當前的木馬、病毒似乎比較鍾情於「映像劫持」,通過其達到欺騙系統和防毒軟體,進而絕殺安全軟體接管系統。小水最近就遇到這種型別的木馬病毒,下面把自己有關映像劫持的學習心得寫下來與大家交流。
一、原理
所謂的映像劫持
(ifeo)
就是image file execution options
,它位於登錄檔的
hkey_local_machine/software/microsoft/windows nt/currentversion/image file execution options/
鍵值下。由於這個項主要是用來除錯程式用的,對一般使用者意義不大,預設是只有管理員和
local system
有權讀寫修改。
比如我想執行
qq.exe
,結果執行的卻是
flashget.exe
,這種情況下,
qq程式被
flashget
給劫持了,即你想執行的程式被另外乙個程式代替了。
二、被劫持
雖然映像劫持是系統自帶的功能,對一般使用者來說根本沒什麼用的必要,但是就有一些病毒通過映像劫持來做文章,表面上看起來是執行了乙個正常的程式,實際上病毒已經在後台執行了。
大部分的病毒和木馬都是通重載入系統啟動項來執行的,也有一些是註冊成為系統服務來啟動,他們主要通過修改登錄檔來實現這個目的,主要有以下幾個鍵值:
hkey_local_machine/software/microsoft/windowscurrent/version/run
hkey_local_machine/software/microsoft/windows nt/currentversion/winlogon/notify
hkey_local_machine/software/microsoft/windowscurrent/version/runonce
hkey_local_machine/software/microsoft/windowscurrent/version/runservicesonce
但是與一般的木馬,病毒不同的是,就有一些病毒偏偏不通過這些來載入自己,不隨著系統的啟動執行。木馬病毒的作者抓住了一些使用者的心理,等到使用者執行某個特定的程式的時候它才執行。因為一般的使用者,只要發覺自己的機子中了病毒,首先要察看的就是系統的載入項,很少有人會想到映像劫持,這也是這種病毒高明的地方。
映像劫持病毒主要通過修改登錄檔中的
hkey_local_machine/software/microsoft/windows nt/currentversion/image file execution options/
項來劫持正常的程式,比如有乙個病毒
vires.exe
要劫持qq
程式,它會在上面登錄檔的位置新建乙個
qq.exe
項,再在這個項下面新建乙個字串的鍵
debugger
把其值改為
c:/windows/system32/vires.exe(
這裡是病毒藏身的目錄
)即可。
三、玩劫持
1、禁止某些程式的執行
windows registry editor version 5.00
[hkey_local_machine/software/microsoft/windows nt/currentversion/image file execution options/qq.exe]
debugger=123.exe
把上面的**儲存為
norun_qq.reg
,雙擊匯入登錄檔,每次雙擊執行
qq的時候,系統都會彈出乙個框提示說找不到
qq,原因就
qq被重定向了。如果要讓
qq繼續執行的話,把
123.exe
改為其安裝目錄就可以了。
2、偷梁換柱惡作劇
每次我們按下
ctrl+alt+del
鍵時,都會彈出任務管理器,想不想在我們按下這些鍵的時候讓它彈出命令提示符視窗,下面就教你怎麼玩:
windows registry editor version 5.00
[hkey_local_machine/software/microsoft/windows nt/currentversion/image file execution options/taskmgr.exe]
debugger=d:/windows/pchealth/helpctr/binaries/mconfig.exe
將上面的**另存為
task_cmd.reg
,雙擊匯入登錄檔。按下那三個鍵開啟了「系統配置實用程式」。
3、讓病毒迷失自我
同上面的道理一樣,如果我們把病毒程式給重定向了,是不是病毒就不能執行了,答案是肯定的。
windows registry editor version 5.00
[hkey_local_machine/software/microsoft/windows nt/currentversion/image file execution options/sppoolsv.exe]
debugger=123.exe
[hkey_local_machine/software/microsoft/windows nt/currentversion/image file execution options/logo_1.exe]
debugger=123.exe
上面的**是以金豬病毒和威金病毒為例,這樣即使這些病毒在系統啟動項裡面,即使隨系統執行了,但是由於映象劫持的重定向作用,還是會被系統提示無法找到病毒檔案
(這裡是
logo_1.exe
和sppoolsv.exe)
。四、防劫持
1、許可權限制法
開啟登錄檔編輯器,定位到
[hkey_local_machine/software/microsoft/windows nt/currentversion/image file execution options/
,選中該項,右鍵→許可權→高階,取消
administrator
和system
使用者的寫許可權即可。
2、快刀斬亂麻法
開啟登錄檔編輯器,定位到
[hkey_local_machine/software/microsoft/windows nt/currentversion/
,把「image file execution options
」項刪除即可。
總結:以上關於映像劫持的解析與利用但願對於大家查殺木馬病毒有所幫助,也希望大家能夠挖掘更多更實用的功能。
把病毒在登錄檔所建立 hkey_local_machine/software/microsoft/windows nt/currentversion/image file execution options/下的項全部刪除,如果刪不掉,可以用冰刃刪除,病毒主題檔案一般用防毒軟體是殺不掉的,請用超級巡警刪除
映像劫持教程
紅色黑客聯盟 夜 qq 48861932 映像劫持 基本症狀 可能有朋友遇到過這樣的情況,乙個正常的程式,無論把它放在哪個位置,或者是一 個程式重新用安裝盤修復過,都出現無法執行的情況,或是出錯提示為 找不到檔案 或者直接沒有運 行起來的反應,或者是比如執行程式a卻成了執行b 可能是病毒 而改名後卻...
映像劫持技術 IFEO
相關登錄檔項 hkey local machine software microsoft windows nt currentversion image file execution options 方法 新建項 被劫持的應用程式 命令列指令 項內新建字串鍵 名為 debugger 鍵值 劫持到的目...
映像劫持 程式重定向
有關hkey local machine software microsoft windows nt currentversion image file execution options 映像劫持的示例 如下 include include using namespace std void mai...