科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道终端安全详尽了解找出防范IFEO映像劫持病毒方法

详尽了解找出防范IFEO映像劫持病毒方法

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

由于最近病毒都采用了IFEO映像劫持技术,导致杀软无法运行或提示无法打开文件,最近此类病毒非常流行,病毒清除操作起来相对复杂一些,所以今天特意发帖强调大家注意。

来源:IT专家网 2010年2月3日

关键字: 病毒防范 映像劫持 映像劫持者

  • 评论
  • 分享微博
  • 分享邮件

  由于最近病毒都采用了IFEO映像劫持技术,导致杀软无法运行或提示无法打开文件,最近此类病毒非常流行,病毒清除操作起来相对复杂一些,所以今天特意发帖强调大家注意。

  关于IFEO的介绍网络上有非常多,本文借用的是剑盟skyshine的帖子内容,感谢原作者!重要的是第五步的预防方法,简单有效,可达到防患于未然,避免中毒的苦恼。

  基本症状:可能有朋友遇到过这样的情况,一个正常的程序,无论把他放在哪个位置或者是重新用安装盘修复过的程序,都无法运行或者是比如运行A却成了执行B的程序了,而改名后却可以正常运行。

  既然我们是介绍IFEO技术相关,那我们就先介绍下:

  一、什么是映像胁持(IFEO)?

  所谓的IFEO就是Image File Execution Options是位于注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

  由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改,先看看常规病毒等怎么修改注册表吧。

  那些病毒、蠕虫和,木马等仍然使用众所皆知并且过度使用的注册表键值,如下:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce等等……

  二、具体使用资料:

  下面是蓝色寒冰的一段介绍:@echo off //关闭命令回显echo 此批处理只作技巧介绍,请勿用于非法活动!//显示echo后的文字pause //停止echo Windows Registry Editor Version 5.00>>ssm.reg echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\syssafe.EXE] >>ssm.reg echo "Debugger"="syssafe.EXE" >>ssm.reg //把echo后的文字导出到SSM.reg中regedit /s ssm.reg &del /q ssm.reg //导入ssm.reg并删除使SSM失效HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\svchost.exe项下的"Debugger"="abc.exe" 意思是不执行svchost.exe而执行abc.exe.

  可能说了上面那么多,大家还弄不懂是什么意思,没关系,我们大家一起来看网络上另一个朋友做得试验:

  

  如上图了,开始-运行-regedit,展开到:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 然后选上Image File Execution

  Options,新建个项,然后,把这个项(默认在最后面)然后改成123.exe。

  

  选上123.exe这个项,然后默认右边是空白的,我们点右键,新建个“字串符”,然后改名为“Debugger" 这一步要做好,然后回车,就可以……再双击该键,修改数据数值(其实就是路径)。

  把它改为 C:\windows\system32\CMD.exe(PS:C:是系统盘,如果你系统安装在D则改为D:如果是NT或2K的系统的话,把Windows改成Winnt,下面如有再T起,类推。)

  好了,实验下。

  然后找个扩展名为EXE的,(我这里拿IcesWord.exe做实验),改名为123.exe.然后运行之,嘿嘿,出现了DOS操作框,不知情的看着一闪闪的光标,肯定觉得特鬼异~^_^……

  一次简单的恶作剧就成咧……

  同理,病毒等也可以利用这样的方法,把杀软、安全工具等名字再进行重定向,指向病毒路径。如果你把病毒清理掉后,重定向项没有清理的

  话,由于IFEO的作用,没被损坏的程序一样运行不了!

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章