防范IFEO映像劫持

 由于最近病毒都采用了IFEO映像劫持技术，导致杀软无法运行或提示无法打开文件，最近此类病毒非常流行，病毒清除操作起来相对复杂一些，所以今天特意发帖强调大家注意。 　　关于IFEO的介绍网络上有非常多，本文借用的是剑盟skyshine的帖子内容，感谢原作者！重要的是第五步的预防方法，简单有效，可达到防患于未然，避免中毒的苦恼。 　　基本症状：可能有朋友遇到过这样的情况，一个正常的程序，无论把他放在哪个位置或者是重新用安装盘修复过的程序，都无法运行或者是比如运行A却成了执行B的程序了，而改名后却可以正常运行。 　　既然我们是介绍IFEO技术相关，那我们就先介绍下： 　　一、什么是映像胁持（IFEO）？ 　　所谓的IFEO就是Image File Execution Options是位于注册表的 　　HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options 　　由于这个项主要是用来调试程序用的，对一般用户意义不大。默认是只有管理员和local system有权读写修改，先看看常规病毒等怎么修改注册表吧。 　　那些病毒、蠕虫和，木马等仍然使用众所皆知并且过度使用的注册表键值，如下： 　　HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run 　　HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs 　　HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify 　　HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce 　　HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce 　　等等…… 　　二、具体使用资料： 　　下面是蓝色寒冰的一段介绍： 　　@echo off //关闭命令回显 　　echo 此批处理只作技巧介绍，请勿用于非法活动！//显示echo后的文字 　　pause //停止 　　echo Windows Registry Editor Version 5.00>>ssm.reg 　　echo [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/syssafe.EXE] >>ssm.reg 　　echo "Debugger"="syssafe.EXE" >>ssm.reg //把echo后的文字导出到SSM.reg中 　　regedit /s ssm.reg &del /q ssm.reg //导入ssm.reg并删除 　　使SSM失效HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/svchost.exe项下的"Debugger"="abc.exe" 意思是不执行svchost.exe而执行abc.exe。 　　可能说了上面那么多，大家还弄不懂是什么意思，没关系，我们大家一起来看网络上另一个朋友做得试验： 　　如上图了，开始-运行-regedit，展开到： 　　HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options 然后选上Image File Execution 　　Options，新建个项，然后，把这个项（默认在最后面）然后改成123.exe。 　　选上123.exe这个项，然后默认右边是空白的，我们点右键，新建个“字串符”，然后改名为“Debugger" 这一步要做好，然后回车，就可以。。。再双击该键，修改数据数值（其实就是路径）。 　　把它改为 C:/windows/system32/CMD.exe 　　（PS：C：是系统盘，如果你系统安装在D则改为D：如果是NT或2K的系统的话，把Windows改成Winnt,下面如有再T起，类推。） 　　好了，实验一下。 　　然后找个扩展名为EXE的，（我这里拿IcesWord.exe做实验），改名为123.exe。 　　然后运行之，嘿嘿，出现了DOS操作框，不知情的看着一闪闪的光标，肯定觉得特鬼异~^_^。。 　　一次简单的恶作剧就成咧…… 　　同理，病毒等也可以利用这样的方法，把杀软、安全工具等名字再进行重定向，指向病毒路径。如果你把病毒清理掉后，重定向项没有清理的 　　话，由于IFEO的作用，没被损坏的程序一样运行不了！ 　　三、映像胁持的基本原理：　 　 　　NT系统在试图执行一个从命令行调用的可执行文件运行请求时，先会检查运行程序是不是可执行文件，如果是的话，再检查格式的，然后就会检查是否存在。如果不存在的话，它会提示系统找不到文件或者是“指定的路径不正确等等。当然，把这些键删除后，程序就可以运行！