扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
一般的用户,只要发觉自己的机子中了病毒,首先要察看的就是系统的加载项,很少有人会想到映像劫持,这也是这种病毒高明的地方。
映像劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Executionoptions 项来劫持正常的程序,比如有一个病毒bingdu.exe要劫持QQ程序,它会在上面注册表的位置新建一个QQ.exe项,在这个项下面新建一个字符串的键值“debugger”内容是:C:\WINDOWS\SYSTEM32\bingdu.exe即可。当然如果你把该字符串值改为任意的其他值的话,系统就会提示找不到该文件。
最近我的电脑老是被舍友侵占,每时每刻都在玩网游,所以这几天很少上网,所以到今天才能把剩余的那十几个贴的任务发完。
因为电脑经常被别人玩,如果经常叫他不要玩的话,又不太好意思所以我想到用镜像劫持来劫持了那个网游的程序,具体请看说明 ,注:舍友玩的是神泣首先找到网游的进程名称,运行网游,发现进程是Updater.exe 更新的意思,大概是每运行游戏都要自动下载更新把然后定位到注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution在左边新建一个项updater.exe,然后在右边新建一个debugger的字符串值,其数据内容就是我想指向的程序路径,比如我把它指向到QQ的运行路径(或者随便输入,指定一个空路径也行)。
这样的话,舍友运行游戏的时候就会打开QQ,感觉这样太明显了,想到用一个恶作剧小程序,比如运行之后就会弹出内存不能“read”之类的,网上搜了很久也没找到想用VB编一个,现在还没时间,有空再说了现在我只是指向一个空路径,它运行游戏的时候就什么也没运行。
原理就这样了
下面是我做的注册表导入命令,把下面的命令粘贴到新的TXT文档中,另存为.REG后缀就行了,双击导入就行了
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\updater.exe]
"Debugger"="125.exe"
如果要恢复的话,就导入下面的命令就行
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\updater.exe]
"Debugger"="125.exe"
就多一个减号
其实要反病毒的镜像劫持的话,原理跟上面一样的
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\杀软的进程]
"Debugger"="125.exe"
举一反三就行了!
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。