萬盛學電腦網

 萬盛學電腦網 >> 病毒防治 >> 認識映象劫持技術原理與解決辦法

認識映象劫持技術原理與解決辦法

  映像劫持的定義

  所謂的映像劫持(IFEO)就是Image File Execution Options,位於注冊表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options。由於這個項主要是用來調試程序用的,對一般用戶意義不大。默認是只有管理員和local system有權讀寫修改。

  通俗一點來說,就是比如我想運行QQ.exe,結果運行的卻是FlashGet.exe,也就是說在這種情況下,QQ程序被FLASHGET給劫持了,即你想運行的程序被另外一個程序代替了。

  映像劫持病毒

  雖然映像劫持是系統自帶的功能,對我們一般用戶來說根本沒什麼用的必要,但是就有一些病毒通過映像劫持來做文章,表面上看起來是運行了一個程序,實際上病毒已經在後台運行了。

  大部分的病毒和木馬都是通過加載系統啟動項來運行的,也有一些是注冊成為系統服務來啟動,他們主要通過修改注冊表來實現這個目的,主要有以下幾個方面:

  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs

  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify

  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce

  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce

  更多啟動項請參考:系統啟動時所有可能加載啟動程序的方式&&&系統加載方式一文。

  但是與一般的木馬,病毒不同的是,就有一些病毒偏偏不通過這些來加載自己,不隨著系統的啟動運行,而是等到你運行某個特定的程序的時候運行,這也抓住了一些用戶的心理,一般的用戶,只要發覺自己的機子中了病毒,首先要察看的就是系統的加載項,很少有人會想到映像劫持,這也是這種病毒高明的地方。

  映像劫持病毒主要通過修改注冊表中的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution options 項來劫持正常的程序,比如有一個病毒 vires.exe 要劫持 qq 程序,它會在上面注冊表的位置新建一個qq.exe項,再這個項下面新建一個字符串的鍵值 debugger 內容是:C:WINDOWSSYSTEM32VIRES.EXE(這裡是病毒藏身的目錄)即可。當然如果你把該字符串值改為任意的其他值的話,系統就會提示找不到該文件。

  映像脅持的基本原理

  WINDOWS NT系統在試圖執行一個從命令行調用的可執行文件運行請求時,先會檢查運行程序是不是可執行文件,如果是的話,再檢查格式的,然後就會檢查是否存在。如果不存在的話,它會提示系統找不到文件或者是“指定的路徑不正確等等。把這些鍵刪除後,程序就可以運行!

copyright © 萬盛學電腦網 all rights reserved