原文:http://security.ctocio.com.cn/tips/92/8064592.shtml
当前的木马、病毒似乎比较钟情于“
映像劫持”,通过其达到欺骗系统和杀毒软件,进而绝杀安全软件接管系统。笔者最近就遇到很多这种类型的木马病毒,下面把自己有关
映像劫持的学习心得写下来与大家交流。
一、原理
所谓的映像劫持(IFEO)就是Image File Execution Options,它位于注册表的
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/键值下。由于这个项主要是用来调试程序用的,对一般用户意义不大,默认是只有管理员和local system有权读写修改。
比如我想运行QQ.exe,结果运行的却是FlashGet.exe,这种情况下,QQ程序被FLASHGET给劫持了,即你想运行的程序被另外一个程序代替了。
二、被劫持
虽然映像劫持是系统自带的功能,对一般用户来说根本没什么用的必要,但是就有一些病毒通过映像劫持来做文章,表面上看起来是运行了一个正常的程序,实际上病毒已经在后台运行了。
大部分的病毒和木马都是通过加载系统启动项来运行的,也有一些是注册成为系统服务来启动,他们主要通过修改注册表来实现这个目的,主要有以下几个键值:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsCurrent/Version/Run
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsCurrent/Version/RunOnce
HKEY_LOCAL_MACHINE/Software/Microsoft/WindowsCurrent/Version/RunServicesOnce
但是与一般的木马,病毒不同的是,就有一些病毒偏偏不通过这些来加载自己,不随着系统的启动运行。木马病毒的作者抓住了一些用户的心理,等到用 户运行某个特定的程序的时候它才运行。因为一般的用户,只要发觉自己的机子中了病毒,首先要察看的就是系统的加载项,很少有人会想到映像劫持,这也是这种 病毒高明的地方。
映像劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/项来劫持正常的程序,比如有一个病毒 vires.exe 要劫持qq程序,它会在上面注册表的位置新建一个qq.exe项,再在这个项下面新建一个字符串的键 debugger把其值改为C:/WINDOWS/ SYSTEM32/VIRES.EXE(这里是病毒藏身的目录)即可。
三、玩劫持
1、禁止某些程序的运行
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/qq.exe]
Debugger=123.exe
把上面的代码保存为norun_qq.reg,双击导入注册表,每次双击运行QQ的时候,系统都会弹出一个框提示说找不到QQ,原因就QQ被重定向了。如果要让QQ继续运行的话,把123.exe改为其安装目录就可以了。
2、偷梁换柱恶作剧
每次我们按下CTRL+ALT+DEL键时,都会弹出任务管理器,想不想在我们按下这些键的时候让它弹出命令提示符窗口,下面就教你怎么玩:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/taskmgr.exe]
Debugger=D:/WINDOWS/pchealth/helpctr/binaries/mconfig.exe
将上面的代码另存为 task_cmd.reg,双击导入注册表。按下那三个键打开了“系统配置实用程序”。
3、让病毒迷失自我
同上面的道理一样,如果我们把病毒程序给重定向了,是不是病毒就不能运行了,答案是肯定的。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/sppoolsv.exe]
Debugger=123.exe
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/logo_1.exe]
Debugger=123.exe
上面的代码是以金猪病毒和威金病毒为例,这样即使这些病毒在系统启动项里面,即使随系统运行了,但是由于映象劫持的重定向作用,还是会被系统提示无法找到病毒文件(这里是logo_1.exe和sppoolsv.exe)。
四、防劫持
1、权限限制法
打开注册表编辑器,定位到
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/,选中该项,右键→权限→高级,取消administrator和system用户的写权限即可。
2、快刀斩乱麻法
打开注册表编辑器,定位到[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/,把“Image File Execution Options”项删除即可。
总结:以上关于映像劫持的解析与利用但愿对于大家查杀木马病毒有所帮助,也希望大家能够挖掘更多更实用的功能。
分享到:
相关推荐
### 映像劫持技术与安全防范 #### 映像劫持技术简介 映像劫持(Image File Execution Options, IFEO)是Windows操作系统中的一个功能,最初设计用于调试目的。通过映像劫持,可以在执行特定程序时启动另一个程序或...
IFEO(Image File Execution Options)映像挟持是Windows操作系统中一种高级调试技术,它允许开发者在特定可执行文件启动时插入一个调试器或其他辅助工具。然而,有时恶意软件会利用这一机制来劫持正常程序的执行...
