|
所谓的IFEO就是Image File Execution Options
我查找了许多资料但是没有太明确的解释,大概的解释是用XXX.exe程序用另一个程序调试启动,但是如果XXX.exe指向的程序不存在时或为无效路径时,该程序就不能启动,现在有的病毒就是利用了这个原理,全面地封杀对付它的工具,病毒的映像劫持会把劫持的文件指向到病毒文件,这样当我们双击.exe文件时,实际就是激活病毒!!包括“冰刀”等杀毒高手,一些主流的杀软无一幸免!!为了更好的让大家理解,我在电脑上做了一个映像劫持“安全卫士360”的操作,通过修改注册表项达到360不能启动的目的: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe]
第一步:打开注册表:在注册表编辑器中找到“Image File Execution Options”后,鼠标右键建立一个“项”
第二步:命名为“360Safe.exe”就是我们要封杀的项目。
第三步:在注册表的右边点鼠标右键建立一个新的“字符串值”命名为
“Debugger”并修改参数为"Debugger"="abcd.exe"意思就是用abcd.exe调试启动(abcd.exe并不存在,必定失败!)
第四步:退出注册表编辑器,双击打开“安全卫士360”,出现了如下的提示。
提示:也可以用它指定打开其它程序:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe]
"Debugger"="C:\\WINDOWS\\pchealth\\helpctr\\binaries\\msconfig.exe"
点击360打开了“系统配制实用程序”结果是不是可以让你疯掉!!你可以试验一下!!
问:如何保护我们不被病毒映像劫持呢?
答:我们要具备一些安全防范意识:具体方法就是以权限的方式拒绝修改注册表此项目。如图:
问:如果我们知道了病毒的主文件的名字,是不是也可以反杀病毒?
答:杀毒是不可以的,但是应该是可以控制病毒启动不了,按图解的方式操作,利用此方法停止病毒运行!(前提是可以修改注册表,如果打不开注册表可以使用Autoruns这个小程序帮助打开注册表,改好后重启电脑生效,可能会弹出提示框,忽略它)再利用我们的杀毒软件删除或手动删除。
给朋友们找到一个批处理命令,有兴趣的朋友可以试验一下。
@echo off
echo 《毒不天下》提示:此批处理只作技巧介绍,请勿用于非法活动!
pause
echo Windows Registry Editor Version 5.00>> kill.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\病毒名.EXE] >>kill.reg
echo "Debugger"="病毒名.EXE" >>kill.reg
regedit /s kill.reg &del /q kill.reg
修改“病毒名.exe”为你想禁止的病毒的文件名(如:威金的logo1_.exe,熊猫烧香的FuckJacks.exe)。把以上内容保存为kill.bat,双击运行。
这样用这些文件名的病毒就不能在你的系统中运行了。
防范IFEO映像劫持
由于最近病毒都采用了IFEO映像劫持技术,导致杀软无法运行或提示无法打开文件,最近此类病毒非常流行,病毒清除操作起来相对复杂一些,所以今天特意发帖强调大家注意。
关于IFEO的介绍网络上有非常多,本文借用的是剑盟skyshine的帖子内容,感谢原作者!重要的是第五步的预防方法,简单有效,可达到防患于未然,避免中毒的苦恼。
基本症状:可能有朋友遇到过这样的情况,一个正常的程序,无论把他放在哪个位置或者是重新用安装盘修复过的程序,都无法运行或者是比如运行A却成了执行B的程序了,而改名后却可以正常运行。
既然我们是介绍IFEO技术相关,那我们就先介绍下:
一、什么是映像胁持(IFEO)?
所谓的IFEO就是Image File Execution Options是位于注册表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改,先看看常规病毒等怎么修改注册表吧。
那些病毒、蠕虫和,木马等仍然使用众所皆知并且过度使用的注册表键值,如下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
等等……
二、具体使用资料:
下面是蓝色寒冰的一段介绍:
@echo off //关闭命令回显
echo 此批处理只作技巧介绍,请勿用于非法活动!//显示echo后的文字
pause //停止
echo Windows Registry Editor Version 5.00>>ssm.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\syssafe.EXE] >>ssm.reg
echo "Debugger"="syssafe.EXE" >>ssm.reg //把echo后的文字导出到SSM.reg中
regedit /s ssm.reg &del /q ssm.reg //导入ssm.reg并删除
使SSM失效HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\svchost.exe项下的"Debugger"="abc.exe" 意思是不执行svchost.exe而执行abc.exe。
可能说了上面那么多,大家还弄不懂是什么意思,没关系,我们大家一起来看网络上另一个朋友做得试验:
开始-运行-regedit,展开到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 然后选上Image File Execution
选上123.exe这个项,然后默认右边是空白的,我们点右键,新建个“字串符”,然后改名为“Debugger" 这一步要做好,然后回车,就可以。。。再双击该键,修改数据数值(其实就是路径)。
把它改为 C:\windows\system32\CMD.exe
(PS:C:是系统盘,如果你系统安装在D则改为D:如果是NT或2K的系统的话,把Windows改成Winnt,下面如有再T起,类推。)
共3页: 上一页 1 [2] [3] 下一页 |
收藏
推荐
评论(0条)
