS劫持 就是通过劫持了 DNS 服务器,通过某些手段取得某域名的解析记录控制权,进而修改此域名的解析结果,导致对该域名的访问由原 IP 地址转入到修改后的指定 IP,其结果就是对特定的网址不能访问或访问的是假网址,
1
从而实现窃取资料或者破坏原有正常服务的目的。DNS劫持 通过篡改 DNS 服务器上的数据返回给用户一个错误的查询结果来实现的。
DNS劫持 症状:某些地区的用户在成功连接宽带后,首次打开任何页面都指向 ISP 提供的“电信互联星空”、“网通黄页广告”等内容页面。还有就是曾经出现过用户访问 Google 域名的时候出现了百度的网站。这些都属于 DNS劫持。
DNS污染
DNS污染 是一种让一般用户由于得到虚假目标主机 IP 而不能与其通信的方法,是一种 DNS 缓存投毒攻击(DNS cache poisoning)。其工作方式是:由于通常的 DNS 查询没有任何认证机制,而且 DNS 查询通常基于的 UDP 是无连接不可靠的协议,因此 DNS 的查询非常容易被篡改,通过对 UDP 端口 53 上的 DNS 查询进行入侵检测,一经发现与关键词相匹配的请求则立即伪装成目标域名的解析服务器(NS,Name Server)给查询者返回虚假结果。
DNS污染 症状:目前一些在天朝被禁止访问的网站基本都是通过 DNS污染 来实现的,例如 YouTube、Facebook 等网站。
解决方法
对于 DNS劫持,可以通过手动更换 DNS 服务器为 公
2
共DNS 解决。
对于 DNS污染,可以说,个人用户很难单单靠设置解决,通常可以使用 VPN 或者域名远程解析的方法解决,但这大多需要购买付费的 VPN 或 SSH 等,也可以通过修改 Hosts 的方法,手动设置域名正确的 IP 地址。
公共DNS
公共DNS 是一种面向大众的免费的 DNS 互联网基础服务。我们知道要上网,就必须要 DNS 解析服务,尽管大多数电脑用户都很少会去手动设置 DNS 服务器地址,而是采用默认自动获取网络商 DNS 地址的方式,不过对于一些小型网络服务商而言,可能全球或者全国 DNS 节点比较少,这样就容易导致打开网页偏慢等现象。
更换 DNS 服务器地址为 公共DNS 后,可以在一定程度上加快域名解析速度、防止 DNS劫持、加强上网安全,还可以屏蔽大部分运营商的广告。下面列出几个目前常用的 公共DNS 服务器地址:
名称 DNS 服务器 IP 地址
OpenerDNS 42.120.21.30
阿里 AliDNS 223.5.5.5
V2EX DNS
114 DNS
OpenDNS CNNIC SDNS 1.2.4.8 Google DNS 8.8.8.8
3
223.6.6.6 210.2.4.8 8.8.4.4 199.91.73.222 178.79.131.110
114.114.114.114 114.114.115.115 208.67.222.222
208.67.220.220
给出了这么多,说一下选择吧,如果是国内用户,没有洁癖的,可以考虑 114DNS 和 阿里DNS,如果有洁癖,国内可以选择 V2EX DNS 和OpenerDNS,国外的可以选择很多,优选 Google 的,虽然有延迟,但还能接受,其他的看自己的网络情况了。
手动更换DNS
1. 打开“网络和共享中心”;
2. 点击正在使用的网络打开“状态”;
3.
