【原创】映像劫持之我见 映像劫持, 原创, 研究, 病毒

柔肠寸断

首先说下这篇文章没有什么技术含量，因为这样的文章在网上到处都是，但是我相信如果你看完了这篇文章之后，你多少会有点收获的。8 P2 @' O# V1 q1 \8 E
/ j( A4 |4 ^8 c; @0 ^, ^; l( }
      好的，废话不多说，开始今天的话题，关于“映像劫持”。8 v9 a3 }. v" z% {( w( y

8 ^0 w! a( }) ?/ f4 N. f/ l- b+ `      一. 映象劫持之定义：/ o+ [4 Y% e4 h+ }3 a; b0 o
$ [# `  G- f2 a3 |
      所谓的映像劫持(IFEO)就是Image File Execution Options，它位于注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下。
" |& g- k- u& K! N6 u
. i& Z8 x& y# S6 C
* v6 G) g7 ^5 ^" {1 p# {! I      通俗一点来说，就是比如我想运行notepad.exe，结果运行的却是calc.exe，也就是说在这种情况下，记事本程序被计算机程序给劫持了，即你想运行的程序被另外一个程序代替(劫持)了。 & R- p0 {% H2 a0 C) ^. w

* j5 [4 l/ m0 {( E0 W& O% M
/ U5 p5 M8 Z" @% R$ \; @      这就是映像劫持，其实并不是非常的深奥复杂。但是为了更好的体现他的价值，我们有必要继续说下去。8 E* a/ U: |( S" k& P

% ~& A& S) y$ a) e# P" X3 B二. 映像劫持病毒：& Y- R! R( `" F4 R6 l- t" b$ h, q
$ P* C* _$ `# F
      众所周知，现在的病毒无非就是建立autorun.inf、增加启动项等等，所以大部分网络安全人员在进行病毒手工清除的时候都会打开msconfig进行启动项以及服务的查看，偏偏就在这里，有的病毒耍起了滑头，他第一次运行的时候没有一点的反应，仅仅是释放了一个或几个没有被激活的病毒文件，然后通过映像劫持，来劫持他想替换的程序，所以他完全就可以劫持msconfig.exe文件，在你运行msconfig的时候，反而激活了病毒。同理，劫持explorer.exe被激活的几率更高，这些也就变成了病毒运行的一种新的方式。一般的用户，只要发觉自己的机子中了病毒，首先要察看的就是系统的加载项，很少有人会想到映像劫持，这也是这种病毒高明的地方。 3 b* h, J+ h1 h1 z& L) H# k$ ~

$ s, Q. F) c0 p0 i) Y/ I      映像劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution options 项来劫持正常的程序，比如有一个病毒panda.exe要劫持qq程序，它会在上面注册表的位置新建一个qq.exe项，在这个项下面新建一个字符串的键值“debugger”内容是：C:\WINDOWS\SYSTEM32\VIRES.EXE(这里是病毒藏身的目录)即可。当然如果你把该字符串值改为任意的其他值的话，系统就会提示找不到该文件。4 I* t0 L' D8 ~1 C$ |
* x, c4 p' @8 D+ R
      三. 映像劫持的应用：
# \& Q9 k5 P: j, c4 N! @' J
$ _7 @) Y6 J. x4 l     (1)禁止某些程序的运行 + Z/ l' ~2 P; [, \9 |
/ V+ z9 _9 P; N! {' N( r
     上面说了，把debugger键值改成一个任意的值时，系统会提示找不到文件，我们就可以利用这个功能来禁止运行某些特定的程序了。
* A8 g' C+ L3 w4 @, _( Z4 {1 ]
0 a# U$ j' q9 p
9 r/ c8 i! V9 g9 h  
) I8 K; h1 a2 F: s( E  `, |( w     要禁止QQ的运行，Image File Execution options下 新建一个qq.exe的项，然后建立一个字符串的值，数值名称为debugger，数值数据下随便写一个不存在的值就OK了！
+ j# W8 N- O$ t$ E% j! V9 ]2 u& D     同样，我们可以利用这种方法来阻止映像劫持病毒的激活。
* S: `# O) }) q( u" q& s: S. a  `5 _0 h/ ^% u
     (2)偷梁换柱恶作剧
0 M1 ^  v( r- X" t& N# \# P   3 N4 S7 ]/ b* \2 m: v+ U5 B
   呵呵，这个就靠你们自己的想象力了，每次我们按下CTRL+ALT+DEL键时，都会弹出任务管理器，而通过修改映象劫持，我们就可以实现修改后出现的是“系统配置实用程序”。任务管理器的映像名称为taskmgr.exe，我们可以在任务管理器中查看程序的映像名称。
* p6 \8 G, F+ L! H( r4 g9 }  0 I  E0 q" _0 X! X
5 S5 A! B: L" n: V' O# F" b$ d+ t
     四、防止被非法程序映象劫持的方法
* k2 h+ E7 v5 Q: A) N3 b* @6 n' x# e) H" e
     设置注册表Image File Execution Options项的权限；选中该项，右键——>权限——>高级，将administrator 和 system 用户的权限调低即可（这里只要把写入操作给取消就行了）。% T- J: O$ R8 G' _' a& f) i
! Q# N2 R/ @3 g$ o' G
     匆匆的写到这里，希望会让大家对映像劫持有一个了解，当然，我们还要不断的学习才可以获得更多的知识，对于还有不清楚的地方可以尽管问我，希望大家可以更多的支持我，来我的论坛http://www.3ast.com.cn,大家一起学习、讨论，共同进步

zx3112552

顶呐······

流氓

飘飘然的走过、。。。。。。

柔肠寸断

汗~。。。。。。。。。。, I6 U- X; Y& v$ r' u
! D- c' ~, ]( V- G8 R' t' J
都是飘过................

saitojie

经典！~~~~确实不错，回头去试试！

在意z

谢谢楼主分享技术。。。