安全技巧：映像劫持与反劫持技术

wangle

当前的木马、病毒似乎比较钟情于“映像劫持”，通过其达到欺骗系统和杀毒软件，进而绝杀安全软件接管系统。笔者最近就遇到很多这种类型的木马病毒，下面把自己有关映像劫持的学习心得写下来与大家交流。 　　一、原理
　　所谓的映像劫持(IFEO)就是Image File Execution Options，它位于注册表的
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\键值下。由于这个项主要是用来调试程序用的，对一般用户意义不大，默认是只有管理员和local system有权读写修改。
　　比如我想运行QQ.exe，结果运行的却是FlashGet.exe，这种情况下，QQ程序被FLASHGET给劫持了，即你想运行的程序被另外一个程序代替了。
　　二、被劫持
　　虽然映像劫持是系统自带的功能，对一般用户来说根本没什么用的必要，但是就有一些病毒通过映像劫持来做文章，表面上看起来是运行了一个正常的程序，实际上病毒已经在后台运行了。
　　大部分的病毒和木马都是通过加载系统启动项来运行的，也有一些是注册成为系统服务来启动，他们主要通过修改注册表来实现这个目的，主要有以下几个键值：
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrent\Version\Run
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrent\Version\RunOnce
　　HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrent\Version\RunServicesOnce
　　但是与一般的木马，病毒不同的是，就有一些病毒偏偏不通过这些来加载自己，不随着系统的启动运行。木马病毒的作者抓住了一些用户的心理，等到用户运行某个特定的程序的时候它才运行。因为一般的用户，只要发觉自己的机子中了病毒，首先要察看的就是系统的加载项，很少有人会想到映像劫持，这也是这种病毒高明的地方。
　　映像劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\项来劫持正常的程序，比如有一个病毒 vires.exe 要劫持qq程序，它会在上面注册表的位置新建一个qq.exe项，再在这个项下面新建一个字符串的键　debugger把其值改为C:\WINDOWS\SYSTEM32\VIRES.EXE(这里是病毒藏身的目录)即可。
　　三、玩劫持
　　1、禁止某些程序的运行
　　Windows Registry Editor Version 5.00
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qq.exe]
　　Debugger=123.exe
　　把上面的代码保存为norun_qq.reg，双击导入注册表，每次双击运行QQ的时候，系统都会弹出一个框提示说找不到QQ，原因就QQ被重定向了。如果要让QQ继续运行的话，把123.exe改为其安装目录就可以了。
2、偷梁换柱恶作剧
　　每次我们按下CTRL+ALT+DEL键时，都会弹出任务管理器，想不想在我们按下这些键的时候让它弹出命令提示符窗口，下面就教你怎么玩：
　　Windows Registry Editor Version 5.00
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
　　Debugger=D:\WINDOWS\pchealth\helpctr\binaries\mconfig.exe
　　将上面的代码另存为 task_cmd.reg，双击导入注册表。按下那三个键打开了“系统配置实用程序”。
　　3、让病毒迷失自我
　　同上面的道理一样，如果我们把病毒程序给重定向了，是不是病毒就不能运行了，答案是肯定的。
　　Windows Registry Editor Version 5.00
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sppoolsv.exe]
　　Debugger=123.exe
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\logo_1.exe]
　　Debugger=123.exe
　　上面的代码是以金猪病毒和威金病毒为例，这样即使这些病毒在系统启动项里面，即使随系统运行了，但是由于映象劫持的重定向作用，还是会被系统提示无法找到病毒文件(这里是logo_1.exe和sppoolsv.exe)。
　　四、防劫持
　　1、权限限制法
　　打开注册表编辑器，定位到
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\，选中该项，右键→权限→高级，取消administrator和system用户的写权限即可。
　　2、快刀斩乱麻法
　　打开注册表编辑器，定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\，把“Image File Execution Options”项删除即可。
　　总结：以上关于映像劫持的解析与利用但愿对于大家查杀木马病毒有所帮助，也希望大家能够挖掘更多更实用的功能。

紫月亮

这个又是我的沙发,以后我要常来这里坐沙发

小花生米007

这是个好技术。学习一下

chen4u

呵呵，长见识中
感谢楼主的无私

xiaoqiu

了解下了,谢谢分享~~

具体工作

支持...................

muruxiang

这是个好技术。学习一下

赶紧跑地方

特别的专业，厉害