映像劫持(IFEO)是一种利用Windows注册表中的Image File Execution Options来控制程序执行的技术,通常用于调试。病毒和恶意软件会滥用此功能,导致正常程序无法运行或执行错误。IFEO的调试器参数(Debugger)被设置为恶意程序,使得每次运行被劫持的程序时,实际上是执行了恶意程序。解决方法包括限制注册表项的写权限、删除IFEO注册表键或使用工具如Autoruns来检查和修复映像劫持。了解并防范映像劫持对于系统安全至关重要。
windows映像劫持技术(IFEO)
基本症状:可能有朋友遇到过这样的情况,一个正常的程序,无论把它放在哪个位置,或者是一个程序重新用安装盘修复过,都出现无法运行的情况,或是出错提示为“找不到文件”或者直接没有运行起来的反应,或者是比如运行程序A却成了执行B(可能是病毒),而改名后却可以正常运行的现象。
遭遇流行“映像劫持”病毒的系统表现为常见的杀毒软件、防火墙、安全检测工具等均提示“找不到文件”或执行了没有反应,于是大部分用户只能去重装系统了,但是有经验或者歪打正着的用户将这个程序改了个名字,就发现它又能正常运行了~~
既然我们是介绍映像劫持技术(IFEO)相关,那我们就先介绍下:
[
编辑本段]
一,什么是映像劫持(IFEO)?
1.所谓的映像劫持IFEO就是Image File Execution Options
(其实应该称为“Image Hijack”。)
它是位于注册表的
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options
IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改。
当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定,而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据,最终得以设定一个程序的堆管理机制和一些辅助机制等。出于简化原因,IFEO使用忽略路径的方式来匹配它所要控制的程序文件名,所以程序无论放在哪个路径,只要名字没有变化,它就运行出问题。
先看看常规病毒等怎么修改注册表来达到随机启动吧。
病毒、蠕虫和,木马等仍然使用众所皆知并且过度使用的注册表键值,如下:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows
最低0.47元/天 解锁文章
扫一扫
1143
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
