关于印象劫持

      如今,作为病毒与杀软对抗的一种手段,印象劫持已广泛应用于病毒编写之中。

      下面,用我不多的知识说说印象劫持。

       所谓的IFEO就是"Image File Execution Options" ,它是注册表中的一个项(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options),这个项主要是调试程序用的,所以对于一般用户而言意义不大(默认是只有管理员和local system有权读写修改)。

       原理:NT系统(xp也是基于NT的)在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是的话,再检查格式的,然后就会检查是否存在。。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确等等。。

        当然,把这些键删除后,程序就可以运行!

一个印象劫持的小实验:

开始-运行-regedit,展开到: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 然后在这个下面新建一个项,把项的名字改成xxx.exe 然后点xxx.exe,在右侧新建一个字符串,名称为Dubugger 在字符串里指点另一个exe文件的路径,如("%system%/system32/cmd.exe"); 最后,只要文件名是xxx的所有exe文件,都会去执行你在debugger中指定的文件!

如果我们添加上如下的IFEO项目,几乎所有稍为有些名气的杀毒软件和杀辅助软件都挂了,呵呵。
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStub.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwcfg.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsAgent.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rsaupd.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe
哈哈,知道它的厉害了吧!!!

预防方法:

方法一:

它要修改Image File Execution Options,所以先要有权限,才可读

打开注册表编辑器,定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\,选中该项,右键→权限→高级,取消administrator和system用户的写权限即可。

方法二:

  打开注册表编辑器,定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\,把“ImageFileExecutionOptions”项删除即可。

方法三:
使用IFEO映像挟持修复程序修复!(该方法是用于中毒修复,不能作防范)

很多东西都是网上搜到的,呵呵。希望对大家有帮助。

 

 

 

Posted in : by : YullinAugust 3, 20083 CommentsTag : 病毒, 印象劫持, Ubuntu Linux