? 當(dāng)前的***、病毒似乎比較鐘情于“映像劫持”，通過其達(dá)到欺騙系統(tǒng)和殺毒軟件，進(jìn)而絕殺安全軟件接管系統(tǒng)。筆者最近就遇到很多這種類型的***病毒，下面把自己有關(guān)映像劫持的學(xué)習(xí)心得寫下來與大家交流。
　　一、原理<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

　　所謂的映像劫持(IFEO)就是Image File Execution Options，它位于注冊(cè)表的

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\鍵值下。由于這個(gè)項(xiàng)主要是用來調(diào)試程序用的，對(duì)一般用戶意義不大，默認(rèn)是只有管理員和local system有權(quán)讀寫修改。

　　比如我想運(yùn)行QQ.exe，結(jié)果運(yùn)行的卻是FlashGet.exe，這種情況下，QQ程序被FLASHGET給劫持了，即你想運(yùn)行的程序被另外一個(gè)程序代替了。

　　二、被劫持

　　雖然映像劫持是系統(tǒng)自帶的功能，對(duì)一般用戶來說根本沒什么用的必要，但是就有一些病毒通過映像劫持來做文章，表面上看起來是運(yùn)行了一個(gè)正常的程序，實(shí)際上病毒已經(jīng)在后臺(tái)運(yùn)行了。

　　大部分的病毒和***都是通過加載系統(tǒng)啟動(dòng)項(xiàng)來運(yùn)行的，也有一些是注冊(cè)成為系統(tǒng)服務(wù)來啟動(dòng)，他們主要通過修改注冊(cè)表來實(shí)現(xiàn)這個(gè)目的，主要有以下幾個(gè)鍵值：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrent\Version\Run

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrent\Version\RunOnce

　　HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrent\Version\RunServicesOnce

　　但是與一般的***，病毒不同的是，就有一些病毒偏偏不通過這些來加載自己，不隨著系統(tǒng)的啟動(dòng)運(yùn)行。***病毒的作者抓住了一些用戶的心理，等到用戶運(yùn)行某個(gè)特定的程序的時(shí)候它才運(yùn)行。因?yàn)橐话愕挠脩?#xff0c;只要發(fā)覺自己的機(jī)子中了病毒，首先要察看的就是系統(tǒng)的加載項(xiàng)，很少有人會(huì)想到映像劫持，這也是這種病毒高明的地方。

　　映像劫持病毒主要通過修改注冊(cè)表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\項(xiàng)來劫持正常的程序，比如有一個(gè)病毒 vires.exe 要劫持qq程序，它會(huì)在上面注冊(cè)表的位置新建一個(gè)qq.exe項(xiàng)，再在這個(gè)項(xiàng)下面新建一個(gè)字符串的鍵　debugger把其值改為C:\WINDOWS\SYSTEM32\VIRES.EXE(這里是病毒藏身的目錄)即可。

　　三、玩劫持

　　1、禁止某些程序的運(yùn)行

　　Windows Registry Editor Version 5.00

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qq.exe]

　　Debugger=123.exe

　　把上面的代碼保存為norun_qq.reg，雙擊導(dǎo)入注冊(cè)表，每次雙擊運(yùn)行QQ的時(shí)候，系統(tǒng)都會(huì)彈出一個(gè)框提示說找不到QQ，原因就QQ被重定向了。如果要讓QQ繼續(xù)運(yùn)行的話，把123.exe改為其安裝目錄就可以了。2、偷梁換柱惡作劇

　　每次我們按下CTRL+ALT+DEL鍵時(shí)，都會(huì)彈出任務(wù)管理器，想不想在我們按下這些鍵的時(shí)候讓它彈出命令提示符窗口，下面就教你怎么玩：

　　Windows Registry Editor Version 5.00

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]

　　Debugger=D:\WINDOWS\pchealth\helpctr\binaries\mconfig.exe

　　將上面的代碼另存為 task_cmd.reg，雙擊導(dǎo)入注冊(cè)表。按下那三個(gè)鍵打開了“系統(tǒng)配置實(shí)用程序”。

　　3、讓病毒迷失自我

　　同上面的道理一樣，如果我們把病毒程序給重定向了，是不是病毒就不能運(yùn)行了，答案是肯定的。

　　Windows Registry Editor Version 5.00

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sppoolsv.exe]

　　Debugger=123.exe

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\logo_1.exe]

　　Debugger=123.exe

　　上面的代碼是以金豬病毒和威金病毒為例，這樣即使這些病毒在系統(tǒng)啟動(dòng)項(xiàng)里面，即使隨系統(tǒng)運(yùn)行了，但是由于映象劫持的重定向作用，還是會(huì)被系統(tǒng)提示無法找到病毒文件(這里是logo_1.exe和sppoolsv.exe)。

　　四、防劫持

　　1、權(quán)限限制法

　　打開注冊(cè)表編輯器，定位到

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\，選中該項(xiàng)，右鍵→權(quán)限→高級(jí)，取消administrator和system用戶的寫權(quán)限即可。

　　2、快刀斬亂麻法

　　打開注冊(cè)表編輯器，定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\，把“Image File Execution Options”項(xiàng)刪除即可。

轉(zhuǎn)載于:https://blog.51cto.com/26541/110614

總結(jié)

以上是生活随笔為你收集整理的映像劫持与反劫持技术的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。