萬盛學電腦網

 萬盛學電腦網 >> 健康知識 >> 安全基礎知識:認識病毒的映象劫持技術

安全基礎知識:認識病毒的映象劫持技術

映像劫持的定義(什麼是映像劫持?)  所謂的映像劫持(IFEO)就是Image File Execution Options,位於注冊表的   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options      由於這個項主要是用來調試程序用的,對一般用戶意義不大。默認是只有管理員和local system有權讀寫修改。   通俗一點來說,就是比如我想運行QQ.exe,結果運行的卻是FlashGet.exe,也就是說在這種情況下,QQ程序被FLASHGET給劫持了,即你想運行的程序被另外一個程序代替了。   映像劫持病毒   雖然映像劫持是系統自帶的功能,對我們一般用戶來說根本沒什麼用的必要,但是就有一些病毒通過映像劫持來做文章,表面上看起來是運行了一個程序,實際上病毒已經在後台運行了。   大部分的病毒和木馬都是通過加載系統啟動項來運行的,也有一些是注冊成為系統服務來啟動,他們主要通過修改注冊表來實現這個目的,主要有以下幾個方面:   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce      更多啟動項請參考:系統啟動時所有可能加載啟動程序的方式&&&系統加載方式一文。   但是與一般的木馬,病毒不同的是,就有一些病毒偏偏不通過這些來加載自己,不隨著系統的啟動運行,而是等到你運行某個特定的程序的時候運行,這也抓住了一些用戶的心理,一般的用戶,只要發覺自己的機子中了病毒,首先要察看的就是系統的加載項,很少有人會想到映像劫持,這也是這種病毒高明的地方。   映像劫持病毒主要通過修改注冊表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution options 項來劫持正常的程序,比如有一個病毒 vires.exe 要劫持 qq 程序,它會在上面注冊表的位置新建一個qq.exe項,再這個項下面新建一個字符串的鍵值 debugger 內容是:C:\WINDOWS\SYSTEM32\VIRES.EXE(這裡是病毒藏身的目錄)即可。當然如果你把該字符串值改為任意的其他值的話,,系統就會提示找不到該文件。   映像脅持的基本原理   WINDOWS NT系統在試圖執行一個從命令行調用的可執行文件運行請求時,先會檢查運行程序是不是可執行文件,如果是的話,再檢查格式的,然後就會檢查是否存在。如果不存在的話,它會提示系統找不到文件或者是“指定的路徑不正確等等。把這些鍵刪除後,程序就可以運行!   映像劫持的應用   ★ 禁止某些程序的運行   先看一段代碼:   Windows Registry Editor Version 5.00   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File   Execution Options\qq.exe]   "Debugger"="123.exe"      把它保存為 norun_qq.reg,雙擊導入注冊表,打開你的QQ看一下效果!  這段代碼的作用是禁止QQ運行,每次雙擊運行QQ的時候,系統都會彈出一個框提示說找不到QQ,原因就是QQ被重定向了。如果要讓QQ繼續運行的話,把123.exe改為其安裝目錄就可以了。

 

  ★ 偷梁換柱惡作劇   每次我們按下CTRL ALT DEL鍵時,都會彈出任務管理器,想不想在我們按下這些鍵的時候讓它彈出命令提示符窗口,下面就教你怎麼玩:   Windows Registry Editor Version 5.00   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File   Execution Options\taskmgr.exe]   "Debugger"="C:\\WINDOWS\\pchealth\\helpctr\\binaries\\msconfig.exe"      將上面的代碼另存為 task_cmd.reg,雙擊導入注冊表。按下那三個鍵看是什麼效果,不用我說了吧,是不是很驚訝啊!精彩的還在後頭呢?   ★讓病毒迷失自我   同上面的道理一樣,如果我們把病毒程序給重定向了,是不是病毒就不能運行了,答案是肯定的!下面就自己試著玩吧!   Windows Registry Editor Version 5.00   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File   Execution Options\sppoolsv.exe]   "Debugger"="123.exe"   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File   Execution Options\logo_1.exe]   "Debugger"="123.exe"      上面的代碼是以金豬報喜病毒和威金病毒為例,這樣即使這些病毒在系統啟動項裡面,即使隨系統運行了,但是由於映象劫持的重定向作用,還是會被系統提示無法找到病毒文件(這裡是logo_1.exe和sppoolsv.exe)。是不是很過瘾啊,想不到病毒也有今天!   當然你也可以把病毒程序重定向到你要啟動的程序中去,如果你想讓QQ開機自啟動,你可以把上面的123.exe改為你QQ的安裝路徑即可,但是前提是這些病毒必須是隨系統的啟動而啟動的。   映像劫持的應用也講了不少了,下面就給大家介紹一下如何防止映象劫持吧!   關於映像劫持的預防,主要通過以下幾個方法來實現:   ★權限限制法   如果用戶無權訪問該注冊表項了,它也就無法修改這些東西了。打開注冊表編輯器,進入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows   NT\CurrentVersion\Image File Execution Options ,選中該項,右鍵——>權限——>高級,將administrator 和 system 用戶的權限調低即可(這裡只要把寫入操作給取消就行了)。   ★快刀斬亂麻法   打開注冊表編輯器,進入把   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options      項,直接刪掉 Image File Execution Options 項即可解決問題。
copyright © 萬盛學電腦網 all rights reserved