长沙电脑维修-长沙电脑上门维修-笔记本维修-上门修显示器
滚动新闻:
  网站首页     维修业界     网络安全     硬件故障     软件故障     系统故障     硬件维修     系统安装     驱动下载     维修信息  
欢迎来到长沙电脑维修网,一个电话上门维修电脑 13347311093 0731-82917806 您的满意是我们进步的动力! 请您留言|设为首页|加入收藏
长沙电脑上门维修
您当前位置:网站首页 >> 网络安全 >> 技术文章 >> 正文阅读

映像劫持IFEO与反劫持技术


来源:长沙电脑维修 发布时间:2010-08-31 20:20:47 查看次数:

长沙监控安装

当前的木马、病毒似乎比较钟情于“映像劫持”,通过其达到欺骗系统和杀毒软件,进而绝杀安全软件接管系统。笔者最近就遇到很多这种类型的木马病毒,下面长沙电脑维修网就映像劫持的知识与大家交流。

一、原理

所谓的映像劫持(IFEO)就是Image File Execution Options,它位于注册表的   
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\键值下。由于这个项主要是用来调试程序用的,对一般用户意义不大,默认是只有管理员和local system有权读写修改。

比如我想运行QQ.exe,结果运行的却是FlashGet.exe,这种情况下,QQ程序被FLASHGET给劫持了,即你想运行的程序被另外一个程序代替了。

二、被劫持

虽然映像劫持是系统自带的功能,对一般用户来说根本没什么用的必要,但是就有一些病毒通过映像劫持来做文章,表面上看起来是运行了一个正常的程序,实际上病毒已经在后台运行了。

大部分的病毒和木马都是通过加载系统启动项来运行的,也有一些是注册成为系统服务来启动,他们主要通过修改注册表来实现这个目的,主要有以下几个键值:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrent\Version\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrent\Version\RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrent\Version\RunServicesOnce

但是与一般的木马,病毒不同的是,就有一些病毒偏偏不通过这些来加载自己,不随着系统的启动运行。木马病毒的作者抓住了一些用户的心理,等到用户运行某个特定的程序的时候它才运行。因为一般的用户,只要发觉自己的机子中了病毒,首先要察看的就是系统的加载项,很少有人会想到映像劫持,这也是这种病毒高明的地方。

映像劫持病毒主要通过修改注册表中的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\项来劫持正常的程序,比如有一个病毒 vires.exe 要劫持qq程序,它会在上面注册表的位置新建一个qq.exe项,再在这个项下面新建一个字符串的键   debugger把其值改为C:\WINDOWS\SYSTEM32\VIRES.EXE(这里是病毒藏身的目录)即可。

三、玩劫持

1、禁止某些程序的运行

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qq.exe]

Debugger=123.exe

把上面的代码保存为norun_qq.reg,双击导入注册表,每次双击运行QQ的时候,系统都会弹出一个框提示说找不到QQ,原因就QQ被重定向了。如果要让QQ继续运行的话,把123.exe改为其安装目录就可以了。

 2、偷梁换柱恶作剧

每次我们按下CTRL+ALT+DEL键时,都会弹出任务管理器,想不想在我们按下这些键的时候让它弹出命令提示符窗口,下面就教你怎么玩:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
Debugger=D:\WINDOWS\pchealth\helpctr\binaries\mconfig.exe
将上面的代码另存为 task_cmd.reg,双击导入注册表。按下那三个键打开了“系统配置实用程序”。

3、让病毒迷失自我

同上面的道理一样,如果我们把病毒程序给重定向了,是不是病毒就不能运行了,答案是肯定的。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sppoolsv.exe]

Debugger=123.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\logo_1.exe]

Debugger=123.exe

上面的代码是以金猪病毒和威金病毒为例,这样即使这些病毒在系统启动项里面,即使随系统运行了,但是由于映象劫持的重定向作用,还是会被系统提示无法找到病毒文件(这里是logo_1.exe和sppoolsv.exe)。

四、防劫持

1、权限限制法

打开注册表编辑器,定位到   
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\,选中该项,右键→权限→高级,取消administrator和system用户的写权限即可。

2、快刀斩乱麻法

打开注册表编辑器,定位到
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\,把“Image File Execution Options”项删除即可。

长沙电脑维修网总结:以上关于映像劫持的解析与利用但愿对于大家查杀木马病毒有所帮助,也希望大家能够挖掘更多更实用的功能。

·上一条:解决并防范“映像劫持”IFEO的四种常规方法
·下一条:如何禁止非法用户进入安全模式
相关文章
·摆脱黑客骚扰的十个技巧 2010-09-27 22:01:24
·台式电脑网卡坏了,无线网还能用么 2016-06-12 09:08:55
·电脑用360浏览器时间长了老是卡屏 2010-09-26 16:31:46
·如何看自己家的WIFI是否被盗用 2012-10-30 23:36:07
·小谈宽带维护的经验 2010-07-23 02:38:59
·关于显示和音频的硬件加速 2011-11-10 02:01:23
·一台主机设置双显示器 2010-09-21 21:56:56
·光驱坏了用什么方法装系统 2010-09-18 20:56:57
文章评论
现在有0人对本文发表评论 查看所有评论
同行交流
电脑维修公司
宇翔电脑维修
  最新文章
·电脑开机按F8出现的启动菜单分别是什么意思
·几台电脑怎样共享一部打印机
·手机WIFI可以上网电脑网线无法使用怎么办
·台式电脑网卡坏了,无线网还能用么
·家里台式电脑不插网线怎么能连上wifi无线网
·常见路由器默认初始用户名和密码
·苹果iMac电脑安装Windows7时出现黑屏
·交换机不稳定可能出现的网络问题
·如何防止人家盗用你的无线网络
·为您讲述主机电源是如何保护的?
·如何清空电脑上存储的用户名和密码
·如何让您的电脑安全关机?
·如何解决AGP显卡与AMD牌CPU冲突
·电脑不能开网页 发出数据包多但接收很少
·教你如何禁止使用U盘和移动硬盘
苹果双系统安装
  热门文章
·如何看自己家的WIFI是否被盗用
·家里无线(WIFI)网络被盗用怎么办
·家里台式电脑不插网线怎么能连上wifi无线网
·电脑开机后显示图标很慢,进入桌面很慢是什
·浏览器IE怎么禁用或暂停迅雷等下载工具
·平板电脑能连无线网络(WiFi)却打不开网页
·家里的无线局域网络为什么电脑能用而手机不
·已取消到该网页的导航的解决方法
·交换机不稳定可能出现的网络问题
·家庭网络布线的一般方案
·笔记本电脑无线能上网但是手机无线却连接不
·如何破解WEP无线网络WLAN
·详解4M宽带下载速度?4M等于多少kb?
·浅谈内网安全之防护法
·手机WIFI可以上网电脑网线无法使用怎么办
关于我们 | 公司介绍 | 维修报价 | 免责声明 | 阅读须知 | 内容目录 | 湘ICP备16016646号-1
联系邮箱:270024428@qq.com 联系QQ:270024428
Copyright 2019, 长沙电脑维修网版权所有.