日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

認(rèn)識(shí)病毒的映象劫持技術(shù)

云知道

映像劫持的定義
所謂的映像劫持(IFEO)就是Image File Execution Options,位于注冊表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options由于這個(gè)項(xiàng)主要是用來調(diào)試程序用的,對一般用戶意義不大 。默認(rèn)是只有管理員和local system有權(quán)讀寫修改 。
通俗一點(diǎn)來說,就是比如我想運(yùn)行QQ.exe,結(jié)果運(yùn)行的卻是FlashGet.exe,也就是說在這種情況下,QQ程序被FLASHGET給劫持了,即你想運(yùn)行的程序被另外一個(gè)程序代替了 。
映像劫持病毒
雖然映像劫持是系統(tǒng)自帶的功能,對我們一般用戶來說根本沒什么用的必要,但是就有一些病毒通過映像劫持來做文章,表面上看起來是運(yùn)行了一個(gè)程序,實(shí)際上病毒已經(jīng)在后臺(tái)運(yùn)行了 。
大部分的病毒和木馬都是通過加載系統(tǒng)啟動(dòng)項(xiàng)來運(yùn)行的,也有一些是注冊成為系統(tǒng)服務(wù)來啟動(dòng),他們主要通過修改注冊表來實(shí)現(xiàn)這個(gè)目的,主要有以下幾個(gè)方面:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun;
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify;
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
更多啟動(dòng)項(xiàng)請參考:系統(tǒng)啟動(dòng)時(shí)所有可能加載啟動(dòng)程序的方式&&&系統(tǒng)加載方式一文 。
但是與一般的木馬,病毒不同的是,就有一些病毒偏偏不通過這些來加載自己,不隨著系統(tǒng)的啟動(dòng)運(yùn)行,而是等到你運(yùn)行某個(gè)特定的程序的時(shí)候運(yùn)行,這也抓住了一些用戶的心理,一般的用戶,只要發(fā)覺自己的機(jī)子中了病毒,首先要察看的就是系統(tǒng)的加載項(xiàng),很少有人會(huì)想到映像劫持,這也是這種病毒高明的地方 。
映像劫持病毒主要通過修改注冊表中的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution options 項(xiàng)來劫持正常的程序,比如有一個(gè)病毒 vires.exe 要劫持 qq 程序,它會(huì)在上面注冊表的位置新建一個(gè)qq.exe項(xiàng),再這個(gè)項(xiàng)下面新建一個(gè)字符串的鍵值 debugger 內(nèi)容是:C:WINDOWSSYSTEM32VIRES.EXE(這里是病毒藏身的目錄)即可 。當(dāng)然如果你把該字符串值改為任意的其他值的話,系統(tǒng)就會(huì)提示找不到該文件 。
映像脅持的基本原理
WINDOWS NT系統(tǒng)在試圖執(zhí)行一個(gè)從命令行調(diào)用的可執(zhí)行文件運(yùn)行請求時(shí),先會(huì)檢查運(yùn)行程序是不是可執(zhí)行文件,如果是的話,再檢查格式的,然后就會(huì)檢查是否存在 。如果不存在的話,它會(huì)提示系統(tǒng)找不到文件或者是“指定的路徑不正確等等 。把這些鍵刪除后,程序就可以運(yùn)行!
映像劫持的應(yīng)用

    推薦閱讀