映像劫持与反劫持技术
生活随笔
收集整理的這篇文章主要介紹了
映像劫持与反劫持技术
小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.
? 當(dāng)前的***、病毒似乎比較鐘情于“映像劫持”,通過其達(dá)到欺騙系統(tǒng)和殺毒軟件,進(jìn)而絕殺安全軟件接管系統(tǒng)。筆者最近就遇到很多這種類型的***病毒,下面把自己有關(guān)映像劫持的學(xué)習(xí)心得寫下來與大家交流。
一、原理<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /> 所謂的映像劫持(IFEO)就是Image File Execution Options,它位于注冊(cè)表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\鍵值下。由于這個(gè)項(xiàng)主要是用來調(diào)試程序用的,對(duì)一般用戶意義不大,默認(rèn)是只有管理員和local system有權(quán)讀寫修改。 比如我想運(yùn)行QQ.exe,結(jié)果運(yùn)行的卻是FlashGet.exe,這種情況下,QQ程序被FLASHGET給劫持了,即你想運(yùn)行的程序被另外一個(gè)程序代替了。 二、被劫持 雖然映像劫持是系統(tǒng)自帶的功能,對(duì)一般用戶來說根本沒什么用的必要,但是就有一些病毒通過映像劫持來做文章,表面上看起來是運(yùn)行了一個(gè)正常的程序,實(shí)際上病毒已經(jīng)在后臺(tái)運(yùn)行了。 大部分的病毒和***都是通過加載系統(tǒng)啟動(dòng)項(xiàng)來運(yùn)行的,也有一些是注冊(cè)成為系統(tǒng)服務(wù)來啟動(dòng),他們主要通過修改注冊(cè)表來實(shí)現(xiàn)這個(gè)目的,主要有以下幾個(gè)鍵值: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrent\Version\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrent\Version\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrent\Version\RunServicesOnce 但是與一般的***,病毒不同的是,就有一些病毒偏偏不通過這些來加載自己,不隨著系統(tǒng)的啟動(dòng)運(yùn)行。***病毒的作者抓住了一些用戶的心理,等到用戶運(yùn)行某個(gè)特定的程序的時(shí)候它才運(yùn)行。因?yàn)橐话愕挠脩?#xff0c;只要發(fā)覺自己的機(jī)子中了病毒,首先要察看的就是系統(tǒng)的加載項(xiàng),很少有人會(huì)想到映像劫持,這也是這種病毒高明的地方。 映像劫持病毒主要通過修改注冊(cè)表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\項(xiàng)來劫持正常的程序,比如有一個(gè)病毒 vires.exe 要劫持qq程序,它會(huì)在上面注冊(cè)表的位置新建一個(gè)qq.exe項(xiàng),再在這個(gè)項(xiàng)下面新建一個(gè)字符串的鍵 debugger把其值改為C:\WINDOWS\SYSTEM32\VIRES.EXE(這里是病毒藏身的目錄)即可。 三、玩劫持 1、禁止某些程序的運(yùn)行 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qq.exe] Debugger=123.exe 把上面的代碼保存為norun_qq.reg,雙擊導(dǎo)入注冊(cè)表,每次雙擊運(yùn)行QQ的時(shí)候,系統(tǒng)都會(huì)彈出一個(gè)框提示說找不到QQ,原因就QQ被重定向了。如果要讓QQ繼續(xù)運(yùn)行的話,把123.exe改為其安裝目錄就可以了。2、偷梁換柱惡作劇 每次我們按下CTRL+ALT+DEL鍵時(shí),都會(huì)彈出任務(wù)管理器,想不想在我們按下這些鍵的時(shí)候讓它彈出命令提示符窗口,下面就教你怎么玩: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe] Debugger=D:\WINDOWS\pchealth\helpctr\binaries\mconfig.exe 將上面的代碼另存為 task_cmd.reg,雙擊導(dǎo)入注冊(cè)表。按下那三個(gè)鍵打開了“系統(tǒng)配置實(shí)用程序”。 3、讓病毒迷失自我 同上面的道理一樣,如果我們把病毒程序給重定向了,是不是病毒就不能運(yùn)行了,答案是肯定的。 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sppoolsv.exe] Debugger=123.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\logo_1.exe] Debugger=123.exe 上面的代碼是以金豬病毒和威金病毒為例,這樣即使這些病毒在系統(tǒng)啟動(dòng)項(xiàng)里面,即使隨系統(tǒng)運(yùn)行了,但是由于映象劫持的重定向作用,還是會(huì)被系統(tǒng)提示無法找到病毒文件(這里是logo_1.exe和sppoolsv.exe)。 四、防劫持 1、權(quán)限限制法 打開注冊(cè)表編輯器,定位到 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\,選中該項(xiàng),右鍵→權(quán)限→高級(jí),取消administrator和system用戶的寫權(quán)限即可。 2、快刀斬亂麻法 打開注冊(cè)表編輯器,定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\,把“Image File Execution Options”項(xiàng)刪除即可。