打开“属性”;
4. 双击“Internet 协议版本 4(TCP/IPV4)”;
5. 点选“使用下面的 DNS 服务器地址”;
6. 输入上面的 公共DNS 服务器地址,确定。
篇二:电脑中毒跳转恶意网站解决方法
电脑中毒自动跳转恶意网站
工具/材料:
腾讯电脑管家
有时候我们在打开网页会遇到一种情况,就是比如说无论你打开什么网页,都会自动跳转到一个指定的页面,还记得
4
当年的中国好声音中奖什么的广告么,想必很多人都遇到过吧,如果你打开什么网站都会跳转到一个病毒的页面,那么很可能就是你的DNS地址被劫持导致的,今天写这篇经验,就是和大家分享一下,怎么解决这个问
题
快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题
【更换DNS地址】
1,如果电脑出现了打开任务网页都跳转到指定页面的话,那肯定是DNS域名解析出现了
问题,这种情况我们需要先打开电脑中的控制面板
2,打开后会有几个板块的选项,我们是网络的问题,所以选择其中的网络和intnet选项,然后直接打开这个分类选项进入下一步设置
3,打开后会有一个查看本地网络状态和任务,点击进入后,找到本地连接这个选项,点击后可以打开你的网络连接属性,在其中选择IPV4
协议
4,打开你的通信协议后,在最下面的DNS地址中,一般可能显示的都是自动获取,你点成使用下面的DNS地址,然后输入114.114.114.114和8.8.8.8
就可以了
【给电脑杀毒】
1,除了DNS地址外,还可能是HOSTS文件被篡改,导致你的网页自动跳转出现了问题,这种情况你可以直接通过
5
杀毒来解决,如果是下载不了杀毒软件,你可以重启电脑按F8进网络安全模式
2,然后在你电脑的网络安全模式下,再下载一个腾讯电脑管家这样的软件,然后选择杀毒分类,直接选择全盘查杀,把检测出的病毒彻底清除就可以了。
篇三:LSP劫持及对策
浏览器劫持
“浏览器劫持”是个沉重的话题,经常上网的朋友恐怕无一幸免,“浏览器劫持”(Browser Hijack)是一种流行的网络攻击手段,它主要通过BHO、控件注册、DLL插件、Hook技术、Winsock LSP、远程进程、RootKit等技术渗透到用户的浏览器或操作系统中为所欲为,轻者把用户带到自家门户网站,严重的则会在用户计算机中收集敏感信息,危及用户隐私安全。但在大多情况下,用户只有在受到劫持后才会发现异常情况,这时候已经太迟了。目前,浏览器劫持已经成为Internet用户最大的威胁之一,从这个角度看,打响一场浏览器劫持的反击战迫在眉睫了。
BHO(Browser Helper Object,浏览器辅助对象)是微软早在1999年推出的作为浏览器对第三方程序员开放交互接口的业界
标准
excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载
,它是一种可以让程序员使用简单代码进入浏览器领域的“交互接口”。通过BHO接口,第三方程序员可以自己编写代码获取浏览器的一些行为(Action)和事件通知
6
(Event),如“后退”、“前进”、“当前页面”等,甚至可以获取浏览器的各个组件信息,像菜单、工具栏、坐标等。由于BHO的交互特性,程序员还可以使用代码去控制浏览器的行为,比如常见的修改替换浏览器工具栏,在浏览器界面上添加自己的程序按钮等操作,而这些操作都被视为”合法”的,这就是一切罪恶的根源。
防御一:到BHO软件安装文件夹或控制面板中去看一看有没有卸载程序,如果有就直接卸载了。
防御二:通过IE自带的工具“管理加载项”(只有Windows XP SP2的IE6中才有,SP1或Windows 2000下的用户可用3721IE修复专家中的“高级修复”),把其中一些不常见或是自己不知道的加载项禁用。禁用成功后,可重启计算机,然后到相应的文件夹下,把该程序删除即可。如果到这一步能成功,那就“谢天谢地了”。如果不成功,到安全模式下,再用上面的方法试一试。
防御三:用HiJackThis工具清除。HiJackThis是国外程序员写得相当不错的系统检查程序,它能够检查系统中几乎所有可以隐藏不良程序的角落,让他们现出原形,因此大家可以下载学习一下,尤其对于中高级用户进行手工清除时,这个工具可以说是必不可少的。对于BHO可以先用它进行系统扫描,列出的就是BHO的内容,选择可疑项进行修复。在正常模式下如果删不掉,也可到安全模式下试一试。
7
可能有战友会遇到这样的情形,不管在正常模式还是在安全模式下都不能成功禁用BHO,尤其出现删除文件时提示“文件正在被使用,无法删除”,那就还要费些力气。这是因为BHO是可以被Windows的外壳进程加载的,也就是那个Explorer,进了系统,只要桌面和窗口还在,那么就别想删除掉它。要解决这个问题,先要尝试用Regsvr32.exe程序来去除它的组件注册信息,Regsvr32.exe是32位系统下的DLL注册和反注册工具。例如反注册mmsassist.dll,只需要用命令提示符进入文件的目录里,执行Regsvr32.exe /u
mmsassist.dll即可(可以在控制面板中看到,其实有些程序的卸载就是用的这个命令),然后打开任务管理器,把Explorer.exe进程停掉,最后直接在任务管理器里执行cmd,进入文件目录后输入del mmsassist.dll就完成了该文件的清理工作。
揪出潜藏的内鬼
如果清理了恶意劫持,重启机器后却发现它又回来了,这就是Windows系统中自启动技术在给它们“帮忙”。用HiJackThis软件的混合工具,生成启动项列表,就可以发现自启动程序的地方足足有几十处之多。也就是说系统提供给程序几十种自启动的方法,给那些别有用心的人以尽情发挥的广阔天地,也让网络用户防不胜防!
