作者在 2008-01-24 22:38:34 发布以下内容
什么是印象劫持?
所谓的IFEO就是"Image File Execution Options"
都是注册表中的这个项惹得祸(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options).
由于这个项主要是用来调试程序用的,对一般用户意义不大(默认是只有管理员和local system有权读写修改)。
原理说简单点就是因为NT在收到文件执行请求时,会先检查文件是否是可执行的(关键就在这里,会检查对应文件的相关映射!这时在ifeo中的内容将被调用)然后再检查文件类型!
一个印象劫持的小实验:
开始-运行-regedit,展开到: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 然后在这个下面新建一个项,把项的名字改成xxx.exe 然后点xxx.exe,在右侧新建一个字符串,名称为Dubugger 在字符串里指点另一个exe文件的路径,如("%system%/system32/cmd.exe"); 最后,只要文件名是xxx的所有exe文件,都会去执行你在debugger中指定的文件!
如果我们添加上如下的IFEO项目,几乎所有稍为有些名气的杀毒软件和杀辅助软件都挂了,呵呵。
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStub.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwcfg.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsAgent.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rsaupd.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe
如何防治呢?
方法一:限制法
要修改Image File Execution Options,所先要有权限,才可读,于是。。一条思路就成了。。
开始-运行-regedt32 (这个是系统的32位注册表,和注册表操作方法差不多)
然后还是展开到: )
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
右键——选择权限
把权限改为拒绝即可.
方法二:
把[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
下面除了Your Image File Name Here without a path以外的所有项删除即可。
方法三:
使用IFEO映像挟持修复程序修复!(该方法是用于中毒修复,不能作防范)
?
所谓的IFEO就是"Image File Execution Options"
都是注册表中的这个项惹得祸(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options).
由于这个项主要是用来调试程序用的,对一般用户意义不大(默认是只有管理员和local system有权读写修改)。
原理说简单点就是因为NT在收到文件执行请求时,会先检查文件是否是可执行的(关键就在这里,会检查对应文件的相关映射!这时在ifeo中的内容将被调用)然后再检查文件类型!
一个印象劫持的小实验:
开始-运行-regedit,展开到: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 然后在这个下面新建一个项,把项的名字改成xxx.exe 然后点xxx.exe,在右侧新建一个字符串,名称为Dubugger 在字符串里指点另一个exe文件的路径,如("%system%/system32/cmd.exe"); 最后,只要文件名是xxx的所有exe文件,都会去执行你在debugger中指定的文件!
如果我们添加上如下的IFEO项目,几乎所有稍为有些名气的杀毒软件和杀辅助软件都挂了,呵呵。
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStub.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwcfg.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsAgent.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rsaupd.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe
如何防治呢?
方法一:限制法
要修改Image File Execution Options,所先要有权限,才可读,于是。。一条思路就成了。。
开始-运行-regedt32 (这个是系统的32位注册表,和注册表操作方法差不多)
然后还是展开到: )
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
右键——选择权限
把权限改为拒绝即可.
方法二:
把[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
下面除了Your Image File Name Here without a path以外的所有项删除即可。
方法三:
使用IFEO映像挟持修复程序修复!(该方法是用于中毒修复,不能作防范)
?
