当前位置:主页   - 电脑 - 信息安全 - 病毒防治
映像劫持病毒原理及预防
来源:网络   作者:    更新时间:2010-09-26
收藏此页】    【字号    】    【打印】    【关闭

映像劫持的定义

所谓的映像劫持(IFEO)就是Image File Execution Options,位于注册表的

HKEY_LOCAL_MACHINE_SOFTWARE_Microsoft_Windows NT_CurrentVersion_Image File_ Execution Options 由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改。

通俗一点来说,就是比如我想运行QQ.exe,结果运行的却是FlashGet.exe,也就是说在这种情况下,QQ程序被FLASHGET给劫持了,即你想运行的程序被另外一个程序代替了。

映像劫持病毒

虽然映像劫持是系统自带的功能,对我们一般用户来说根本没什么用的必要,但是就有一些病毒通过映像劫持来做文章,表面上看起来是运行了一个程序,实际上病毒已经在后台运行了。

大部分的病毒和木马都是通过加载系统启动项来运行的,也有一些是注册成为系统服务来启动,他们主要通过修改注册表来实现这个目的,主要有以下几个方面:

HKEY_LOCAL_MACHINE_SOFTWARE_Microsoft_Windows_CurrentVersion_Run

HKLM_SOFTWARE_Microsoft_Windows NT_CurrentVersion_Windows_AppInit_DLLs

HKEY_LOCAL_MACHINE_SOFTWARE_Microsoft_Windows NT_CurrentVersion_WinlogonNotify

HKEY_LOCAL_MACHINE_SOFTWARE_Microsoft_Windows_CurrentVersion_RunOnce

HKEY_LOCAL_MACHINE_Software_Microsoft_Windows_CurrentVersion_Run_ServicesOnce

但是与一般的木马,病毒不同的是,就有一些病毒偏偏不通过这些来加载自己,不随着系统的启动运行,而是等到你运行某个特定的程序的时候运行,这也抓住了一些用户的心理,一般的用户,只要发觉自己的机子中了病毒,首先要察看的就是系统的加载项,很少有人会想到映像劫持,这也是这种病毒高明的地方。

映像劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINE_SOFTWARE_Microsoft_Windows NT_CurrentVersion_Image File_Execution options 项来劫持正常的程序,比如有一个病毒 vires.exe 要劫持 qq 程序,它会在上面注册表的位置新建一个qq.exe项,再这个项下面新建一个字符串的键值 debugger 内容是:C:WINDOWSSYSTEM32VIRES.EXE(这里是病毒藏身的目录)即可。当然如果你把该字符串值改为任意的其他值的话,系统就会提示找不到该文件。

其它资源
来源声明

版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明