当前的***、病毒似乎比较钟情于“映像劫持”,通过其达到欺骗系统和杀毒软件,进而绝杀安全软件接管系统。笔者最近就遇到很多这种类型的***病毒,下面把自己有关映像劫持的学习心得写下来与大家交流。
  一、原理<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
  所谓的映像劫持(IFEO)就是Image File Execution Options,它位于注册表的
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\键值下。由于这个项主要是用来调试程序用的,对一般用户意义不大,默认是只有管理员和local system有权读写修改。
  比如我想运行QQ.exe,结果运行的却是FlashGet.exe,这种情况下,QQ程序被FLASHGET给劫持了,即你想运行的程序被另外一个程序代替了。
  二、被劫持
  虽然映像劫持是系统自带的功能,对一般用户来说根本没什么用的必要,但是就有一些病毒通过映像劫持来做文章,表面上看起来是运行了一个正常的程序,实际上病毒已经在后台运行了。
  大部分的病毒和***都是通过加载系统启动项来运行的,也有一些是注册成为系统服务来启动,他们主要通过修改注册表来实现这个目的,主要有以下几个键值:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrent\Version\Run
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrent\Version\RunOnce
  HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrent\Version\RunServicesOnce
  但是与一般的***,病毒不同的是,就有一些病毒偏偏不通过这些来加载自己,不随着系统的启动运行。***病毒的作者抓住了一些用户的心理,等到用户运行某个特定的程序的时候它才运行。因为一般的用户,只要发觉自己的机子中了病毒,首先要察看的就是系统的加载项,很少有人会想到映像劫持,这也是这种病毒高明的地方。
  映像劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\项来劫持正常的程序,比如有一个病毒 vires.exe 要劫持qq程序,它会在上面注册表的位置新建一个qq.exe项,再在这个项下面新建一个字符串的键 debugger把其值改为C:\WINDOWS\SYSTEM32\VIRES.EXE(这里是病毒藏身的目录)即可。
  三、玩劫持
  1、禁止某些程序的运行
  Windows Registry Editor Version 5.00
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qq.exe]
  Debugger=123.exe
  把上面的代码保存为norun_qq.reg,双击导入注册表,每次双击运行QQ的时候,系统都会弹出一个框提示说找不到QQ,原因就QQ被重定向了。如果要让QQ继续运行的话,把123.exe改为其安装目录就可以了。2、偷梁换柱恶作剧
  每次我们按下CTRL+ALT+DEL键时,都会弹出任务管理器,想不想在我们按下这些键的时候让它弹出命令提示符窗口,下面就教你怎么玩:
  Windows Registry Editor Version 5.00
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
  Debugger=D:\WINDOWS\pchealth\helpctr\binaries\mconfig.exe
  将上面的代码另存为 task_cmd.reg,双击导入注册表。按下那三个键打开了“系统配置实用程序”。
  3、让病毒迷失自我
  同上面的道理一样,如果我们把病毒程序给重定向了,是不是病毒就不能运行了,答案是肯定的。
  Windows Registry Editor Version 5.00
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sppoolsv.exe]
  Debugger=123.exe
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\logo_1.exe]
  Debugger=123.exe
  上面的代码是以金猪病毒和威金病毒为例,这样即使这些病毒在系统启动项里面,即使随系统运行了,但是由于映象劫持的重定向作用,还是会被系统提示无法找到病毒文件(这里是logo_1.exe和sppoolsv.exe)。
  四、防劫持
  1、权限限制法
  打开注册表编辑器,定位到
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\,选中该项,右键→权限→高级,取消administrator和system用户的写权限即可。
  2、快刀斩乱麻法

  打开注册表编辑器,定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\,把“Image File Execution Options”项删除即可。

转载于:https://blog.51cto.com/26541/110614

映像劫持与反劫持技术相关推荐

  1. windows映像劫持技术

    今天看windows创建进程的过程,第一个阶段怎么看都看明白,里面说要查看什么注册表,看看有debugger值什么的.后来查了下百度,原来就启动一个进程的一个小阶段被病毒广泛利用,也就是下面说的映像劫 ...

  2. 映像劫持技术(1):简单介绍

    映像劫持,即Image File Execution Option.在深入了解这个概念之前,可以简单地认为,它可以令应用程度重定向.这是注册表里的一个功能,可以做这样的尝试: 打开注册表--定位到 H ...

