手动修复被篡改地浏览器主页

zyp

流氓网站，顾名思义就是那些使用不正当手段修改你主页的网站，它们是在臭名昭著的流氓软件衰败后冒出的。部分流氓网站还与病毒勾肩搭背，借助一些木马下载器推广一起暗算你的电脑。
　　设定默认主页是一种用户的正常行为。修改浏览器主页到底是用户自己设定的还是被窜改的，杀毒软件是无法判断的，所以杀毒软件对修复主页的行为基本上是听之任之，不会进行拦截，你就不用指望杀毒软件清除流氓网站了。
+ {- C; _/ ^# N. |: k8 T% l　　当然，修复主页有不少方法，例如在Internet属性里面点击“使用默认页”(图1)、使用一些安全辅助工具等，但你会发现这些以前很灵的方法，现在不怎么灵了。用安全修复工具修复主页后，没多久主页又被窜改了，无法将主页彻底修复。那应该怎么做才可以彻底修复主页呢?
0 l5 u, t) l8 i8 s
) F) w9 L$ B! u% ^3 [" `　　基本需求：彻底清除流氓网站
+ S9 C# X, d4 M; r: X& M5 M　　面对霸占浏览器主页的流氓网站，你光抓狂是没有用的，要怎么做才能清除流氓网站呢?
　　首先需要考虑一次就可以彻底修复的情况。在以前我们介绍的系统修复工具SREng【下载 】在这里大有作为。启动SREng，在“启动项目”中看看有没有红色标明的注册表项，有就删除。也可以直接点击“系统修复”，再点击“高级修复”，选择“自动修复”即可修复系统。
　　再运行360安全卫士，点击“高级”(图2)，在“修复IE”标签页中默认设置，再点击“立即修复”即可。这样操作后，你再打开浏览器就会发现主页是默认的空白页了，流氓网站被“弹开”了。　　
: U3 a. M  P) d$ o- D+ _
　　如果重启后，浏览器主页又被窜改，就要考虑流氓网站跟某个程序有瓜葛的情况。由于流氓网站包含在程序内，不容易清除掉，所以最好直接卸载程序。那如何确定哪个程序有问题呢?
4 L  {6 q, I, P, j7 W) [# J　　想想浏览器在出问题之前，你下载了什么程序，运行过什么程序，可以采取排除的方法来解决，一个一个地测试，最后锁定问题程序卸载即可。这个过程需要一定的时间，要有一定的耐心。
　　进阶分析：为什么主页会被窜改
9 c$ z1 f1 T& g　　原因1：用Rootkit窜改主页
　　用上面的方法清除了流氓网站，现在可以舒心了。不过你可能非常好奇，为什么我们要用这么复杂的方法来清除流氓网站?为什么简单地修复Internet属性会失败?这就不得不说到流氓网站用到的Rootkit技术了。
" \- p3 u- |' X$ X9 b9 ^! Y. n- F　　小知识：操作系统是由内核和外壳两部分组成的，内核运行于Ring 0级别，拥有最完全最底层的管理功能，位于Ring 0层的是系统核心模块和各种驱动程序模块。几乎所有指令都传递给内核，由它来决定是否执行，一旦发现有可能对系统造成破坏的指令，内核便返回一个“非法越权”标志，发送这个指令的程序就有可能被终止运行。
　　运用了Rootkit技术，流氓网站就可以拥有跟内核一样的运行级别，就能进入内核空间，这样它就拥有了和内核一样的访问权限，能对内核指令进行修改。所以你用单一的修复工具修复浏览器主页时，该指令在进入系统内核时会被运用了Rootkit技术的流氓网站拦截并窜改，这样指令就失去了作用，修复工具就不起作用了。9348和kuku530就是使用这种技术的代表。
& e) w* Y' t6 G  V　　原因2：走捆绑路线
　　为什么有的流氓网站频繁窜改主页，清除过后不久又会出现，老是清除不干净呢?这是因为，流氓网站除了使用Rootkit技术保护自己外，还有一种霸占浏览器主页的方式，就是捆绑方式。当某个程序运行时就激活了它们，它们就窜改了主页。这种方式的缺点是容易被修复，优点是无法彻底修复。
8 L; {7 U  T: g; y9 ?8 g　　捆绑流氓网站的程序大多是经常要用到的，比如各种外挂、破解补丁、游戏客户端等。举一个例子，你在某个软件下载站下载了一个游戏外挂，当你运行游戏外挂时，嵌入游戏外挂里面的流氓网站就会对浏览器主页进行判断，如果主页不是自己就进行窜改，如果是自己则跳过。
　　除了常用程序，流氓网站还会与其他东西捆绑，例如操作系统(114la、tomatolei)、优化软件(930930)，更搞笑的是一些所谓的IE保护工具本身也会窜改主页(图3)。　　
! V4 {6 w+ |6 O