【原创】映像劫持之我见 映像劫持, 原创, 研究, 病毒

柔肠寸断

首先说下这篇文章没有什么技术含量，因为这样的文章在网上到处都是，但是我相信如果你看完了这篇文章之后，你多少会有点收获的。+ e# n  T2 t1 ?; S1 }5 }7 j, y

4 ?8 f0 q7 @# w4 K9 Q  s: _6 m6 z      好的，废话不多说，开始今天的话题，关于“映像劫持”。
) U4 d8 V( R. A, b+ @: F0 J' `2 I0 `; `* H+ W! P
      一. 映象劫持之定义：% G- K0 V* o; K

( _9 T# |1 v+ g* C% s" f$ ~      所谓的映像劫持(IFEO)就是Image File Execution Options，它位于注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下。4 j& B; h/ B- S( Y+ s5 P
" F. A7 [& C5 n) @) {+ p. s/ f
$ a% z0 `+ Q0 G0 d) b, ]
      通俗一点来说，就是比如我想运行notepad.exe，结果运行的却是calc.exe，也就是说在这种情况下，记事本程序被计算机程序给劫持了，即你想运行的程序被另外一个程序代替(劫持)了。
. x  T; v. R7 c) a( M8 q2 A
3 n2 |" g  S! A$ l  u+ S% a+ A0 v! C; d- S7 c. e- K/ z
      这就是映像劫持，其实并不是非常的深奥复杂。但是为了更好的体现他的价值，我们有必要继续说下去。* z% b+ }$ D. [3 J
( G# M0 r/ Y3 c, c
二. 映像劫持病毒：/ q1 O* X; Q3 W& M& b: P
$ I) j8 m( I0 V# q
      众所周知，现在的病毒无非就是建立autorun.inf、增加启动项等等，所以大部分网络安全人员在进行病毒手工清除的时候都会打开msconfig进行启动项以及服务的查看，偏偏就在这里，有的病毒耍起了滑头，他第一次运行的时候没有一点的反应，仅仅是释放了一个或几个没有被激活的病毒文件，然后通过映像劫持，来劫持他想替换的程序，所以他完全就可以劫持msconfig.exe文件，在你运行msconfig的时候，反而激活了病毒。同理，劫持explorer.exe被激活的几率更高，这些也就变成了病毒运行的一种新的方式。一般的用户，只要发觉自己的机子中了病毒，首先要察看的就是系统的加载项，很少有人会想到映像劫持，这也是这种病毒高明的地方。
+ n. l+ |6 N- C6 a6 g" T; f5 ?) j5 A" d! d5 M0 a
      映像劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution options 项来劫持正常的程序，比如有一个病毒panda.exe要劫持qq程序，它会在上面注册表的位置新建一个qq.exe项，在这个项下面新建一个字符串的键值“debugger”内容是：C:\WINDOWS\SYSTEM32\VIRES.EXE(这里是病毒藏身的目录)即可。当然如果你把该字符串值改为任意的其他值的话，系统就会提示找不到该文件。
( a4 Q* z; p) t+ Q3 L/ ?
" E% o; i' `) y      三. 映像劫持的应用：
* a* v1 ?+ C5 p. Y
/ }. k$ V7 r6 m     (1)禁止某些程序的运行 5 _' T7 y6 A! v) g9 P( H

: S' g2 M) V. O4 Q  ]' F$ J9 Z" I     上面说了，把debugger键值改成一个任意的值时，系统会提示找不到文件，我们就可以利用这个功能来禁止运行某些特定的程序了。3 v# y5 M6 V+ A6 I* M

# j( i2 m5 ~  V/ W9 V- N
( j8 a7 k+ u) v3 t& d( t  4 w- @% F# s6 a2 \( V) N
     要禁止QQ的运行，Image File Execution options下 新建一个qq.exe的项，然后建立一个字符串的值，数值名称为debugger，数值数据下随便写一个不存在的值就OK了！. i& ?2 N" C8 L
     同样，我们可以利用这种方法来阻止映像劫持病毒的激活。; e% Q& e/ ~- V8 e# Q# y7 w- i

$ j2 K, K4 d" D# e* _     (2)偷梁换柱恶作剧 + I( [5 Q7 F4 Q3 F" ]7 c; m& X# B. w
   
# b' J* j3 i2 e   呵呵，这个就靠你们自己的想象力了，每次我们按下CTRL+ALT+DEL键时，都会弹出任务管理器，而通过修改映象劫持，我们就可以实现修改后出现的是“系统配置实用程序”。任务管理器的映像名称为taskmgr.exe，我们可以在任务管理器中查看程序的映像名称。
7 G: \4 z2 S; k1 d7 E  
+ K& Z) m0 p9 Q% ]3 J
) z! [+ J& d. X     四、防止被非法程序映象劫持的方法
8 N/ O% L$ N8 y( O: @& p# e  [, l0 g7 j1 S- \/ |4 X( ]/ s
     设置注册表Image File Execution Options项的权限；选中该项，右键——>权限——>高级，将administrator 和 system 用户的权限调低即可（这里只要把写入操作给取消就行了）。6 {3 q5 |- `; ]: [% v. k; v1 x' Y
' a" L: d% n5 l+ z8 m4 x
     匆匆的写到这里，希望会让大家对映像劫持有一个了解，当然，我们还要不断的学习才可以获得更多的知识，对于还有不清楚的地方可以尽管问我，希望大家可以更多的支持我，来我的论坛http://www.3ast.com.cn,大家一起学习、讨论，共同进步

zx3112552

顶呐······

流氓

飘飘然的走过、。。。。。。

柔肠寸断

汗~。。。。。。。。。。
) T# `9 y5 Q3 j  X2 _/ V9 b" _) M# ~; x% F& I
都是飘过................

saitojie

经典！~~~~确实不错，回头去试试！

在意z

谢谢楼主分享技术。。。