一,什么是映像劫持(IFEO)? 所谓的IFEO就是Image File Execution Options 在是位于注册表的 由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改 映像胁持的基本原理 NT系统在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是的话,再检查格式的,然后就会检查是否存在。。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确等等。。 当然,把这些键删除后,程序就可以运行!
(1)禁止某些程序的运行 注册表 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qq.exe] "Debugger"="123.exe" 以上代码的作用是禁止QQ运行,每次双击运行QQ的时候,系统都会弹出一个框提示说找不到QQ,原因就是QQ被重定向了。如果要让QQ继续运行的话,把123.exe改为其安装目录或清空就可以了。 同理,病毒等也可以利用这样的方法,把杀软、安全工具等名字再进行重定向,指向病毒路径 SO..如果你把病毒清理掉后,重定向项没有清理的话,由于IFEO的作用,没被损坏的程序一样运行不了! 反病毒利用: 如果我们把病毒程序给重定向了,病毒将也无法正常的运行了。
"Debugger"="123.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\logo_1.exe] "Debugger"="123.exe"
(1) 如果用户无权访问该注册表项了,那它也就无法修改这些东西了。打开注册表编辑器,进入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows NT\CurrentVersion\Image File Execution Options,选中该项,右键——>权限——>高级,将administrator 和 system 用户 的权限调低即可。 (2)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options项,直接删掉“Image File Execution Options“项即可解决问题。 |