【原创】映像劫持之我见 映像劫持, 原创, 研究, 病毒

柔肠寸断

首先说下这篇文章没有什么技术含量，因为这样的文章在网上到处都是，但是我相信如果你看完了这篇文章之后，你多少会有点收获的。
" {& _2 Z: g1 F0 D
3 x% G" s/ D- `- t" K9 V! |  L      好的，废话不多说，开始今天的话题，关于“映像劫持”。
( ]5 p" e' b1 e' N5 T. }- [
4 m( Q  T5 B* G      一. 映象劫持之定义：
: N* K6 }8 V& L7 @" M! p4 o1 l: f1 z6 l& t
      所谓的映像劫持(IFEO)就是Image File Execution Options，它位于注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下。+ L- x. m5 e! U8 [* P0 @* ~
" r6 b8 H, G( j* i

8 E" @+ @8 J, B; s% i( g, i      通俗一点来说，就是比如我想运行notepad.exe，结果运行的却是calc.exe，也就是说在这种情况下，记事本程序被计算机程序给劫持了，即你想运行的程序被另外一个程序代替(劫持)了。 : m/ {  o. F& ~1 N% }% Y6 J! M* }* l

0 {/ a2 u  H  u- b7 F* M1 r: Z  _4 P3 F- q7 t0 [! r' h
      这就是映像劫持，其实并不是非常的深奥复杂。但是为了更好的体现他的价值，我们有必要继续说下去。
2 B/ l& z# Z/ T4 P
1 P5 r4 U+ g* O5 T: g9 y# b二. 映像劫持病毒：* [% R& [* ]3 s, U* N4 E& W

) q/ R5 ]% U1 d/ M' @# [      众所周知，现在的病毒无非就是建立autorun.inf、增加启动项等等，所以大部分网络安全人员在进行病毒手工清除的时候都会打开msconfig进行启动项以及服务的查看，偏偏就在这里，有的病毒耍起了滑头，他第一次运行的时候没有一点的反应，仅仅是释放了一个或几个没有被激活的病毒文件，然后通过映像劫持，来劫持他想替换的程序，所以他完全就可以劫持msconfig.exe文件，在你运行msconfig的时候，反而激活了病毒。同理，劫持explorer.exe被激活的几率更高，这些也就变成了病毒运行的一种新的方式。一般的用户，只要发觉自己的机子中了病毒，首先要察看的就是系统的加载项，很少有人会想到映像劫持，这也是这种病毒高明的地方。 7 H) q: K2 t3 Y  U, R
) j- a: h4 B7 K  U# z
      映像劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution options 项来劫持正常的程序，比如有一个病毒panda.exe要劫持qq程序，它会在上面注册表的位置新建一个qq.exe项，在这个项下面新建一个字符串的键值“debugger”内容是：C:\WINDOWS\SYSTEM32\VIRES.EXE(这里是病毒藏身的目录)即可。当然如果你把该字符串值改为任意的其他值的话，系统就会提示找不到该文件。8 w$ \% T9 Q) v# W: m
0 W9 K: N' I, c  b$ p/ a
      三. 映像劫持的应用：
, p  _; b/ `! ?- e6 C( b
  S& o0 ~4 N6 q* z- ?0 h8 i; `     (1)禁止某些程序的运行
  m! f% k! z3 ?9 ]; f# X& w- n! k7 f
     上面说了，把debugger键值改成一个任意的值时，系统会提示找不到文件，我们就可以利用这个功能来禁止运行某些特定的程序了。8 X- j1 B( ~; H% c1 p4 r
/ |) e7 e1 z! ?9 D9 z; w) K0 e

! p3 g6 l1 L) Y  
6 v9 V2 Y; |+ H     要禁止QQ的运行，Image File Execution options下 新建一个qq.exe的项，然后建立一个字符串的值，数值名称为debugger，数值数据下随便写一个不存在的值就OK了！
% \5 a5 Z- Z6 A1 z8 e( i7 s     同样，我们可以利用这种方法来阻止映像劫持病毒的激活。8 H) b; e* ]# f9 x: b
2 X+ `2 h7 G6 k% q9 T) S' l) H
     (2)偷梁换柱恶作剧
0 ]- C5 K! p$ T   5 B) E+ T5 f5 P) c
   呵呵，这个就靠你们自己的想象力了，每次我们按下CTRL+ALT+DEL键时，都会弹出任务管理器，而通过修改映象劫持，我们就可以实现修改后出现的是“系统配置实用程序”。任务管理器的映像名称为taskmgr.exe，我们可以在任务管理器中查看程序的映像名称。* o# {- {: Z6 J1 g* r
  
9 n* W+ \4 r2 Z+ u. p% u# Q$ m
- f2 S" U+ w! M# }     四、防止被非法程序映象劫持的方法
- O! `" ^. e- E! C# t) Z9 n6 e7 ]
     设置注册表Image File Execution Options项的权限；选中该项，右键——>权限——>高级，将administrator 和 system 用户的权限调低即可（这里只要把写入操作给取消就行了）。: ]  B1 j7 F  u5 U0 j- G

( ?9 v% O& w( s     匆匆的写到这里，希望会让大家对映像劫持有一个了解，当然，我们还要不断的学习才可以获得更多的知识，对于还有不清楚的地方可以尽管问我，希望大家可以更多的支持我，来我的论坛http://www.3ast.com.cn,大家一起学习、讨论，共同进步

zx3112552

顶呐······

流氓

飘飘然的走过、。。。。。。

柔肠寸断

汗~。。。。。。。。。。. Y. z) p8 k2 N# [8 v

/ Y% z8 U  T3 h: g0 n( ~都是飘过................

saitojie

经典！~~~~确实不错，回头去试试！

在意z

谢谢楼主分享技术。。。