日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
實(shí)例講述映像劫持IFEO技術(shù)

大家對(duì)于映像劫持(IFEO)應(yīng)該都不陌生,從2007年開始,眾多病毒木馬就利用映像劫持關(guān)閉殺毒軟件,傳播自身。

所謂的映像劫持IFEO就是Image File Execution Options(其實(shí)應(yīng)該稱為 Image Hijack)。它位于注冊(cè)表的

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

IFEO的本意是為一些在默認(rèn)系統(tǒng)環(huán)境中運(yùn)行時(shí)可能引發(fā)錯(cuò)誤的程序執(zhí)行體提供特殊的環(huán)境設(shè)定。由于這個(gè)項(xiàng)主要是用來調(diào)試程序用的,對(duì)一般用戶意義不大。默認(rèn)是只有管理員和Local system有權(quán)讀寫修改。

當(dāng)一個(gè)可執(zhí)行程序位于IFEO的控制中時(shí),它的內(nèi)存分配則根據(jù)該程序的參數(shù)來設(shè)定,而WindowsNT架構(gòu)的系統(tǒng)能通過這個(gè)注冊(cè)表項(xiàng)使用與可執(zhí)行程序文件名匹配的項(xiàng)目作為程序載入時(shí)的控制依據(jù),最終得以設(shè)定一個(gè)程序的堆管理機(jī)制和一些輔助機(jī)制等。出于簡(jiǎn)化原因,IFEO使用忽略路徑的方式來匹配它所要控制的程序文件名,所以程序無論放在哪個(gè)路徑,只要名字沒有變化,它就運(yùn)行出問題。

映像劫持IFEO實(shí)例演示

這里我們用一個(gè)實(shí)際例子,來演示一下映像劫持。

點(diǎn)擊“開始”-“運(yùn)行”輸入“regedit”命令,打開注冊(cè)表編輯器,展開到: 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image
 File Execution Options\

然后選擇Image File Execution Options,右鍵點(diǎn)擊新建一個(gè)項(xiàng),把這個(gè)項(xiàng)(默認(rèn)在最后面)命名為QQ.exe。

望文知意,這次是要用QQ來做試驗(yàn)。選中QQ.exe這個(gè)項(xiàng),此時(shí)右邊默認(rèn)是空白的。點(diǎn)擊鼠標(biāo)右鍵,新建一個(gè)“字串符”,然后改名為“Debugger”最后一步,雙擊該鍵,修改數(shù)據(jù)數(shù)值(其實(shí)就是路徑),這里是修改為Windows系統(tǒng)“記事本”程序的路徑

C:\WINNT\system32\notepad.exe

注:“C:”是系統(tǒng)盤,如果你的系統(tǒng)安裝在D盤則改為“D:”(不包括雙引號(hào))。這里使用的操作系統(tǒng)是Windows2000,如果你的系統(tǒng)不是Windows2000或WindowsNT的話,把WINNT改成Windows,類似情況同理處理。

 

好了,實(shí)驗(yàn)下,看看效果。點(diǎn)擊QQ.exe,看出現(xiàn)了什么

 

QQ主程序QQ.exe被記事本“劫持”了,記事本直接按照.txt文檔格式打開了QQ.exe程序。

回到注冊(cè)表,刪除相應(yīng)鍵,一切又恢復(fù)了正常,熟悉的QQ界面回來了。

 

同理,病毒等也可以利用這樣的方法,把殺毒軟件、安全工具等名字再進(jìn)行重定向,指向病毒路徑。所以,如果你把病毒清理掉后,重定向項(xiàng)沒有清理的話,由于IFEO的作用,沒被損壞的程序一樣運(yùn)行不了!

映像劫持終極利用——讓病毒迷失自我  

同上面的道理一樣,如果我們把病毒程序給重定向了,病毒也就變得“找不到北”無法正常運(yùn)行了。 

WindowsRegistryEditorVersion5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\
ImageFileExecutionOptions\sppoolsv.exe]
Debugger=123.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\
ImageFileExecutionOptions\logo_1.exe]
Debugger=123.exe

將上面的代碼保存為后綴.reg的文件,雙擊執(zhí)行(這里以金豬病毒和威金病毒為例),這樣即使這些病毒在系統(tǒng)啟動(dòng)項(xiàng)里面,即使隨系統(tǒng)運(yùn)行了,但是由于映象劫持的重定向作用,還是會(huì)被系統(tǒng)提示無法找到病毒文件(這里是logo_1.exe和sppoolsv.exe)。

現(xiàn)在病毒木馬更多的是在利用各類移動(dòng)設(shè)施(U盤等)、通過網(wǎng)頁(yè)掛馬進(jìn)行傳播,通過模擬用戶操作關(guān)閉殺毒軟件。但我們?nèi)匀豢梢酝ㄟ^這個(gè)映像劫持的實(shí)例進(jìn)行深入思考:如何利用病毒自身的技術(shù)來抵御病毒木馬的入侵。

【編輯推薦】

  1. 巧用“映像劫持IFEO”控制病毒運(yùn)行!
  2. 非常詳細(xì)的映像劫持分析
  3. 映像劫持的功能

網(wǎng)站欄目:實(shí)例講述映像劫持IFEO技術(shù)
文章URL:http://www.dlmjj.cn/article/dhigios.html