日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

注冊表映像劫持技術(shù)

云知道

通常我們的自啟動(dòng)大多是通過注冊表啟動(dòng)項(xiàng),文件夾啟動(dòng)項(xiàng),服務(wù)啟動(dòng)等,然而還有一種人們所不常見的自啟動(dòng)方法,他不同于文件關(guān)聯(lián)啟動(dòng),他卻能劫持某一特定程序,以下解釋來自百度百科:
“映像劫持”,也被稱為“IFEO”(Image File Execution Options,其實(shí)應(yīng)該稱為“Image Hijack”,至少也應(yīng)該稱為IFEO Hijack而不是只有“IFEO”自身!),它的存在自然有它的理由,在WindowsNT架構(gòu)的系統(tǒng)里,IFEO的本意是為一些在默認(rèn)系統(tǒng)環(huán)境中運(yùn)行時(shí)可能引發(fā)錯(cuò)誤的程序執(zhí)行體提供特殊的環(huán)境設(shè)定,系統(tǒng)廠商之所以會(huì)這么做,是有一定歷史原因的,在Windows NT時(shí)代,系統(tǒng)使用一種早期的堆棧Heap,由應(yīng)用程序管理的內(nèi)存區(qū)域)管理機(jī)制,使得一些程序的運(yùn)行機(jī)制與現(xiàn)在的不同,而后隨著系統(tǒng)更新?lián)Q代,廠商修改了系統(tǒng)的堆棧管理機(jī)制,通過引入動(dòng)態(tài)內(nèi)存分配方案,讓程序?qū)?nèi)存的占用更為減少,在安全上也保護(hù)程序不容易被溢出,但是這些改動(dòng)卻導(dǎo)致了一些程序從此再也無法運(yùn)作,為了兼顧這些出問題的程序,微軟以“從長計(jì)議”的態(tài)度專門設(shè)計(jì)了“IFEO”技術(shù),它的原意根本不是“劫持”,而是“映像文件執(zhí)行參數(shù)”!
映像劫持技術(shù)是通過修改注冊表實(shí)現(xiàn)的:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options
利用方法如下,我通過一個(gè)REG文件實(shí)現(xiàn),如果使用編程也是非常簡單的,REG文件內(nèi)容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsqq.exe]
"Debugger"="muma.exe"
【注冊表映像劫持技術(shù)】這段代碼表示要劫持的程序?yàn)閝q.exe,只要運(yùn)行文件名為qq.exe的,不管在哪個(gè)文件夾下都會(huì)啟動(dòng)SYSTEM32目錄下的muma.exe(當(dāng)然你可以直接把qq.exe改成你要啟動(dòng)程序的路徑 ) 。
因此,如果您的計(jì)算機(jī)不慎中毒,除了檢查注冊表啟動(dòng)項(xiàng)、文件夾啟動(dòng)項(xiàng)、服務(wù)外,還要小心檢測注冊表里容易被映像劫持的Image File Execution Options項(xiàng) 。

    推薦閱讀