映像劫持IFEO

≈☆缘☆≈

所谓的IFEO就是Image File Execution Options \r\n\r\n我查找了许多资料但是没有太明确的解释，大概的解释是用XXX.exe程序用另一个程序调试启动，但是如果XXX.exe指向的程序不存在时或为无效路径时，该程序就不能启动，现在有的病毒就是利用了这个原理，全面地封杀对付它的工具，病毒的映像劫持会把劫持的文件指向到病毒文件，这样当我们双击.exe文件时，实际就是激活病毒！！包括“冰刀”等杀毒高手，一些主流的杀软无一幸免！！为了更好的让大家理解，我在电脑上做了一个映像劫持“安全卫士360”的操作，通过修改注册表项达到360不能启动的目的： [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\360Safe.exe]\r\n\r\n第一步：打开注册表：在注册表编辑器中找到“Image File Execution Options”后，鼠标右键建立一个“项”\r\n\r\n\r\n第二步：命名为“360Safe.exe”就是我们要封杀的项目。\r\n\r\n\r\n第三步：在注册表的右边点鼠标右键建立一个新的“字符串值”命名为\r\n“Debugger”并修改参数为\"Debugger\"=\"abcd.exe\"意思就是用abcd.exe调试启动（abcd.exe并不存在，必定失败！) \r\n\r\n\r\n第四步：退出注册表编辑器，双击打开“安全卫士360”，出现了如下的提示。\r\n提示：也可以用它指定打开其它程序：\r\n[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\360Safe.exe]\r\n\"Debugger\"=\"C:\\\\WINDOWS\\\\pchealth\\\\helpctr\\\\binaries\\\\msconfig.exe\"\r\n点击360打开了“系统配制实用程序”结果是不是可以让你疯掉！！你可以试验一下！！\r\n\r\n问：如何保护我们不被病毒映像劫持呢？\r\n答：我们要具备一些安全防范意识：具体方法就是以权限的方式拒绝修改注册表此项目。如图：\r\n\r\n问：如果我们知道了病毒的主文件的名字，是不是也可以反杀病毒？\r\n答：杀毒是不可以的，但是应该是可以控制病毒启动不了，按图解的方式操作，利用此方法停止病毒运行！（前提是可以修改注册表，如果打不开注册表可以使用Autoruns这个小程序帮助打开注册表,改好后重启电脑生效，可能会弹出提示框，忽略它）再利用我们的杀毒软件删除或手动删除。\r\n\r\n\r\n给朋友们找到一个批处理命令，有兴趣的朋友可以试验一下。\r\n@echo off \r\necho 《毒不天下》提示：此批处理只作技巧介绍,请勿用于非法活动! \r\npause\r\necho Windows Registry Editor Version 5.00>> kill.reg\r\necho [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\病毒名.EXE] >>kill.reg\r\necho \"Debugger\"=\"病毒名.EXE\" >>kill.reg \r\nregedit /s kill.reg &del /q kill.reg\r\n修改“病毒名.exe”为你想禁止的病毒的文件名(如：威金的logo1_.exe,熊猫烧香的FuckJacks.exe)。把以上内容保存为kill.bat，双击运行。\r\n这样用这些文件名的病毒就不能在你的系统中运行了。