现在网络中的病毒越来越猖獗,新的技术和方法也是层出不穷。近来有关镜像劫持的方法用得较多,如果中了镜像劫持,通常都很麻烦,很多时候甚至要重装系统。为什么会这么麻烦呢?其实它是利用注册表中的重定向功能实现的。类似于文件关联的作用。以前很多网络病毒都是在注册表中重定向.bat,.exet和.com文件到病毒的执行文件,用户在做了初步的清理后,一打开此类型的文件,被清理过后的病毒又“忽如一夜春风来”占满了整个电脑。下面我们以实际的例子来看看镜像劫持是怎么实现的。
正常情况下系统的输入法是可以进行调整的,也会在系统的状态栏中显示,而且高级文字服务也是可以关闭的。如下图示:
以本机的电脑的输入法为例子,在输入法图标驻留在任务栏的情况,通过镜像劫持,可以让用户无法关闭高级文字服务,导致在任务栏上不显示输入法,而只能通过快捷键的方式来切换输入法。方法如下:
在注册表的选项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Image File Execution Options,新建项名为ctfmon.exe,在该项中新建字符串值,名为debugger,值为ntsd -d。
重启后,你会发现任务栏上的输入法图标没了,在控制面板中也无法关闭高级文字服务了(在设定的时候会显示关闭,但是点应用后重新打开时会恢复无法关闭的状态)。这就是一个简单的镜像劫持。
其中,HKEY_LOCAL_MACHINE\SOFTWARE\Microsof\Windows NT\Current Version\Image File Execution Options下的子项名称取的是应用程序的进程名,如ctfmon.exe就是输入法的进程名。再比如防病毒软件卡巴斯基的进程名是avp.exe。如果将所有杀毒软件的进程名做一个vbs导入注册表,估计杀毒就只能通过光盘启动或是从盘的方式了。
以上方法仅做研究测试用,请勿用于非法目的。
扫一扫
3317
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
