扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
其实映像劫持是系统自带的功能,病毒通过修改注册表来实现对杀软的劫持,当你运行杀软的时候,他就会自动把目标指向病毒的路径,
从而来运行病毒,下面说一下镜像劫持的原理吧,下面是从网上收集的资料!!!
系统在试图执行一个从命令行调用的可执行文件运行请求时,会先检查运行程序是不是可执行文件,
如果是的话,才会再检查格式的,最后才会检查是否存在。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确“等错误。把这些键删除后,程序就可以正常运行了。
虽然映像劫持是系统自带的功能,对我们一般用户来说根本没什么用的必要,但是就有一些病毒通过映像劫持来做文章,表面上看起来是运行了一个程序,实际上病毒已经在后台运行了。
大部分的病毒和木马都是通过加载系统启动项来运行的,也有一些是注册成为系统服务来启动,他们主要通过修改注册表来实现这个目的,主要有以下几个方面:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
但是与一般的木马、病毒不同的是,就有一些病毒偏偏不通过这些来加载自己,不随着系统的启动运行,而是等到用户运行某个特定的程序的时候运行,这也抓住了一些用户的心理。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。