一、原理<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /> 所謂的映像劫持(IFEO)就是Image File Execution Options,它位于注冊(cè)表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\鍵值下。由于這個(gè)項(xiàng)主要是用來調(diào)試程序用的,對(duì)一般用戶意義不大,默認(rèn)是只有管理員和local system有權(quán)讀寫修改。 比如我想運(yùn)行QQ.exe,結(jié)果運(yùn)行的卻是FlashGet.exe,這種情況下,QQ程序被FLASHGET給劫持了,即你想運(yùn)行的程序被另外一個(gè)程序代替了。 二、被劫持 雖然映像劫持是系統(tǒng)自帶的功能,對(duì)一般用戶來說根本沒什么用的必要,但是就有一些病毒通過映像劫持來做文章,表面上看起來是運(yùn)行了一個(gè)正常的程序,實(shí)際上病毒已經(jīng)在后臺(tái)運(yùn)行了。 大部分的病毒和***都是通過加載系統(tǒng)啟動(dòng)項(xiàng)來運(yùn)行的,也有一些是注冊(cè)成為系統(tǒng)服務(wù)來啟動(dòng),他們主要通過修改注冊(cè)表來實(shí)現(xiàn)這個(gè)目的,主要有以下幾個(gè)鍵值: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrent\Version\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrent\Version\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrent\Version\RunServicesOnce 但是與一般的***,病毒不同的是,就有一些病毒偏偏不通過這些來加載自己,不隨著系統(tǒng)的啟動(dòng)運(yùn)行。***病毒的作者抓住了一些用戶的心理,等到用戶運(yùn)行某個(gè)特定的程序的時(shí)候它才運(yùn)行。因?yàn)橐话愕挠脩?#xff0c;只要發(fā)覺自己的機(jī)子中了病毒,首先要察看的就是系統(tǒng)的加載項(xiàng),很少有人會(huì)想到映像劫持,這也是這種病毒高明的地方。 映像劫持病毒主要通過修改注冊(cè)表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\項(xiàng)來劫持正常的程序,比如有一個(gè)病毒 vires.exe 要劫持qq程序,它會(huì)在上面注冊(cè)表的位置新建一個(gè)qq.exe項(xiàng),再在這個(gè)項(xiàng)下面新建一個(gè)字符串的鍵 debugger把其值改為C:\WINDOWS\SYSTEM32\VIRES.EXE(這里是病毒藏身的目錄)即可。 三、玩劫持 1、禁止某些程序的運(yùn)行 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qq.exe] Debugger=123.exe 把上面的代碼保存為norun_qq.reg,雙擊導(dǎo)入注冊(cè)表,每次雙擊運(yùn)行QQ的時(shí)候,系統(tǒng)都會(huì)彈出一個(gè)框提示說找不到QQ,原因就QQ被重定向了。如果要讓QQ繼續(xù)運(yùn)行的話,把123.exe改為其安裝目錄就可以了。2、偷梁換柱惡作劇 每次我們按下CTRL+ALT+DEL鍵時(shí),都會(huì)彈出任務(wù)管理器,想不想在我們按下這些鍵的時(shí)候讓它彈出命令提示符窗口,下面就教你怎么玩: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe] Debugger=D:\WINDOWS\pchealth\helpctr\binaries\mconfig.exe 將上面的代碼另存為 task_cmd.reg,雙擊導(dǎo)入注冊(cè)表。按下那三個(gè)鍵打開了“系統(tǒng)配置實(shí)用程序”。 3、讓病毒迷失自我 同上面的道理一樣,如果我們把病毒程序給重定向了,是不是病毒就不能運(yùn)行了,答案是肯定的。 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sppoolsv.exe] Debugger=123.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\logo_1.exe] Debugger=123.exe 上面的代碼是以金豬病毒和威金病毒為例,這樣即使這些病毒在系統(tǒng)啟動(dòng)項(xiàng)里面,即使隨系統(tǒng)運(yùn)行了,但是由于映象劫持的重定向作用,還是會(huì)被系統(tǒng)提示無法找到病毒文件(這里是logo_1.exe和sppoolsv.exe)。 四、防劫持 1、權(quán)限限制法 打開注冊(cè)表編輯器,定位到 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\,選中該項(xiàng),右鍵→權(quán)限→高級(jí),取消administrator和system用戶的寫權(quán)限即可。 2、快刀斬亂麻法 打開注冊(cè)表編輯器,定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\,把“Image File Execution Options”項(xiàng)刪除即可。
轉(zhuǎn)載于:https://blog.51cto.com/26541/110614
總結(jié)
以上是生活随笔為你收集整理的映像劫持与反劫持技术的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Cisco2811路由器的首次接触
- 下一篇: 使用 GreenSock 来制作 SVG