|
|
|
BHO(Browser Helper Object,瀏覽器輔助對象,簡稱BHO)
BHO是微軟推出的作為瀏覽器對第三方程序員開放交互接口的業界標準,通過簡單的代碼就可以進入瀏覽器領域的“交互接口”(INTERACTIVED Interface)。通過這個接口,程序員可以編寫代碼獲取瀏覽器的行為,比如“后退”、“前進”、“當前頁面”等,利用BHO的交互特性,程序員還可以用代碼控制瀏覽器行為,比如修改替換瀏覽器工具欄,添加自己的程序按鈕等。這些在系統看來都是沒有問題的。BHO原來的目的是為了更好的幫助程序員打造個性化瀏覽器,以及為程序提供更簡潔的交互功能,現在很多IE個性化工具就是利用BHO的來實現。
技術優勢
“瀏覽器劫持”是一種不同于普通病毒木馬感染途徑的網絡攻擊手段,而是使用各種技術(典型的是使用DLL插件)插件對用戶的瀏覽器進行篡改。安裝后,它們會成為瀏覽器的一部分,可以直接控制瀏覽器進行指定的操作,根據需要,可以讓你打開指定的網站,甚至是收集你系統中的各種私密信息。最可怕的是只有當瀏覽器已經被劫持了,你才會發現,反應過來,原來電腦已經出現了問題。比如IE主頁被改,開機就會彈出廣告等等。目前,瀏覽器劫持已經成為Internet用戶最大的威脅之一。其實“瀏覽器劫持”就是通過BHO的技術手段進入你的系統的,而這種技術是合法的(雖然目的并不合法)。
從某種觀點看,Internet Explorer同普通的Win32程序沒有什么兩樣。借助于BHO,你可以寫一個進程內COM對象,這個對象在每次啟動時都要加載。這樣的對象會在與瀏覽器相同的上下文中運行,并能對可用的窗口和模塊執行任何行動。例如,一個BHO能夠探測到典型的事件,如“后退”、“前進”、“當前頁面”等;另外BHO能夠存取瀏覽器的菜單與工具欄并能做出修改,還能夠產生新窗口來顯示當前網頁的一些額外信息,還能夠安裝鉤子以監控一些消息和動作。
注冊表位置
BHO在注冊表中的位置是:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects,任何一個BHO插件都要在這里進行注冊,隨后IE啟動時,會自動加載該插件啟動。 BHO對象依托于瀏覽器主窗口。實際上,這意味著一旦一個瀏覽器窗口產生,一個新的BHO對象實例就要生成。任何 BHO對象與瀏覽器實例的生命周期是一致的。其次, BHO僅存在于Internet Explorer 4.0及以后版本中。
手動注冊和反注冊BHO。Regsvr32.exe /U 文件名 /S為不彈出提示
常見的插件行為
彈出廣告、 強制安裝、 無法徹底刪除 、 瀏覽器劫持
在沒有第三方工具的時候,如何查看系統中是否帶IE插件
Internet 選項------程序----管理加載項 這里看到的都是瀏覽器的插件
典型的BHO插件
3721 3721是前幾年一個很出名的IE輔助工具,被冠以流氓軟件的名稱。實際他的工作模式也是通過IE插件的模式來對IE瀏覽器進行劫持。
他們提出的口號是會中文就會上網。實現的原理是他收集大量網站的中文名,例如www.163.com的域名對應的中文名是網易,將這些信息記錄在插件中。然后在系統IE啟動時,掛載該插件。然后用戶只需要在IE地址欄中,輸入中文網易,則IE會根據插件中定義的規則,將該信息傳遞給插件,插件會重新定義該域名的信息,將自身記錄中的www.163.com的域名返回給IE,IE則根據這樣的規則進行正常的域名解析動作,實現他所提出的會中文就會上網的口號。
|
|
發表留言請先登錄!
|