注册表探秘 跟踪病毒的映象劫持的危害
日期:2007年11月10日 作者: 查看:[大字体 中字体 小字体]-
映像劫持的定义
所谓的映像劫持(IFEO)就是Image File Execution Options,位于注册表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改。
通俗一点来说,就是比如我想运行QQ.exe,结果运行的却是FlashGet.exe,也就是说在这种情况下,QQ程序被FLASHGET给劫持了,即你想运行的程序被另外一个程序代替了。映像劫持病毒
虽然映像劫持是系统自带的功能,对我们一般用户来说根本没什么用的必要,但是就有一些病毒通过映像劫持来做文章,表面上看起来是运行了一个程序,实际上病毒已经在后台运行了。
大部分的病毒和木马都是通过加载系统启动项来运行的,也有一些是注册成为系统服务来启动,他们主要通过修改注册表来实现这个目的,主要有以下几个方面:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce但是与一般的木马,病毒不同的是,就有一些病毒偏偏不通过这些来加载自己,不随着系统的启动运行,而是等到你运行某个特定的程序的时候运行,这也抓住了一些用户的心理,一般的用户,只要发觉自己的机子中了病毒,首先要察看的就是系统的加载项,很少有人会想到映像劫持,这也是这种病毒高明的地方。
映像劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution options 项来劫持正常的程序,比如有一个病毒 vires.exe 要劫持 qq 程序,它会在上面注册表的位置新建一个qq.exe项,再这个项下面新建一个字符串的键值 debugger 内容是:C:\WINDOWS\SYSTEM32\VIRES.EXE(这里是病毒藏身的目录)即可。当然如果你把该字符串值改为任意的其他值的话,系统就会提示找不到该文件。
映像胁持的基本原理
WINDOWS NT系统在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是的话,再检查格式的,然后就会检查是否存在。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确等等。把这些键删除后,程序就可以运行!
映像劫持的应用★ 禁止某些程序的运行
先看一段代码:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
- [1] [2] [3] 下一页
-
- 注册表探秘 跟踪病毒的映象劫持的危害 相关文章:
- ·asp代码-注册登陆代码
- ·注册表修改大全之XP
- ·2005 最新注册码大全
- ·注册表知识:HKEY_LOCAL_MACHINE根键详解
- ·Coreldraw12官方简体中文版下载及注册码
- ·注册表应用100例—注册表使用全攻略之十一
- ·软件注册码、安装序列号☆集锦
- ·什么是SQL注入法攻击
- ·在jsp中用bean和servlet联合实现用户注册、登录
- ·cmd下修改注册表完全攻略
- 注册表探秘 跟踪病毒的映象劫持的危害 相关软件
- ·VirtuaGirl 虚拟女孩 V2.08 汉化注册版
- ·注册码生成器 V1.0
- ·COCO电脑监控系统 V 7.66 注册版
- ·统一驾照模拟考试系统v3.0 驾校版 + 注册机
- ·儿童经典诵读—名篇精品欣赏注音读本(专家朗诵版) V3.0.8.8
- ·注册表修改工具 V4.0
- ·Fraps游戏录影 注册版
- ·《实况足球9欧洲版》全系列注册表导入器
- ·理正电气 CAD Build 20612 免费注册版
- ·RegFix注册表关键键值修复工具 V1.21
- 特别声明:本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作
- 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转
- 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源:http://www.hackhome.com
精品推荐
热点TOP10
- ·注册表修改大全之XP
- ·注册表知识:HKEY_LOCAL_MACHINE根键详解
- ·注册表应用100例—注册表使用全攻略之十一
- ·cmd下修改注册表完全攻略
- ·注册表基础—注册表使用全攻略之一
- ·注册表知识完全版2
- ·修复无法显示隐藏文件的几种简单方法
- ·Windows系统故障修复技巧
- ·如何解除注册表的锁定
- ·发个大家肯定喜欢的—注册表常用键值意
- ·WinXP注册表应用—注册表使用全攻略之八
- ·提高:注册表从入门到精通
- ·Windows注册表修改实例完全手册
- ·深入剖析恶意攻击性网页-注册表全攻略
- ·HKEY_CLASSES_ROOT根键
- ·注册表解锁方法
- ·加快上网速度
- ·菜鸟学电脑:注册表之完全解说
- ·XP中用安全模板修改注册表设置
- ·Win98注册表应用50例—注册表使用全攻略之十
特别推荐
- ·妙用注册表实现隐藏管理员账号
- ·利用Windows注册表来清理系统垃圾文件
- ·注册表基础—注册表使用全攻略之一
- ·发个大家肯定喜欢的—注册表常用键值意
- ·注册表知识完全版2
- ·注册表REG文件全攻略—注册表使用全攻略之十五
- ·注册表解锁方法
- ·巧改注册表来增强网络功能—注册表使用全攻略之五
- ·Win98注册表应用50例—注册表使用全攻略之十
- ·Windows注册表修改实例完全手册
- ·修复无法显示隐藏文件的几种简单方法
- ·XP中用安全模板修改注册表设置
- ·注册表实战集锦
- ·菜鸟学电脑:注册表之完全解说
- ·注册表知识:HKEY_LOCAL_MACHINE根键详解
- ·WinXP注册表应用—注册表使用全攻略之八
- ·cmd下修改注册表完全攻略
- ·深入剖析恶意攻击性网页-注册表全攻略
- ·Windows系统故障修复技巧
- ·如何解除注册表的锁定