映像劫持[三期竞赛第三问]
问3:映像劫持如何处理?<br><br>答:一、映像劫持有什么症状?<br>windows映像劫持技术(IFEO) 基本症状:可能有朋友遇到过这样的情况,一个正常的程序,无论把他放在哪个位置或者是重新用安装盘修复过的程序,都无法运行或者是比如运行A却成了执行B的程序了,而改名后却可以正常运行。其他症状也有在上网时时常弹出广告窗口,如背投广告等。<br><br>二,什么是映像劫持(IFEO)? <br>所谓的IFEO就是Image File Execution Options 的英文缩写。它位于注册表的HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion\\Image File Execution Options <br>由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改 。<br><br>三、常规病毒是怎么修改注册表的? <br>那些病毒、蠕虫和,木马等仍然使用众所皆知并且过度使用的注册表键值,如下: <br>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run <br>HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\AppInit_DLLs <br>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify <br>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce <br>HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServicesOnce <br>等等......<br><br>四、映像劫持如何运行及原理: <br>@echo off //关闭命令回显 <br>echo 此批处理只作技巧介绍,请勿用于非法活动!//显示echo后的文字 <br>pause //停止 <br>echo Windows Registry Editor Version 5.00>>ssm.reg <br>echo [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File <br><br>Execution Options\\syssafe.EXE] >>ssm.reg <br>echo \"Debugger\"=\"syssafe.EXE\" >>ssm.reg //把echo后的文字导出到SSM.reg中 regedit /s ssm.reg &del /q ssm.reg //导入ssm.reg并删除 <br>使SSM失效HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\svchost.exe项下的\"Debugger\"=\"abc.exe\" 意思是不执行svchost.exe而执行abc.exe <br>就是说,NT系统在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是的话,再检查格式的,然后就会检查是否存在。。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确等等。。 <br><br>当然,把这些键删除后,程序就可以运行! <br>如果还不明白的话,我们大家一起来做个试验:<br>1、开始-运行-regedit,展开到: <br>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options <br>2、然后选上Image File Execution Options,新建个项,然后,把这个项(默认在最后面)然后改成123.exe <br>3、选上123.exe这个项,然后默认右边是空白的,我们点右键,新建个“字串符”,然后改名为“Debugger\" <br>4、这一步要做好,然后回车,就可以。。。再双击该键,修改数据数值(其实就是路径)。。 把它改为 C:\\windows\\system32\\CMD.exe <br>注意:C:是系统盘,如果你系统安装在D则改为D:,如果是NT或2K的系统的话,把Windows改成Winnt,下面如有再T起,类推。。。<br>5、运行下看看先找个扩展名为EXE的,(我这里拿IcesWord.exe做实验),改名为123.exe。。。 然后运行之。。。出现了DOS操作框~ <br>同理,病毒等也可以利用这样的方法,把杀软、安全工具等名字再进行重定向,指向病毒路径,所以如果你把病毒清理掉后,重定向项没有清理的话,由于IFEO的作用,没被损坏的程序一样运行不了! <br><br>五,映像劫持的具体案例: <br>引用JM的jzb770325001版主的一个分析案例: <br>蔚为壮观的IFEO,稍微有些名气的都挂了: <br>HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\avp.exe <br>HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution <br><br>Options\\AgentSvr.exe <br>HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution <br><br>Options\\CCenter.exe <br>HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\Rav.exe <br>从这个案例,我们可以看到这个技术的强大之处!很多的杀软进程和一些辅助杀软或工具,全部被劫持,导致你遇到的所有杀软都无法运行! <br>试想如果更多病毒,利用于此,将是多么可怕的事情! <br><br>六、如何解决并预防IFEO? <br>方法一: 限制法<br>它要修改Image File Execution Options,所先要有权限,才可读,于是先打开注册表:<br>开始-运行-regedt32 (这个是系统的32位注册表,和注册表操作方法差多) <br>然后还是展开到: ) HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion\\Image File Execution Options[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion\\Image File Execution <br>Options]项删除即可<br>方法二:删除法<br>打开注册表:<br>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\Currentversion\\Image file execution <br>options <br>然后把除了your image file name here without a path以外所有的子键都删掉,再运行已经可以使用的卡巴杀毒 <br>方法三:搜索法<br>以上二种是对付这种病毒这种方法是最基本的,有时这种方法还不够,你可以在没病毒的电脑上搜杀映像劫持病毒方法.<br><br> 网络的发展,为我们带来了享受网络信息传递的快感。不过,同时也为黑客们提供一个作恶的平台。如果我们只靠杀毒软件来防范病毒,那么我们就永远处于一个比较被动的地位。几个月前,我在论坛上发了一个关于影像劫持的求救帖.不过,至今还是不得而终.....我用金山的清理专家进行在线系统诊断,发现了一项映像劫持,唉,至今金山对它的安全评估还是未知的哪~~<img src=http://image.club.sohu.com/act/act_05.gif></b><br>