但也不用气馁,只要耐心去处理,再借助一些工具软件,
8
还是可以战胜它们的。
经典的启动菜单
单击“开始?程序”,你会发现一个“启动”菜单,这就是经典的Windows启动位置,右击“启动”菜单选择“打开”即可将其打开,其中的程序和快捷方式都会在系统启动时自动运行。
最常见的启动位置当前用户的自启动文件夹,所有用户的自启动文件夹。
注册表的启动键
注册表是启动程序藏身之处最多的地方,主要有以下几项。
1.Run键
Run键是病毒最青睐的自启动之所,该键位置是[HKEY_CURRENT_USER\Software\Microsoft\Windows\C
urrentVersion\Run]和[HKEY_LOCAL_MACHINE\Software\M-icrosoft\Windows
\CurrentVersion\Run],其下的所有程序在每次启动登录时都会按顺序自动执行。还有一个不被注意的Run键,位于注册表
[HKEY_CURRENT_USER\Software\Mirosoft\Windows\Cu
rrentVersion\Policies\Explorer\Run]和
和
9
[HKEY_LOCAL_MACHINE\SOFTWARE\Mi-crosoft\Windows\CurrentVersion\Policies\Explorer\Run],由于系统配置
实用程序并不会检测这个地方,常被一些新型后门钻空子,
加载项会随着Explorer一起运行,也要仔细查看。
注册表是最常见的启动藏身之所,很多程序会选择在Run
键里面落户。所以这里基本上是入门级的监控对象~
2.RunOnce键
RunOnce键在注册表中的位置是
[HKEY_CURRENT_USER\Software\Microsoft\Wind-ows\CurrentVersion\RunOnce]和
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]键,与Run不同的是,RunOnce
下的程序仅会被自动执行一次。
3.RunServicesOnce键
RunServicesOnce键位于
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServ-icesOnce]和
[HKEY_LOCAL_MACHINE\So-ftware\Microsoft\Windows\CurrentVersion\RunServicesOnce]下,其中的程序会在系统
加载时自动启动执行一次。
4.RunServices键
RunServices继RunServicesOnce之后启动的程序,位于
10
注册表如下位置:
[HKEY_CURRENT_USER\Software\Micr-osoft\Windows\CurrentVersion\RunServices]和
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-Services]键。
5.RunOnceEx键
该键是Windows XP/2003特有的自启动注册表项,在注
册表的具体键值位置是:
[HKEY_CURRENT_USER\SOFTWARE\Mi-crosoft\Windows\CurrentVersion\RunOnceEx]和
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOn-ceEx]。
6.Load键
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]的load键值里面的程序也可
以实现自启动。
7.Winlogon键
该键位于注册表
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlog-on]和
[HKEY_LOCAL_MACHINE\SOFTWA-RE\Microsoft\Win
11
dows NT\CurrentVersi-on\Winlogon],注意下面的Notify、
Userinit、Shell键值也会有自启动程序,而且其键值可用逗
号分隔,从而实现登录的时候启动多个程序。
8.其他键值
其它注册表位置还有一些其他键值,经常会有一些程序在
这里自动运行,如:
[HKEY_CURRENT_USER\Software\Micro-soft\Windows\CurrentVersion\Policies\System\Shell]、
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]、
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts]、
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts]等。
常用的系统配置文件启动
古老的批处理启动