### 映像劫持技术(IFEO):深入解析与防范策略 #### 一、映像劫持(IFEO)概述 映像劫持技术(IFEO),全称Image File Execution Options,是微软操作系统中的一项高级功能,最初设计目的是为了方便开发者进行程序的...
此外,映像劫持技术还可能与其他恶意软件结合使用,使得恶意软件的传播和激活更加难以察觉。然而,应当指出的是,研究和讨论这种技术的目的应当是为了更好地理解安全威胁和提升防护措施,并非用于从事非法活动。非法...
这种现象通常是由病毒、木马或者恶意软件造成的,它们利用了"镜象劫持"(也称为映像劫持)的技术来干扰系统的正常运行。 镜象劫持是一种高级的恶意软件策略,它通过修改操作系统的动态链接库(DLL)加载机制,将...
6. **DLL注入**:DLL注入有消息钩子、映像劫持和远程线程注入等方法,常用于调试或恶意攻击。 7. **反DLL注入**:通过检查加载的DLL和其行为,确保只有预期的DLL被加载。 8. **Inline Hook原理**:Inline Hook是...
此外,AV终结者还会进行映像劫持,通过在`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options`下添加注册表项,阻止安全软件和系统管理软件的运行,例如360系列软件等...
本文将详细介绍如何检查电脑是否中毒,包括分析进程、自启动项、网络连接、安全模式、映像劫持以及CPU时间。 首先,我们要关注的是电脑的进程。进程是操作系统中正在运行的程序实例,恶意软件常常通过伪装成正常...
为了提高隐蔽性和破坏力,病毒开发者正将Rootkit技术、映像劫持以及磁盘过滤驱动技术等融合在一起,创建出难以检测和清除的复杂病毒。这些病毒可以隐藏在操作系统深处,甚至能够实时监测并对抗反病毒软件,极大地...
(修复映像劫持) 10、点安全检查-常规检查-注册表键值改动检测-找到以下,点右键-修复。(修复文件关联) 11、点安全检查-常规检查-winsock-找到以下项-右键备份后删除。 12、点工具-重起。如果已解决,...
※利用防毒浏览器可以在身中恶劣病毒的情况下依然方便、安全的访问搜索引擎与各大反病毒站点。 ※超低功耗实时监控,根据用户需要自动检测并清除插入的移动磁盘中的病毒,彻底切断病毒通过U盘感染电脑的途径。 ...
[映像劫持],有些木马使用 "IFEO" 让安全软件无法运行,本软件可以删除这些劫持项,恢复系统的正常运行。[自定义病毒库],本软件病毒库为自己定义,软件可以识别的病毒,会随着你增加的病毒数量而增加,不存在升级...
【计算机常见故障知识库】 1. **MHDD详解** - **定义**:MHDD是来自俄罗斯Maysoft公司的硬盘诊断工具,它...以上就是计算机常见故障的处理和预防知识,通过理解和实践这些技巧,可以有效提高电脑的稳定性和使用寿命。
”在现代网络安全领域,rootkit与特洛伊木马、病毒和其他恶意软件往往紧密相连,共同构成所谓的“恶意软件”(malware)。 #### Rootkit分类 根据其运行空间的不同,rootkit可以分为两类:用户空间rootkit和内核...
是一款集防御、查杀、修复等诸多功能为一体...此外,它还有系统功能修复、映像劫持修复、隐藏文档修复、文档管理器、进程管理器、启动项管理器、防毒浏览器等一整套防护辅助工具,让您从此不再为U盘病毒的侵扰而苦恼。
12.查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持 13.ObjectType Hook检测和恢复,提供了禁止创建进程,禁止创建线程,禁止创建文件,禁止创建注册表,禁止加载模块,禁止消息钩子注入,禁止关机重启...
12.查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联、系统防火墙规则、IME 13.ObjectType Hook检测和恢复 14.DPC定时器检测和删除 15.MBR Rootkit检测和修复 16.内核对象劫持检测 17.其它一些...
反黑客工具1:软件设置中的模块、服务简洁显示 简洁显示会过滤所微软文件,但在使用了“校验微软文件签名”功能后,通不过的微软文件也会显示出来。 SSDt右键“全部显示”是默认动作,当取消这个选项后,则仅显示...
4. **线程劫持**:这种技术涉及到替换目标进程中的现有线程的返回地址,使其跳转到注入的代码段执行。完成后,线程会继续执行原来的流程。 5. **Hook技术**:钩子是一种拦截系统调用或API调用的方法。注入进程可以...