防范IFEO映像劫持

转载 2007年10月09日 21:13:00
 由于最近病毒都采用了IFEO映像劫持技术,导致杀软无法运行或提示无法打开文件,最近此类病毒非常流行,病毒清除操作起来相对复杂一些,所以今天特意发帖强调大家注意。   关于IFEO的介绍网络上有非常多,本文借用的是剑盟skyshine的帖子内容,感谢原作者!重要的是第五步的预防方法,简单有效,可达到防患于未然,避免中毒的苦恼。   基本症状:可能有朋友遇到过这样的情况,一个正常的程序,无论把他放在哪个位置或者是重新用安装盘修复过的程序,都无法运行或者是比如运行A却成了执行B的程序了,而改名后却可以正常运行。   既然我们是介绍IFEO技术相关,那我们就先介绍下:   一、什么是映像胁持(IFEO)?   所谓的IFEO就是Image File Execution Options是位于注册表的   HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options   由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改,先看看常规病毒等怎么修改注册表吧。   那些病毒、蠕虫和,木马等仍然使用众所皆知并且过度使用的注册表键值,如下:   HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run   HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs   HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify   HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce   HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce   等等……   二、具体使用资料:   下面是蓝色寒冰的一段介绍:   @echo off //关闭命令回显   echo 此批处理只作技巧介绍,请勿用于非法活动!//显示echo后的文字   pause //停止   echo Windows Registry Editor Version 5.00>>ssm.reg   echo [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/syssafe.EXE] >>ssm.reg   echo "Debugger"="syssafe.EXE" >>ssm.reg //把echo后的文字导出到SSM.reg中   regedit /s ssm.reg &del /q ssm.reg //导入ssm.reg并删除   使SSM失效HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/svchost.exe项下的"Debugger"="abc.exe" 意思是不执行svchost.exe而执行abc.exe。   可能说了上面那么多,大家还弄不懂是什么意思,没关系,我们大家一起来看网络上另一个朋友做得试验:   如上图了,开始-运行-regedit,展开到:   HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options 然后选上Image File Execution   Options,新建个项,然后,把这个项(默认在最后面)然后改成123.exe。   选上123.exe这个项,然后默认右边是空白的,我们点右键,新建个“字串符”,然后改名为“Debugger" 这一步要做好,然后回车,就可以。。。再双击该键,修改数据数值(其实就是路径)。   把它改为 C:/windows/system32/CMD.exe   (PS:C:是系统盘,如果你系统安装在D则改为D:如果是NT或2K的系统的话,把Windows改成Winnt,下面如有再T起,类推。)   好了,实验一下。   然后找个扩展名为EXE的,(我这里拿IcesWord.exe做实验),改名为123.exe。   然后运行之,嘿嘿,出现了DOS操作框,不知情的看着一闪闪的光标,肯定觉得特鬼异~^_^。。   一次简单的恶作剧就成咧……   同理,病毒等也可以利用这样的方法,把杀软、安全工具等名字再进行重定向,指向病毒路径。如果你把病毒清理掉后,重定向项没有清理的   话,由于IFEO的作用,没被损坏的程序一样运行不了!   三、映像胁持的基本原理:      NT系统在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是的话,再检查格式的,然后就会检查是否存在。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确等等。当然,把这些键删除后,程序就可以运行!

android安全——Activity劫持的防范程序

android安全——Activity劫持的防范程序
  • educast
  • educast
  • 2016年05月06日 10:38
  • 1156

Session攻击手段(会话劫持/固定)及其安全防御措施

原文地址:http://blog.csdn.net/h_mxc/article/details/50542038 一、       概述        对于Web应用程序来说,加强安全性的...
  • Doraemon_wu
  • Doraemon_wu
  • 2016年09月06日 12:11
  • 2062

DLL劫持防御策略

 DLL的搜索路径顺序:   ·  The directory from which the application loaded. ·  The system directory. ...
  • chence19871
  • chence19871
  • 2014年07月24日 16:22
  • 2736

Web服务器点击劫持(ClickJacking)的安全防范

一.介绍 ClickJacking即点击劫持,是一种将恶意代码经过处理使其变成透明、不可见的iframe,并将其覆盖在一个网页上,然后诱使用户在该网页上进行点击操作。通过改变iframe的在页面的位...
  • StemQ
  • StemQ
  • 2017年01月10日 22:30
  • 1030

谨慎能捕千秋蝉(三)——界面操作劫持与HTML5安全

一、界面操作劫持 1)ClickJacking ClickJacking点击劫持,这是一种视觉上的欺骗。 攻击者使用一个透明的、不可见的iframe,覆盖在网页的某个位置上,诱使用户点击ifra...
  • c2iekqea
  • c2iekqea
  • 2017年02月18日 23:44
  • 490

Cookie窃取和Session劫持

原文地址:http://www.2cto.com/Article/201411/355266.html 一、cookie的基本特性 如果不了解cookie,可以先到 wikipedia 上学习一...
  • tanga842428
  • tanga842428
  • 2016年10月25日 16:29
  • 2251

cookie窃取和session劫持

cookie窃取和session劫持 浏览:11232次  出处信息 Updates 2014-08-17 感谢@搞前端的crosser的提醒,加入了HTTP Respons...
  • Seven__________7
  • Seven__________7
  • 2017年04月28日 11:45
  • 876

流量劫持与防范

摘要流量劫持现象在国内十分猖獗,6家国内顶级互联网公司呼吁有关运营商严格打击流量劫持问题。流量劫持分为域名劫持和内容篡改两类,通过HTTPDNS产品和内容HTTPS加密可以基本解决这两类问题。 ...
  • lpjhblpj
  • lpjhblpj
  • 2016年03月26日 08:45
  • 86

(经典)详解WINDOWS映像劫持技术

windows映像劫持技术(IFEO)介绍以及常用解决方案_电脑软硬件应用网_国内最受关注的计算机应用解决中心   http://www.45it.com/Article/pcedu/Safety/...
  • guyue35
  • guyue35
  • 2015年11月27日 18:13
  • 431

通过映像劫持实现Notepad2替换记事本

1、打开注册表创建如下注册表项:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notep...
  • xxd851116
  • xxd851116
  • 2013年03月29日 14:32
  • 4941
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:防范IFEO映像劫持
举报原因:
原因补充:

(最多只允许输入30个字)