【原创】映像劫持之我见
首先说下这篇文章没有什么技术含量,因为这样的文章在网上到处都是,但是我相信如果你看完了这篇文章之后,你多少会有点收获的。o6h+cC5y)[3f好的,废话不多说,开始今天的话题,关于“映像劫持”。yFV$o s_
`3U7H|6\*\|
[b][size=4][color=orange]一. 映象劫持之定义:[/color][/size][/b]
;`+G+qbvU1Lc0D
所谓的映像劫持(IFEO)就是Image File Execution Options,它位于注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下。PIt,[aw'M5tD
[attach]273[/attach]
通俗一点来说,就是比如我想运行notepad.exe,结果运行的却是calc.exe,也就是说在这种情况下,记事本程序被计算机程序给劫持了,即你想运行的程序被另外一个程序代替(劫持)了。
[attach]271[/attach]Kqz AFM0O*XP}6K+m
,o+|c,W2MetU:@
这就是映像劫持,其实并不是非常的深奥复杂。但是为了更好的体现他的价值,我们有必要继续说下去。6@y q-N/Q[P`Ld
{u6P)]el3Ro
[size=4][color=darkorange][b]二. 映像劫持病毒:[/b][/color][/size]ZC'gI9S8\8?y&`
W [L$p p2x5YK9JZ$U
众所周知,现在的病毒无非就是建立autorun.inf、增加启动项等等,所以大部分网络安全人员在进行病毒手工清除的时候都会打开msconfig进行启动项以及服务的查看,偏偏就在这里,有的病毒耍起了滑头,他第一次运行的时候没有一点的反应,仅仅是释放了一个或几个没有被激活的病毒文件,然后通过映像劫持,来劫持他想替换的程序,所以他完全就可以劫持msconfig.exe文件,在你运行msconfig的时候,反而激活了病毒。同理,劫持explorer.exe被激活的几率更高,这些也就变成了病毒运行的一种新的方式。一般的用户,只要发觉自己的机子中了病毒,首先要察看的就是系统的加载项,很少有人会想到映像劫持,这也是这种病毒高明的地方。
eiS FI R,HS0^
映像劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution options 项来劫持正常的程序,比如有一个病毒panda.exe要劫持qq程序,它会在上面注册表的位置新建一个qq.exe项,在这个项下面新建一个字符串的键值“debugger”内容是:C:\WINDOWS\SYSTEM32\VIRES.EXE(这里是病毒藏身的目录)即可。当然如果你把该字符串值改为任意的其他值的话,系统就会提示找不到该文件。L9WLzr:B[k
[size=4][color=darkorange][b] 三. 映像劫持的应用:[/b][/color][/size]0i2mK'hR\/l:n$D!U
X2x*xyT#h%_OK
(1)禁止某些程序的运行
上面说了,把debugger键值改成一个任意的值时,系统会提示找不到文件,我们就可以利用这个功能来禁止运行某些特定的程序了。-Hi:A5Q^{ @~8k3c.b7p