Board logo

标题: 【原创】映像劫持之我见 [打印本页]
作者: 柔肠寸断    时间: 2008-8-22 10:15     标题: 【原创】映像劫持之我见

首先说下这篇文章没有什么技术含量,因为这样的文章在网上到处都是,但是我相信如果你看完了这篇文章之后,你多少会有点收获的。& |6 E* ]+ q+ L% E0 x$ b: C7 U( {
+ b5 Y* w7 h4 A  [( T* z" ~
      好的,废话不多说,开始今天的话题,关于“映像劫持”。
- R* K" a. p9 F' u( u8 l6 g9 C* k  h; Y
      一. 映象劫持之定义:
' ~; W/ L* ~; b) y. r6 p# |' E# O* U, v
      所谓的映像劫持(IFEO)就是Image File Execution Options,它位于注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下。/ r0 n# V4 X2 \0 w1 x
[attach]273[/attach]' G! ^* |' s5 n, L' K( T
- J9 ~# Z# K1 g. R) `) I- n
      通俗一点来说,就是比如我想运行notepad.exe,结果运行的却是calc.exe,也就是说在这种情况下,记事本程序被计算机程序给劫持了,即你想运行的程序被另外一个程序代替(劫持)了。
0 n) |4 A) c( n4 H6 |) ?) V- l& p[attach]271[/attach]4 L6 D- V5 V7 V/ A  c* h( {. J

& x& T9 {- f) _. V# }      这就是映像劫持,其实并不是非常的深奥复杂。但是为了更好的体现他的价值,我们有必要继续说下去。
* M1 E! F( f- o% o5 U0 u6 B4 C2 e# V) _" M7 b" b6 H: }
二. 映像劫持病毒:
8 x3 S  x' K) w. v' o5 Q; _- o/ u6 x9 G1 H  ^
      众所周知,现在的病毒无非就是建立autorun.inf、增加启动项等等,所以大部分网络安全人员在进行病毒手工清除的时候都会打开msconfig进行启动项以及服务的查看,偏偏就在这里,有的病毒耍起了滑头,他第一次运行的时候没有一点的反应,仅仅是释放了一个或几个没有被激活的病毒文件,然后通过映像劫持,来劫持他想替换的程序,所以他完全就可以劫持msconfig.exe文件,在你运行msconfig的时候,反而激活了病毒。同理,劫持explorer.exe被激活的几率更高,这些也就变成了病毒运行的一种新的方式。一般的用户,只要发觉自己的机子中了病毒,首先要察看的就是系统的加载项,很少有人会想到映像劫持,这也是这种病毒高明的地方。
2 S9 @: Q! e( ]: ~6 G
1 x6 k: R2 c$ a# U/ q( b- y      映像劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution options 项来劫持正常的程序,比如有一个病毒panda.exe要劫持qq程序,它会在上面注册表的位置新建一个qq.exe项,在这个项下面新建一个字符串的键值“debugger”内容是:C:\WINDOWS\SYSTEM32\VIRES.EXE(这里是病毒藏身的目录)即可。当然如果你把该字符串值改为任意的其他值的话,系统就会提示找不到该文件。. W& e5 P. `" n: s% }3 }  a" p7 q
  w! N( f6 M' w9 p
      三. 映像劫持的应用:/ g& X( _; |  @( Z& d
( |: W8 }3 K0 W, ?+ B* K
     (1)禁止某些程序的运行
3 n; C9 ^/ H' z
+ K2 t( I/ K# \     上面说了,把debugger键值改成一个任意的值时,系统会提示找不到文件,我们就可以利用这个功能来禁止运行某些特定的程序了。$ D- c4 y+ C7 o7 J
) {/ w+ L5 J4 U7 J; v* m$ E
[attach]270[/attach]
0 ~+ o+ i6 Q6 y- t  
$ C% j' H; J( A# P     要禁止QQ的运行,Image File Execution options下 新建一个qq.exe的项,然后建立一个字符串的值,数值名称为debugger,数值数据下随便写一个不存在的值就OK了!
* z. `3 ^& F# G5 C1 p) A     同样,我们可以利用这种方法来阻止映像劫持病毒的激活。
  B5 u4 w7 u( o2 L& O/ @5 q( r  d- C5 c* [  e
     (2)偷梁换柱恶作剧 & [( I1 \7 D; U+ U- A
   
( b! [* l, Q6 I2 Z. o% k   呵呵,这个就靠你们自己的想象力了,每次我们按下CTRL+ALT+DEL键时,都会弹出任务管理器,而通过修改映象劫持,我们就可以实现修改后出现的是“系统配置实用程序”。任务管理器的映像名称为taskmgr.exe,我们可以在任务管理器中查看程序的映像名称。5 U. M% U9 p1 J$ e8 B. i/ R
  [attach]272[/attach]0 M! ?" Q% m/ Q0 ]4 E  k! O
2 m. Z9 V0 @5 Z  Y9 [6 `
     四、防止被非法程序映象劫持的方法" s7 f- }; f9 r! b

" b' a! |6 N3 ]1 s: U. O. N  O     设置注册表Image File Execution Options项的权限;选中该项,右键——>权限——>高级,将administrator 和 system 用户的权限调低即可(这里只要把写入操作给取消就行了)。/ `% M! T: b0 h" Z' M

( x" x$ C! w, G+ @) U/ e     匆匆的写到这里,希望会让大家对映像劫持有一个了解,当然,我们还要不断的学习才可以获得更多的知识,对于还有不清楚的地方可以尽管问我,希望大家可以更多的支持我,来我的论坛http://www.3ast.com.cn,大家一起学习、讨论,共同进步
作者: zx3112552    时间: 2008-8-22 10:47

顶呐······
作者: 流氓    时间: 2008-8-24 03:57

飘飘然的走过、。。。。。。
作者: 柔肠寸断    时间: 2008-8-31 19:38

汗~。。。。。。。。。。9 l5 @4 w( E7 H& B; H9 I6 @7 X
# m9 X0 D& ]7 ~
都是飘过................
作者: saitojie    时间: 2008-9-3 10:20

经典!~~~~确实不错,回头去试试!
作者: 在意z    时间: 2012-5-16 00:24

谢谢楼主分享技术。。。



欢迎光临 【3.A.S.T】网络安全爱好者 (http://www.3ast.com/) Powered by Discuz! 7.2