镜像劫持有什么风险(镜像劫持)

2023-05-26 08:38:32 来源:互联网

1、映像劫持的定义 所谓的映像劫持(IFEO)就是Image File Execution Options,位于注册表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options。


【资料图】

2、由于这个项主要是用来调试程序用的,对一般用户意义不大。

3、默认是只有管理员和local system有权读写修改。

4、  通俗一点来说,就是比如我想运行QQ.exe,结果运行的却是FlashGet.exe,也就是说在这种情况下,QQ程序被FLASHGET给劫持了,即你想运行的程序被另外一个程序代替了。

5、  映像劫持病毒  虽然映像劫持是系统自带的功能,对我们一般用户来说根本没什么用的必要,但是就有一些病毒通过映像劫持来做文章,表面上看起来是运行了一个程序,实际上病毒已经在后台运行了。

6、  大部分的病毒和木马都是通过加载系统启动项来运行的,也有一些是注册成为系统服务来启动,他们主要通过修改注册表来实现这个目的,主要有以下几个方面:  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce  更多启动项请参考:系统启动时所有可能加载启动程序的方式&&&系统加载方式一文。

7、  但是与一般的木马,病毒不同的是,就有一些病毒偏偏不通过这些来加载自己,不随着系统的启动运行,而是等到你运行某个特定的程序的时候运行,这也抓住了一些用户的心理,一般的用户,只要发觉自己的机子中了病毒,首先要察看的就是系统的加载项,很少有人会想到映像劫持,这也是这种病毒高明的地方。

8、  映像劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution options 项来劫持正常的程序,比如有一个病毒 vires.exe 要劫持 qq 程序,它会在上面注册表的位置新建一个qq.exe项,再这个项下面新建一个字符串的键值 debugger 内容是:C:WINDOWSSYSTEM32VIRES.EXE(这里是病毒藏身的目录)即可。

9、当然如果你把该字符串值改为任意的其他值的话,系统就会提示找不到该文件。

10、  映像胁持的基本原理  WINDOWS NT系统在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是的话,再检查格式的,然后就会检查是否存在。

11、如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确等等。

12、把这些键删除后,程序就可以运行!  映像劫持的应用  ★ 禁止某些程序的运行  先看一段代码:  Windows Registry Editor Version 5.00  [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File  Execution Optionsqq.exe]  "Debugger"="123.exe"  把它保存为 norun_qq.reg,双击导入注册表,打开你的QQ看一下效果!  这段代码的作用是禁止QQ运行,每次双击运行QQ的时候,系统都会弹出一个框提示说找不到QQ,原因就是QQ被重定向了。

关键词:
x 广告
x 广告

Copyright   2015-2022 财务报告网版权所有  备案号: 京ICP备12018864号-19   联系邮箱:29 13 23 6 @qq.com