yanpkx 发表于 2007-9-5 15:57:00

映象劫持之亲密接触

<p>需要用到的软件:autoruns.exe</p><p>内容:</p><p>一. 映象劫持之定义:</p><p>&nbsp;&nbsp;&nbsp; 所谓的映像劫持(IFEO)就是Image File Execution Options,它位于注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT</p><p>\CurrentVersion\Image File Execution Options下。</p><p>  由于这个项主要是操作系统预定的用做调试的接口,所以对一般用户来说意义不大。默认的情况下只有管理员和local system才有权进</p><p>行读写修改。计算机任务管理器的进程一栏里有一列叫“映像名称”,而映像劫持正是跟这个是相对应的。</p><p>&nbsp;&nbsp;&nbsp; 通俗一点来说,就是比如我想运行notepad.exe,结果运行的却是calc.exe,也就是说在这种情况下,记事本程序被计算机程序给劫持</p><p>了,即你想运行的程序被另外一个程序代替(劫持)了。 </p><p></p><p>二. 映像劫持病毒:</p><p>  虽然映像劫持是系统自带的功能,对我们一般用户来说根本没什么用的必要,但是就有一些病毒通过映像劫持来做文章,表面上看起</p><p>来是运行了一个程序,实际上病毒已经在后台运行了。 </p><p>  大部分的病毒和木马都是通过加载系统启动项来运行的,也有一些是注册成为系统服务来启动,他们主要通过修改注册表来实现这个目</p><p>的,主要有以下几个方面: </p><p>  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*</p><p>&nbsp;&nbsp;&nbsp; HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*</p><p>  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs </p><p>  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify </p><p>  但是与一般的木马、病毒不同的是,就有一些病毒偏偏不通过这些来加载自己,不随着系统的启动运行,而是等到用户运行某个特定的</p><p>程序的时候运行,这也抓住了一些用户的心理。一般的用户,只要发觉自己的机子中了病毒,首先要察看的就是系统的加载项,很少有人会</p><p>想到映像劫持,这也是这种病毒高明的地方。 </p><p>  映像劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution </p><p>options 项来劫持正常的程序,比如有一个病毒vires.exe要劫持qq程序,它会在上面注册表的位置新建一个qq.exe项,在这个项下面新</p><p>建一个字符串的键值“debugger”内容是:C:\WINDOWS\SYSTEM32\VIRES.EXE(这里是病毒藏身的目录)即可。当然如果你把该字符串值改为任</p><p>意的其他值的话,系统就会提示找不到该文件。</p><p></p><p>三. 映像胁持的基本原理:</p><p>  WINDOWS NT系统在试图执行一个从命令行调用的可执行文件运行请求时,会先检查运行程序是不是可执行文件,如果是的话,才会再检</p><p>查格式的,最后才会检查是否存在。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确“等错误。把这些键删除后,程</p><p>序就可以正常运行了。 </p><p></p><p>四. 映像劫持的应用:</p><p>(1)禁止某些程序的运行 </p><p>注册表代码: </p><p>Windows Registry Editor Version 5.00 </p><p> </p><p>"Debugger"="123.exe" </p><p>以上代码的作用是禁止QQ运行,每次双击运行QQ的时候,系统都会弹出一个框提示说找不到QQ,原因就是QQ被重定向了。如果要让QQ继续运</p><p>行的话,把123.exe改为其安装目录或清空就可以了。</p><p>(2)偷梁换柱恶作剧 </p><p>每次我们按下CTRL+ALT+DEL键时,都会弹出任务管理器,而通过修改映象劫持,我们就可以实现修改后出现的是“系统配置实用程序”。</p><p>注册表代码: </p><p>Windows Registry Editor Version 5.00 </p><p> </p><p>"Debugger"="C:\\WINDOWS\\pchealth\\helpctr\\binaries\\msconfig.exe" </p><p>(3)让病毒迷失自我 </p><p>同上面的道理一样,如果我们把病毒程序给重定向了,病毒将也无法正常的运行了。 </p><p>注册表代码:</p><p>Windows Registry Editor Version 5.00 </p><p> </p><p>"Debugger"="123.exe" </p><p> </p><p>"Debugger"="123.exe" <br/>   <br/>上面的代码是以金猪报喜病毒和威金病毒为例,这样即使这些病毒在系统启动项里面,即使随系统运行了,但是由于映象劫持的重定向作</p><p>用,还是会被系统提示无法找到病毒文件(这里是logo_1.exe和sppoolsv.exe)</p><p>当然你也可以把病毒程序重定向到你要启动的程序中去,如果你想让病毒运行后让QQ启动的话,你可以把上面的123.exe改为你QQ的安装路径</p><p>即可,这样当我们QQ自动打开的时候,我们就可以判断是否中了此类病毒了。</p><p></p><p>五. 防止被非法程序映象劫持</p><p>(1)权限限制法(推荐)</p><p>如果用户无权访问该注册表项了,那它也就无法修改这些东西了。打开注册表编辑器,进入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft</p><p>\Windows NT\CurrentVersion\Image File Execution Options,选中该项,右键——&gt;权限——&gt;高级,将administrator 和 system 用户</p><p>的权限调低即可(这里只要把写入操作给取消就行了)。 </p><p>(2)快刀斩乱麻法 </p><p>打开注册表编辑器,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options项,直接</p><p>删掉“Image File Execution Options“项即可解决问题。</p>

浪子无忧 发表于 2007-9-5 17:27:00

技术贴,支持一下,希望以后能继续发布更多更好的贴子来帮助大家解决问题
页: [1]
查看完整版本: 映象劫持之亲密接触