浅谈第三方安全软件锁定IE主页功能的原理
说到IE主页被篡改的问题,相信大部分用户都有遭遇过。小编之前也写过不少被各类网站绑架IE主页的解决方法,从根本上来说都是通过注册表修改被篡改的IE主页。因为IE主页的配置原理都是相同的,我们设置的IE主页都是写入在注册表当中。有装过第三方电脑安全软件的用户应该比较熟悉了,每当我们修改IE主页的时候,安全软件都会弹出类似的提示“检查到有程序正在修改注册表,是否允许操作”。
这些软件除了可以监控电脑变化以外,大部分软件还可以会提供一个颇具特色的功能:锁定IE主页。那么这个功能是否有效呢?是否设置以后就能够抵御病毒的篡改呢?这个我们先了解一下这些软件锁定IE主页的原理。
首先谈一下注册表,注册表在Windows中有时候许多人觉得很神秘,网上不知什么时候流传着一种修改注册表很容易导致系统崩溃的说法,有点夸大其词,导致很多用户对注册表存在一定的畏惧心理。其实注册表并没有那么神秘,它最大的功能就是一个存储着系统及软件配置信息的一个数据库。修改里面的信息可能会影响系统以及一些软件的配置信息工作方式,比如开机启动、各类软件的一些配置、包括今天要说的IE配置比如IE主页信息都是存储在注册表中。而我们通常说的注册表是指Windows中自带的注册表编辑器regedit.exe。其实正如其名一样,这只是一个编辑器,真正的注册表中的信息是存储在系统的二进制文件中的,成为HIVE文件,译为“储巢”。想了解这方面相关信息的可以参考《深入解析Windows操作系统》。
首先要了解的是,在程序开发中,无论是恶意软件还是安全软件在改动IE主页时都是通过修改注册表来达到目的,通常使用RegSetValue等API实现,API译为应用程序接口,稍微学过的编程的同学将其理解为和函数差不多的东西就行,这样的API的参数通常指定了注册表的主键、子键、修改的项以及值等信息。可以想象,安全软件实现修复IE主页的功能就是通过调用这个API来实现的,病毒亦如此。而安全软件和病毒往往都是相克的,都会采用一些手段来阻止对方的操作,说道这里就不得不提到HOOK这个概念。HOOK是木马、病毒和安全软件都在采用的一种技术,没有哪个安全软件中不在用HOOK,最直接的概念就是主动防御以及HIPS就是采用HOOK实现的。说了这些HOOK是什么呢,HOOK译为钩子,最常见的就是消息钩子,而我们在这里要提的是API HOOK。正常情况下我们调用系统API都是正常的,而在一定情况下我们调用API可能是被HOOK后的。通过HOOK指定的API我们可以拦截指定的操作,比如创建进程、创建文件、读写文件等。API HOOK有多种不同的实现途径,目前大多数安全软件都采用内核中的SSDT HOOK。
简单谈谈SSDT,SSDT(SystemServices Descriptor Table),系统服务描述符表。在应用层的API进入内核后正是根据这个表找到内核中的相应函数,进而实现层层调用。也就是说SSDT记录这应用层API和内核中的函数的对应关系。通过SSDT HOOK我们可以改变这一对应关系,是应用层API进入内核后不再按原来的对应关系调用内核相应的函数,而是转去调用我们自己实现的内核函数。这样我们就达到了截获API的目的,进而可以在我们的函数中对API进行的操作进行判断,最简单的就是我们可以决定是阻止这次调用还是允许这次调用。这就是安全软件中锁定IE主页功能的原理。当然SSDT HOOK需要我们写驱动来完成。说了这么多是不是有点天书的感觉,下面通过一个简单的小实验来体会这个过程。我们以QQ电脑管家为例,以及需要借助一款非常优秀的工具XueTr,可在附件中下载。
首先运行QQ电脑管家,在系统修复中锁定IE主页,比如我的IE主页是Google
精致女人坊安卓版
久久浏览器安卓版
艺膳生鲜安卓版
葩叽叽官方版
电竞头条安卓版
民宿酒店预订安卓版