  3. 使用Windows映像劫持技术实现自动登录

    单位要求办公电脑必须设置登录密码,要求密码长度不小于10,要求字母和数字混合,要求有大小写,还要求有特殊字符,最变态的是要求屏幕保护时间为1分钟,在恢复屏幕时显示登录界面 是可忍孰不可忍,叔可忍,婶也 ...

  4. 后渗透篇:映像劫持技术

    当你的才华 还撑不起你的野心时 那你就应该静下心来学习 映像劫持技术 所谓的映像劫持就是Image File Execution Options(IFEO),位于注册表的 HKEY_LOCAL_MAC ...

  5. 防范IFEO映像劫持

    由于最近病毒都采用了IFEO映像劫持技术,导致杀软无法运行或提示无法打开文件,最近此类病毒非常流行,病毒清除操作起来相对复杂一些,所以今天特意发帖强调大家注意. 关于IFEO的介绍网络上有非常多,本文 ...

  6. 防范映像劫持(IFEO HIJACK)

    由于最近病毒都采用了IFEO映像劫持技术,导致杀软无法运行或提示无法打开文件,最近此类病毒非常流行,病毒清除操作起来相对复杂一些,所以今天特意发帖强调大家注意. 关于IFEO的介绍网络上有非常多,本文 ...

  7. C语言,后门程序,C++映像劫持后门实例分析

    // freeheart.cpp : Defines the entry point for the console application. //学习交流使用,违法使用后果自负. // by:cnb ...

  8. 实例讲解映像劫持的使用技巧——通过映像劫持实现Notepad2替换记事本

    所谓"映像劫持",就是Image File Execution Options,是CreateProcess函数中的一个功能,即在可执行程序运行时,Windows会先检测对应IFE ...

  9. 安全之路 —— 通过映像劫持实现文件自启动

    简介 Windows映像劫持技术是微软提供给软件开发者调试使用的在注册表项,能够替换目标进程执行.但如果被病毒木马利用,便会成为触发式自启动的绝佳方式,所以修改映像劫持的操作行为也被反病毒软件列为极其 ...

  10. 基于windows下的映像劫持实现“勒索病毒”

    基于windows下的映像劫持实现"勒索病毒" . ##什么是映像劫持? 关于映像劫持,我曾经在博客中给大家讲过,在此就不再阐述了. 附上文章传送门:https://blog.cs ...

最新文章

  1. 2021 年了,机器/深度学习还有哪些坑比较好挖?
  2. 【Android基础】序列化 Serializable vs Parcelable
  3. 进阶学习(3.2)Factory Method Pattern 工厂方法模式
  4. Solr字段类型field type的定义
  5. DLL回调EXE里的函数
  6. python为类定义构造函数
  7. keep-alive + vuex + mint + Infinite scroll 保存分页列表数据
  8. Ubuntu MySQL 配置 ip binding
  9. 【note】Swift初见笔记
  10. 6421B Lab11 为分支机构优化数据访问
  11. 免费好用的视频格式转换器是哪个呢
  12. java ibm notes_使用Java API从Lotus Notes NSF文件中提取电子邮件
  13. 引用还是传值——被打脸后才发现多年的理解是错的
  14. 学会理解和更新kali软件源
  15. 未能加载文件或程序集“FastReport
  16. ERP、CRM、OA的区别是什么?
  17. lwip【4】 lwIP配置文件opt.h和lwipopts.h初步分析之一
  18. 1Flask使用2路由3模板
  19. C语言编写一个函数,实现计算并返回一个整数的平方(或立方)
  20. js模糊匹配(like)

热门文章

  1. 反射的学习(参考尚硅谷视频)
  2. 笔记本一接上HDMI转VGA转换器就黑屏,无法操作连接显示器
  3. Java输入输出流体系
  4. MATLAB利用小波分析提取周期
  5. 帆软报表嵌入python程序_C#教程之C#服务器端生成报告文档:使用帆软报表
  6. scipy的安装教程
  7. python结构_科学网—Python与结构分析(1)---反应谱 - 潘超的博文
  8. java sort 字符串_java字符串怎么排序
  9. DSP技术是利用计算机或,什么是dsp技术?dsp技术有哪些应用?
  10. Linux内核编译 —— 配置文件