发现两个IE图标时,应通过五步法鉴别真伪:一查属性路径与数字签名,二验进程文件位置,三比图标资源与版本号,四核SHA256哈希值,五用IE重置功能修复协议关联。
如果您在电脑桌面或开始菜单中发现两个IE浏览器图标,其中可能混有伪装成IE的恶意程序或快捷方式,导致误点后跳转至钓鱼网站或触发异常行为。以下是区分真假IE浏览器的方法:
一、检查图标的属性信息
真实IE浏览器的可执行文件路径固定且签名可信,而假冒图标往往指向非系统目录下的可疑程序或脚本。通过属性窗口可快速识别来源是否合法。
1、右键点击其中一个IE图标,选择“属性”。
2、在“快捷方式”选项卡中,查看“目标”字段内容:真实IE应显示为 "C:\Program Files\Internet Explorer\iexplore.exe" 或 "C:\Program Files (x86)\Internet Explorer\iexplore.exe"。
3、切换到“数字签名”选项卡:真实IE图标对应程序具有Microsoft Corporation 的有效签名;若显示“无数字签名”或签名者为未知名称,则为假冒。
二、验证进程与文件路径一致性
运行中的IE浏览器进程必须由系统目录下的iexplore.exe启动,任何从用户目录、临时文件夹或下载目录发起的IE进程均属异常。
1、按 Ctrl+Shift+Esc 打开任务管理器,切换到“详细信息”选项卡。
2、找到所有名为 iexplore.exe 的进程,右键选择“打开文件所在的位置”。
3、确认该路径是否为 C:\Program Files\Internet Explorer\ 或 C:\Program Files (x86)\Internet Explorer\;若跳转至 AppData、Temp、Downloads 等非系统路径,则为伪造进程。
三、比对图标资源与版本号
正版IE浏览器图标由系统资源动态加载,其版本号与Windows系统内置版本严格对应,而仿冒图标多为静态图片替换,版本信息明显不符。
1、在“属性”窗口的“详细信息”选项卡中,查找“产品版本”字段。
2、Windows 10系统中正版IE11版本号应为 11.0.×××××.××××(末尾数字随系统更新变化);若显示为 1.0.0.0、0.0.0.0 或含字母编号,则为伪造。
3、点击“常规”选项卡中的“更改图标”按钮:正版IE图标无法被修改,按钮呈灰色;若可编辑并显示自定义ICO路径,则该快捷方式已被篡改。
四、扫描快捷方式目标文件哈希值
通过比对文件SHA256哈希值可精确判定是否为微软官方发布版本,避免因文件名欺骗导致误判。
1、在PowerShell中以管理员身份运行,输入命令:Get-FileHash "C:\Program Files\Internet Explorer\iexplore.exe" -Algorithm SHA256。
2、记录输出的哈希值,访问微软官方安全情报页面核对是否匹配已知可信哈希列表。
3、对另一IE快捷方式的目标路径重复执行上述命令:若哈希值与微软公布值不一致,或提示“文件不存在”、“拒绝访问”,则该图标指向非法程序。
五、使用系统自带工具重置IE关联
部分假冒图标通过劫持文件关联或协议处理程序实现伪装,利用系统内置修复功能可强制还原IE原始注册状态。
1、打开“控制面板”→“网络和Internet”→“Internet选项”→“高级”选项卡。
2、点击“重置”按钮,在弹出窗口中勾选 “删除个人设置” 后确认执行。
3、重置完成后,进入“默认程序”→“将默认程序按协议排序”,查找 http、https、ftp 协议项,确认其默认处理器为 Internet Explorer 而非其他名称相似程序。
