什么是映像劫持(IFEO)?
1.所谓的映像劫持IFEO就是Image File Execution Options
(其实应该称为“Image Hijack”。)
它是位于注册表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
IFEO的姿没本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改。
当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定,而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据,最终得以设定一个程序的堆管理机制和一些辅助机制等。出于简化原因,IFEO使用忽略路径的方式来匹配它所要控制的程序文件名,所以程序无论放在哪个路径,只要名字没有变化,它就运行出问题。
先看看常规病毒等怎么修改注册表吧。。
那些病毒、蠕虫和,木马等仍然使用众所皆知并且过度使用的注册表键值,如下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
等等。。。。。。。。。。。。。。。
2.另外一种劫持的方法是:在目标程序目录下建立与系统DLL相同的导出函数,执行内容为
f=LoadLibrary(byref "c:\windows\system32\"+dllname)
f=GetProcAddress(byval f,byref procname)
!jmp f
'(PowerBasic)
,在DLL初始化的时候可以干一些坏事,以此来达到改变原应用程序的目的.
方法一: 限制法(转自网络搜索)
它要修改Image File Execution Options,所先迹清纳要有权限,才可读,于是。。一条思路就成了。。
打开注册表编辑器,定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\,选中该项,右键→权限→高级,取消administrator和system用户的写权限即可。
方法二:快刀斩乱麻法
打开注册表编辑器,定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\,把“ImageFileExecutionOptions”项删除即可。
方法三:利用Microsoft Sysinternals Suite
更简单的方法,是使用Sysinternals Suite(一个微软的工具集合)中的Autoruns,点击它的“Image Hijacks”选项卡,即可看到被劫持的程序项了。
方法正竖四:权限杜绝
网上还流传着一个让初级用户看不懂的做法,那就是关闭IFEO列表的写入权限,具体操作如下:
执行32位注册表编辑器regedt32.exe
定位到HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options;
确保焦点在Image File Execution Options上,选择“安全”—“权限”;
将出现的用户列表内所有带有“写入”的权限去掉,确定退出。
这样一来,任何对IFEO的写入操作都失效了,也就起了免疫效果。这个方法对一般用户而言还是不错的,除非遭遇到一些特殊的需要往里面写入堆管理参数的程序。建议一般用户还是禁止此项,从而杜绝一切IFEO类病毒来袭。
尊敬的金山用户,你好!
你可以尝试使用金山顽固木马专杀对系统进行安全检查。
金山顽固木马专杀是集专杀工具腔毕神大成伍亏的顽固病毒专杀工具、顽固木马专杀工具,是多个难杀病数坦毒的专杀工具集合,可一次扫描清除鬼影病毒、色播病毒、av终结者病毒、猫癣病毒的各个变种。
自带系统文件自动修复功能.可以根据需要对病毒新增的破坏进行修复。
可修复金山网盾、金山急救箱、金山毒霸、金山卫士所需要的运行环境。
祝你生活愉快~
按照他说的,修复]
上金山寻求帮助
映像劫持,,也是最近玩VISTA时才听到这东西的...
大意就是比如你打开的是IE上网的...在发送请求后..你打开的可并激能确是记事本....IE没有运行...这绝激袜就是一种映像劫持....
在说就深了.我也就是在对付一个VISTA漏洞时试用过.想学自己在找找吧.,
一般都是木马病毒用的多些..
你用铅仿360安全卫士吧..用它能搞定..360还有个专杀比金山的东西强...