从DOS时代过来的朋友肯定知道autoexec.bat(位于系
统盘根目录)这个自动批处理文件,它会在电脑启动时自动运
行,早期许多病毒就看中了它,使用deltree、format等危险
命令来破坏硬盘数据。如“C盘杀手”就是用一句“deltree /y
c:\*.*”命令,让电脑一启动就自动删除C盘所有文件,害人
12
无数。
在Windows的配置文件(包括Win.ini、System.ini和wininit.ini文件)也会加载一些自动运行的程序。
1.Win.ini文件
使用“记事本”打开Win.ini文件,在[windows]段下的“Run=”和“LOAD=”语句后面就可以直接加可执行程序,只要程序名称及路径写在“=”后面即可。不同的是“load=”后面的程序在自启动后最小化运行,而“run=”后程序则会正常运行。
2.System.ini文件
使用“记事本”打开System.ini文件,找到[boot]段下“shell=”语句,该语句默认为“shell=Explorer.exe”,启动的时候运行Windows外壳程序explorer.exe。病毒可不客气,如“妖之吻”病毒干脆把它改成“shell=c:\yzw.exe”,如果你强行删除“妖之吻”病毒程序yzw.exe,Windows就会提示报错,让你重装Windows,吓人不?也有客气一点的程序,如将该句变成“shell=Explorer.exe 其他程序名”,看到这样的情况,后面的其他程序名一定是恶意程序。
3.wininit.ini文件
这个文件是很容易被许多电脑用户忽视的系统配置文件,因为该文件在Windows启动时自动执后会被自动删除,这就是说该文件中的命令只会自动执行一次。该配置文件主要
13
由软件的安装程序生成,对那些在Windows图形界面启动后就不能进行删除、更新和重命名的文件进行操作。若其被病毒写上危险命令,那么后果与“C盘杀手”无异。
如果不知道它们的存放位置,按F3键打开“搜索”对话框进行搜索;单击“开始?运行”,输入sysedit回车,打开“系统配置编辑程序”也可以方便地对上述文件进行查看与修改。
定时的任务
计划
项目进度计划表范例计划下载计划下载计划下载课程教学计划下载
启动
在默认情况下,“任务计划”程序随Windows一起启动并在后台运行。如果把某个程序添加到计划任务文件夹,并将计划任务设置为“系统启动时”或“登录
时”,这样也可以实现程序自启动。通过“计划任务”加载的程序一般会在任务栏系统托盘区里有它们的图标。大家也可以双击“控制面板”中的“计划任务”图标查看其中的项目。用控制面板中的“任务计划”工具和HiJackThis的混合工具箱能够看到当前计划任务,如果有不明的任务计划,一定要删除,有些恶意软件会在这里放置某个自启动任务,容易让人们忽略。
智能的脚本启动
在Windows 2000/XP中,单击“开始?运行”,输入gpedit.msc回车可以打开“组策略编辑器”,在左侧窗格展开“本地计算机策略?用户配置?管理模板?系统?登录”,然
14
后在右窗格中双击”在用户登录时运行这些程序”,选“已启
用”,单击“显示”按钮,在“登录时运行的项目”下就显示了
自启动的程序。
更高级的DLL注入启动
还有更高级的方法是建立以下项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs
[ 资料 ]系统中主要常用的几个DLL如下:
PostBootReminder:
WINDOWS\system32\SHELL32.dll
CDBurn: WINDOWS\system32\SHELL32.dll
WebCheck: WINDOWS\system32\webcheck.dll
SysTray: WINDOWS\system32\stobject.dll
WPDShServiceObj:
WINDOWS\system32\WPDShServiceObj.dll
除了上述文件此外,如果再有加载项,就要引起注意了,
AppInit_DLLs项处注册的DLL文件可以让系统运行DLL
文件中的DllMain函数来达到启动不良程序的目的。因为它
是内核级调入的,对这个DLL的稳定性有很大要求,稍有
错误就会导致系统崩溃,很少看到这种程序(如求职信病毒)。
如果要详细分析自己系统中的加载项,请使用系统自带的
15
MSConfig,也可利用startup.cpl、StartStop、StartupMonitor、Autoruns、HiJackThis等工具。
系统服务加载启动
还有另外一种加载启动项的方法,就是注册为系统服务。这样的程序编写时要符合服务的
规范
编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载
,对作者的要求就更高一些。作为服务运行的程序会较早的获得控制权。因此,很多不良程序都会将一个模块注册为服务,来达到隐藏或保护主程序的目的。有好多IE工具栏,BHO的程序都加了服务保护。
16