镜像劫持(什么是镜像劫持)
一、什么叫镜像劫持为什么病毒和木马能镜像劫持
你好,在Windows系统的注册表中,你会找到一个项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,这个项其实也是系统启动过程中起着重要作用的启动项,系统默认情况下对该项的权限设置并不严格,只要是管理员组用户,就拥有完全控制的权限。而正是这一特点,也让病毒木马看到了进行镜像劫持的机会。它们通过改写该注册表项,在其下添加与各杀毒软件或安全软件进程名称相关的子项,然后在相关的子项右面窗口中你会发现一个Debugger键值,并且其键值数据指向了病毒文件的路径,这其实就是你看到的镜像劫持,若你所安装的杀毒软件进程名称恰恰与被病毒木马创建过相关子键名称相同,那么你的杀毒软件就无法运行了,但是进程名称若没在木马病毒的名单中,那么这个杀毒软件就可以继续使用并发挥应有的作用。
万一遭遇这种病毒,你可以先试试腾讯电脑管家,如果可以运行,在“杀毒”选项中点击全盘查杀,这时电脑管家将对包括注册表镜像劫持位置在内的所有系统关键位置,以及硬盘中所有文件进行检测,它毕竟拥有4+1核心杀毒引擎,且使用了CPU虚拟执行技术,能够发现病毒木马并对木马病毒予以根除。万一连电脑管家也无法运行了,你可以在下载专杀工具来试试,它能够处理包括电脑管家在内的所有杀毒软件无法运行,即遭遇映像劫持的情况。
如果你还有其它电脑问题,欢迎你在电脑管家企业平台提出,我们将尽力为你解答。
二、镜像劫持技术
映像劫持的定义
映像劫持(IFEO)是Image File Execution Options,位于注册表[HKEY_LOCAL MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改。
通俗一点来说,就是比如我想运行QQ.exe(记事本),结果运行的却是运行了notepad.exe(记事本),也就是说在这种情况下,QQ程序被notepad给劫持了,即你想运行的程序被另外一个程序代替了。
映像劫持病毒
虽然映像劫持是系统自带的功能,对我们一般用户来说根本没什么用的必要,但是就有一些病毒通过映像劫持来做文章,表面上看起来是运行了一个程序,实际上病毒已经在后台运行了。
但是与一般的木马,病毒不同的是,就有一些病毒偏偏不通过这些来加载自己,不随着系统的启动运行,而是等到你运行某个特定的程序的时候运行,这也抓住了一些用户的心理,一般的用户,只要发觉自己的机子中了病毒,首先要察看的就是系统的加载项,很少有人会想到映像劫持,这也是这种病毒高明的地方。
映像劫持病毒主要通过修改注册表中的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution options]项来劫持正常的程序,比如有一个病毒 vires.exe要劫持 qq程序,它会在上面注册表的位置新建一个qq.exe项,再这个项下面新建一个字符串的键值debugger内容是:C:\WINDOWS\SYSTEM32\ABC.EXE(这里是病毒藏身的路径)即可。当然如果你把该字符串值改为任意的其他值的话,系统就会提示找不到该文件。
映像胁持的基本原理
WINDOWS NT系统在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是的话,再检查格式的,然后就会检查是否存在。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确”等等。把这些键删除后,程序就可以运行!
映像劫持的应用
★禁止某些程序的运行
先看一段代码:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qq.exe]
"Debugger"="notepad.exe"
使用记事本,把上面这段代码复制到记事本中,并另存为 ABC.reg,双击导入注册表,打开你的QQ看一下效果!
这段代码的作用是双击运行QQ的时候,系统都打开记事本,原因就是QQ被重定向了。如果要让QQ继续运行的话,把notepad.exe改为QQ.exe的绝对路径就可以了。
★偷梁换柱恶作剧
每次我们按下CTRL+ALT+DEL键时,都会弹出任务管理器,想不想在我们按下这些键的时候让它弹出命令提示符窗口,下面就教你怎么玩:
Windows Registry Editor Version 5.00
[HKEY_LOCAL MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
"Debugger"="C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe"
将上面的代码在记事本中另存为 task_cmd.reg,双击导入注册表。按下那三个键看是什么效果,不用我说了吧,是不是很惊讶啊!精彩的还在后头呢!
★让病毒迷失自我
同上面的道理一样,如果我们把病毒程序给重定向了,是不是病毒就不能运行了,答案是肯定的!下面就自己试着玩吧!
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sppoolsv.exe]
"Debugger"="123.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\logo_1.exe]
"Debugger"="123.exe"
上面的代码是以金猪报喜病毒和威金病毒为例,这样即使这些病毒在系统启动项里面,即使随系统运行了,但是由于映像劫持的重定向作用,还是会被系统提示无法找到病毒文件(这里是logo_1.exe和sppoolsv.exe)。是不是很过瘾啊,想不到病毒也有今天!
当然你也可以把病毒程序重定向到你要启动的程序中去,如果你想让QQ开机自启动,你可以把上面的123.exe改为你QQ的安装路径即可,但是前提是这些病毒必须是随系统的启动而启动的。
关于映像劫持的预防,主要通过以下几个方法来实现:
★权限限制法
如果用户无权访问该注册表项了,它也就无法修改这些东西了。打开注册表编辑器,进入[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options],选中该项,右键——>权限——>高级,将administrator和 system用户的权限调低即可(这里只要把写入操作给取消就行了)。
★快刀斩乱麻法
打开注册表编辑器,进入把[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]项,直接删掉 Image File Execution Options项即可解决问题。
三、镜像劫持是什么病毒,怎么杀
所谓的镜像劫持,就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项,例如Rav.exe。
然后再创建一个键“Debugger="C:\WINDOWS\system32\drivers\ceffen.com”。以后只要用户双击 Rav.exe就会运行OSO的病毒文件ceffen.com,类似文件关联的效果。对这个病毒的清除注意几点:
1、重启进入安全模式下后所有硬盘操作都要右键打开,切记不要双击打开各个分区;
2、进入后要去掉隐藏的系统属性。(这一步要先编辑注册表否则实现不了,病毒已经更改注册表使隐藏的文件选项失效);
3、找到隐藏的文件后删除即可;
4、手动删除添加的非法 IFEO劫持项目,重启后即可.镜像劫持的简单解决方法如果电脑上有杀毒软件或360什么的但是中了镜像劫持是安全软件无法运行的话其实只需要更改一下安全软件的名字就能不被镜像劫持利用,个人认为这是最适合初学者的最简单办法。
注:
找到安全软件的位置大部分都放在program files文件夹下。找到名字例如拿360做例子原文件路径X:\Program Files\360safe原名为360Safe.exe你把名字改为36015safe.exe(名字什么都行不过就不能是安全软件的名字)然后双击此安全软件就会过镜像劫持开始运行,后面的查杀就不需要说什么了吧。这小操作可以解决燃眉之急啦。