镜像劫持的实现

  现在网络中的病毒越来越猖獗,新的技术和方法也是层出不穷。近来有关镜像劫持的方法用得较多,如果中了镜像劫持,通常都很麻烦,很多时候甚至要重装系统。为什么会这么麻烦呢?其实它是利用注册表中的重定向功能实现的。类似于文件关联的作用。以前很多网络病毒都是在注册表中重定向.bat,.exet和.com文件到病毒的执行文件,用户在做了初步的清理后,一打开此类型的文件,被清理过后的病毒又“忽如一夜春风来”占满了整个电脑。下面我们以实际的例子来看看镜像劫持是怎么实现的。
  正常情况下系统的输入法是可以进行调整的,也会在系统的状态栏中显示,而且高级文字服务也是可以关闭的。如下图示:
Image00002
Image00003
  以本机的电脑的输入法为例子,在输入法图标驻留在任务栏的情况,通过镜像劫持,可以让用户无法关闭高级文字服务,导致在任务栏上不显示输入法,而只能通过快捷键的方式来切换输入法。方法如下:
  在注册表的选项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Image File Execution Options,新建项名为ctfmon.exe,在该项中新建字符串值,名为debugger,值为ntsd -d。
Image00000
Image00001
  重启后,你会发现任务栏上的输入法图标没了,在控制面板中也无法关闭高级文字服务了(在设定的时候会显示关闭,但是点应用后重新打开时会恢复无法关闭的状态)。这就是一个简单的镜像劫持。
Image00004
Image00005
 
  其中,HKEY_LOCAL_MACHINE\SOFTWARE\Microsof\Windows NT\Current Version\Image File Execution Options下的子项名称取的是应用程序的进程名,如ctfmon.exe就是输入法的进程名。再比如防病毒软件卡巴斯基的进程名是avp.exe。如果将所有杀毒软件的进程名做一个vbs导入注册表,估计杀毒就只能通过光盘启动或是从盘的方式了。
  以上方法仅做研究测试用,请勿用于非法目的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值