当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
|||
反病毒技术(第五课):了解映像劫持技术以及防御方法 | |||
2009-10-7 20:45:41 文/小可 出处:网络转载 | |||
一,什么是映像劫持(IFEO)? 所谓的IFEO就是Image File Execution Options 在是位于注册表的 由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改 映像胁持的基本原理 NT系统在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是的话,再检查格式的,然后就会检查是否存在。。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确等等。。 当然,把这些键删除后,程序就可以运行!
(1)禁止某些程序的运行 注册表 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qq.exe] "Debugger"="123.exe" 以上代码的作用是禁止QQ运行,每次双击运行QQ的时候,系统都会弹出一个框提示说找不到QQ,原因就是QQ被重定向了。如果要让QQ继续运行的话,把123.exe改为其安装目录或清空就可以了。 同理,病毒等也可以利用这样的方法,把杀软、安全工具等名字再进行重定向,指向病毒路径 SO..如果你把病毒清理掉后,重定向项没有清理的话,由于IFEO的作用,没被损坏的程序一样运行不了! 反病毒利用: 如果我们把病毒程序给重定向了,病毒将也无法正常的运行了。
"Debugger"="123.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\logo_1.exe] "Debugger"="123.exe"
(1) 如果用户无权访问该注册表项了,那它也就无法修改这些东西了。打开注册表编辑器,进入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows NT\CurrentVersion\Image File Execution Options,选中该项,右键——>权限——>高级,将administrator 和 system 用户 的权限调低即可。 (2)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options项,直接删掉“Image File Execution Options“项即可解决问题。 |
|||
最新热点 | 最新推荐 | 相关文章 | ||
反病毒技术(第七课):清除AV终结者病… 反病毒技术(第六课):学会手工清除熊… 反病毒技术(第三四课):HOSTS文件的原… 反病毒技术(第二课):了解当今网络流… 反病毒技术(第一课):初步认识计算机… |
关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |