电脑里的杀毒软件检测到“映像劫持”,要求清楚该项,请问映像劫持是什么?有着怎样的威胁?
所谓的映像劫持(IFEO)就是Image File Execution Options,位于注册表的[HKEY_LOCAL MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改。 通俗一点来说,就是比如我想运行QQ.exe(记事本),结果运行的却是运行了notepad.exe(记事本),也就是说在这种情况下,QQ程序被notepad给劫持了,即你想运行的程序被另外一个程序代替了。 映像劫持病毒 虽然映像劫持是系统自带的功能,对我们一般用户来说根本没什么用的必要,但是就有一些病毒通过映像劫持来做文章,表面上看起来是运行了一个程序,实际上病毒已经在后台运行了。 但是与一般的木马,病毒不同的是,就有一些病毒偏偏不通过这些来加载自己,不随着系统的启动运行,而是等到你运行某个特定的程序的时候运行,这也抓住了一些用户的心理,一般的用户,只要发觉自己的机子中了病毒,首先要察看的就是系统的加载项,很少有人会想到映像劫持,这也是这种病毒高明的地方。 映像劫持病毒主要通过修改注册表中的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution options] 项来劫持正常的程序,比如有一个病毒 vires.exe 要劫持 qq 程序,它会在上面注册表的位置新建一个qq.exe项,再这个项下面新建一个字符串的键值 debugger 内容是:C:\WINDOWS\SYSTEM32\ABC.EXE(这里是病毒藏身的路径)即可。当然如果你把该字符串值改为任意的其他值的话,系统就会提示找不到该文件。 映像胁持的基本原理 WINDOWS NT系统在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是的话,再检查格式的,然后就会检查是否存在。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确”等等。把这些键删除后,程序就可以运行! 映像劫持的应用 ★禁止某些程序的运行 先看一段代码: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qq.exe] "Debugger"="notepad.exe" 使用记事本,把上面这段代码复制到记事本中,并另存为 ABC.reg,双击导入注册表,打开你的QQ看一下效果! 这段代码的作用是双击运行QQ的时候,系统都打开记事本,原因就是QQ被重定向了。如果要让QQ继续运行的话,把notepad.exe改为QQ.exe的绝对路径就可以了。 ★偷梁换柱恶作剧 每次我们按下CTRL+ALT+DEL键时,都会弹出任务管理器,想不想在我们按下这些键的时候让它弹出命令提示符窗口,下面就教你怎么玩: Windows Registry Editor Version 5.00 [HKEY_LOCAL MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe] "Debugger"="C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe" 将上面的代码在记事本中另存为 task_cmd.reg,双击导入注册表。按下那三个键看是什么效果,不用我说了吧,是不是很惊讶啊!精彩的还在后头呢!
镜像劫持是什么病毒,怎么杀? 360老提示我 ,也杀不掉
镜像劫持的意义 在针对杀毒软件方面,OSO病毒还采用了一种新技术,这种技术被成为镜像劫持,通过这种技术也能够将杀毒软件置于死地。
所谓的镜像劫持,就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项,例如Rav.exe。然后再创建一个子键“Debugger="C:\WINDOWS\system32\drivers\ceffen.com”。以后只要用户双击 Rav.exe就会运行OSO的病毒文件ceffen.com,类似文件关联的效果。对这个病毒的清除注意几点:(代表个人意见)
1、重启进入安全模式下后所有硬盘操作都要右键打开,切记不要双击打开各个分区!
2、进入后要去掉隐藏的系统属性。(这一步要先编辑注册表否则实现不了,病毒已经更改注册表使隐藏的文件选项失效)
3、找到隐藏的文件后删除即可!
4、手动删除添加的非法 IFEO 劫持项目,重启后即可. 镜像劫持的简单解决方法 如果电脑上有杀毒软件或360什么的但是中了镜像劫持是安全软件无法运行的话,
其实只需要更改一下安全软件的名字就能不被镜像劫持利用,个人认为这是最适合初学者的最简单办法。
首先找到安全软件的位置大部分都放在program files文件夹下。 找到名字例如拿360做例子原文件路径X:\Program Files\360safe原名为360Safe.exe 你把名字改为36015safe.exe(名字什么都行不过就不能是安全软件的名字)然后双击此安全软件就会过镜像劫持开始运行,后面的查杀就不需要说什么了吧。这小操作可以解决燃眉之急啦。
映像劫持怎么修复?
单击“开始”、“运行”,输入“regedit”,单击“确定”。 依次展开: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 找到不能正常运行的程序的完整程序名,把与它相同名称的子项删除。 不明白就给我发消息。 参考这个吧,貌似那个已经不属于映像劫持了,属于exe关联破坏了: 手工恢复EXE文件关联方法介绍 有次朋友电脑中了病毒,笔者去看了一下,是个QQ病毒,由于挺长时间没有上网搜集病毒方面消息了,笔者对这些病毒的特性也不甚了解。笔者先打开“进程管理器”,将几个不太熟悉的程序关闭掉,但刚关掉一个,再去关闭另外一个时,刚才关闭的那个马上又运行了。没办法,笔者决定从注册表里先把启动项删除后,再重启试试,结果,笔者刚把那些启动项删除,然后刷新一下注册表,那些启动项又还原了,看来一般的方法是行不通了,上网下载专杀工具后,仍然不能杀掉。笔者知道这是因为病毒正在运行,所以无法删除。 由于这台电脑只有一个操作系统,也没办法在另一个系统下删除这些病毒,这时怎么办呢?如果大家也遇到这种情况时,笔者向大家推荐一种方法。 第一步:在“开始→运行”中输入CMD,打开“命令提示符”窗口。 第二步:输入ftype exefile=notepad.exe %1,这句话的意思是将所有的EXE文件用“记事本”打开。这样原来的病毒就无法启动了。 第三步:重启电脑,你会看见打开了许多“记事本”。当然,这其中不仅有病毒文件,还有一些原来的系统文件,比如:输入法程序。 第四步:右击任何文件,选择“打开方式”,然后点击“浏览”,转到Windows\System32下,选择cmd.exe,这样就可以再次打开“命令提示符”窗口。 第五步:运行ftype exefile="%1" %*,将所有的EXE文件关联还原。现在运行杀毒软件或直接改回注册表,就可以杀掉病毒了。 第六步:在每一个“记事本”中,点击菜单中的“文件→另存为”,就可看到了路径以及文件名了。找到病毒文件,手动删除即可,但得小心,必须确定那是病毒才能删除。建议将这些文件改名并记下,重启后,如果没有病毒作怪,也没有系统问题,再进行删除, ◆最后介绍一下Ftype的用法 在Windows中,Ftype命令用来显示及修改不同扩展名文件所关联的打开程序。相当于在注册表编辑器中修改“HKEY_CLASSES_ROOT”项下的部分内容一样。 Ftype的基本使用格式为:Ftype [文件类型]=[打开方式/程序] 比如:像上例中的ftype exefile=notepad.exe %1,表示将所有文件类型为EXE(exefile表示为EXE类型文件)的文件都通过“记事本”程序打开,后面的%1表示要打开的程序本身(就是双击时的那个程序)。 ftype exefile="%1" %*则表示所有EXE文件本身直接运行(EXE 可以直接运行,所以用表示程序本身的%1即可),后面的%*则表示程序命令后带的所有参数(这就是为什么EXE文件可以带参数运行的原因)。
映像劫持是什么?
镜像劫持的意义 在针对杀毒软件方面,OSO病毒还采用了一种新技术,这种技术被成为镜像劫持,通过这种技术也能够将杀毒软件置于死地。
所谓的镜像劫持,就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项,例如Rav.exe。然后再创建一个子键“Debugger="C:\WINDOWS\system32\drivers\ceffen.com”。以后只要用户双击 Rav.exe就会运行OSO的病毒文件ceffen.com,类似文件关联的效果。镜像劫持的简单解决方法 如果电脑上有杀毒软件或360什么的但是中了镜像劫持是安全软件无法运行的话,
其实只需要更改一下安全软件的名字就能不被镜像劫持利用,个人认为这是最适合初学者的最简单办法。
首先找到安全软件的位置大部分都放在program files文件夹下。 找到名字例如拿360做例子原文件路径X:\Program Files\360safe原名为360Safe.exe 你把名字改为36015safe.exe(名字什么都行不过就不能是安全软件的名字)然后双击此安全软件就会过镜像劫持开始运行,后面的查杀就不需要说什么了吧。这小操作可以解决燃眉之急啦。
什么叫映像劫持?如何杀此木马?如何在注册表查杀病毒和木马?
映像劫持:
1、在Windows系统的注册表中,会找到一个项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,这个项其实也是系统启动过程中起着重要作用的启动项;
2、系统默认情况下对该项的权限设置并不严格,只要是管理员组用户,就拥有完全控制的权限。
3、而正是这一特点,也让病毒木马看到了进行镜像劫持的机会。它们通过改写该注册表项,在其下添加与各杀毒软件或安全软件进程名称相关的子项,然后在相关的子项右面窗口中会发现一个Debugger键值,并且其键值数据指向了病毒文件的路径,这其实就是看到的镜像劫持,若所安装的杀毒软件进程名称恰恰与被病毒木马创建过相关子键名称相同,那么杀毒软件就无法运行了,但是进程名称若没在木马病毒的名单中,那么这个杀毒软件就可以继续使用并发挥应有的作用。
查杀:万一遭遇这种病毒,可以先试试腾讯电脑管家,如果可以运行,在“杀毒”选项中点击全盘查杀,这时电脑管家将对包括注册表镜像劫持位置在内的所有系统关键位置,以及硬盘中所有文件进行检测,它毕竟拥有4+1核心杀毒引擎,且使用了CPU虚拟执行技术,能够发现病毒木马并对木马病毒予以根除。
映像劫持的基本原理
QUOTENT系统在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是的话,再检查格式的,然后就会检查是否存在。。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确等等。当然,把这些键删除后,程序就可以运行!从实际现象来说把IFEO直接称为“映像劫持”未免有点冤枉它了,因为里面大部分参数并不会导致今天这种局面的发生,惹祸的参数只有一个,那就是“Debugger”,将IFEO视为映像劫持,大概是因为国内一些人直接套用了“Image File Execution Options”的缩写吧,在相对规范的来自Sysinternals的专业术语里,利用这个技术的设计漏洞进行非法活动的行为应该被称为“Image Hijack”,这才是真正字面上的“映像劫持”!Debugger参数直接翻译为“调试器”,它是IFEO里第一个被处理的参数,其作用是属于比较匪夷所思的,系统如果发现某个程序文件在IFEO列表中,它就会首先来读取Debugger参数,如果该参数不为空,系统则会把Debugger参数里指定的程序文件名作为用户试图启动的程序执行请求来处理,而仅仅把用户试图启动的程序作为Debugger参数里指定的程序文件名的参数发送过去!光是这个概念大概就足够一部分人无法理解了,所以我们放简单点说,例如有两个客人在一起吃自助餐,其中一个客人(用户)委托另一个客人(系统)去拿食物时顺便帮自己带点食物回来(启动程序的请求),可是系统在帮用户装了一盘子食物并打算回来时却发现另一桌上有个客人(Debugger参数指定的程序文件)居然是自己小学里的暗恋对象!于是系统直接端着原本要拿给用户的食物放到那桌客人那里共同回忆往事去了(将启动程序请求的执行文件映像名和最初参数组合转换成新的命令行参数……),最终吃到食物的自然就是Debugger客人(获得命令行参数),至此系统就忙着执行Debugger客人的启动程序请求而把发出最初始启动程序请求的用户和那盘食物(都送给Debugger客人做命令行参数了)给遗忘了。在系统执行的逻辑里这就意味着,当一个设置了IFEO项Debugger参数指定为“notepad.exe”的“iexplore.exe”被用户以命令行参数“-nohome bbset”请求执行时,系统实际上到了IFEO那里就跑去执行notepad.exe了,而原来收到的执行请求的文件名和参数则被转化为整个命令行参数“C:\Program Files\Internet Explorer\IEXPLORE.EXE - nohome ”来提交给notepad.exe执行,所以最终执行的是“notepad.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE - nohome bbs.即用户原来要执行的程序文件名iexplore.exe被替换为notepad.exe,而原来的整串命令行加上iexplore.exe自身,都被作为新的命令行参数发送到notepad.exe去执行了,所以用户最终看到的是记事本的界面,并可能出现两种情况,一是记事本把整个iexplore.exe都作为文本读了出来,二是记事本弹出错误信息报告“文件名不正确”,这取决于iexplore.exe原来是作为光杆司令状态请求执行(无附带运行命令行参数)的还是带命令行参数执行的。Debugger参数存在的本意是为了让程序员能够通过双击程序文件直接进入调试器里调试自己的程序,曾经调试过程序的朋友也许会有一个疑问,既然程序启动时都要经过IFEO这一步,那么在调试器里点击启动刚被Debugger参数送进来的程序时岂不是又会因为这个法则的存在而导致再次产生一个调试器进程?微软并不是傻子,他们理所当然的考虑到了这一点,因此一个程序启动时是否会调用到IFEO规则取决于它是否“从命令行调用”的,那么“从命令行调用”该怎么理解呢?例如我们在命令提示符里执行taskmgr.exe,这就是一个典型的“从命令行调用”的执行请求,而我们在点击桌面上、普通应用程序菜单里的taskmgr.exe时,系统都会将其视为由外壳程序Explorer.exe传递过来的执行请求,这样一来,它也属于“从命令行调用”的范围而触发IFEO规则了。为了与用户操作区分开来,系统自身加载的程序、调试器里启动的程序,它们就不属于“从命令行调用”的范围,从而绕开了IFEO,避免了这个加载过程无休止的循环下去。由于Debugger参数的这种特殊作用,它又被称为“重定向”(Redirection),而利用它进行的攻击,又被称为“重定向劫持”(Redirection Hijack),它和“映像劫持”(Image Hijack,或IFEO Hijack)只是称呼不同,实际上都是一样的技术手段。实质问题讲解完Debugger参数的作用,我们来看看“映像劫持”到底是怎么一回事,遭遇流行“映像劫持”病毒的系统表现为常见的杀毒软件、防火墙、安全检测工具等均提示“找不到文件”或执行了没有反应,于是大部分用户只能去重装系统了,但是有经验或者歪打正着的用户将这个程序改了个名字,就发现它又能正常运行了,这是为什么?答案就是IFEO被人为设置了针对这些流行工具的可执行文件名的列表了,而且Debugger参数指向不存在的文件甚至病毒本身!举例以超级巡警的主要执行文件AST.exe为例,首先,有个文件名为kkk.exe的恶意程序向IFEO列表里写入AST.exe项,并设置其Debugger指向kkk.exe,于是系统就会认为kkk.exe是AST.exe的调试器,这样每次用户点击执行AST.exe时,系统执行的实际上是作为调试器身份的kkk.exe,至于本该被执行的AST.exe,此刻只能被当作kkk.exe的执行参数来传递而已,而由于kkk.exe不是调试器性质的程序,甚至恶意程序作者都没有编写执行参数的处理代码,所以被启动的永远只有kkk.exe自己一个,用户每次点击那些“打不开”的安全工具,实际上就等于又执行了一次恶意程序本体!这个招数被广大使用“映像劫持”技术的恶意软件所青睐,随着OSO这款超级U盘病毒与AV终结者(随机数病毒、8位字母病毒)这两个灭杀了大部分流行安全工具和杀毒软件的恶意程序肆虐网络以后,一时之间全国上下人心惶惶,其实它们最大改进的技术核心就是利用IFEO把自己设置为各种流行安全工具的调试器罢了,破解之道尤其简单,只需要将安全工具的执行文件随便改个名字,而这个安全工具又不在乎互斥量的存在,那么它就能正常运行了,除非你运气太好又改到另一个也处于黑名单内的文件名去了,例如把AST.exe改为IceSword.exe。
映像劫持的解决措施
权限杜绝网上流传着一个让初级用户看不懂的做法,那就是关闭IFEO列表的写入权限,具体操作如下:执行32位注册表编辑器regedt32.exe定位到HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options;确保焦点在Image File Execution Options上,选择“安全”—“权限”;将出现的用户列表内所有带有“写入”的权限去掉,确定退出。这样一来,任何对IFEO的写入操作都失效了,也就起了免疫效果。这个方法对一般而言还是不错的,除非遭遇到一些特殊的需要往里面写入堆管理参数的程序。建议一般用户还是禁止此项,从而杜绝一切IFEO类病毒来袭。快刀斩乱麻法打开注册表编辑器,定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\,把“ImageFileExecutionOptions”项删除即可。利用Microsoft Sysinternals Suite更简单的方法,是使用Sysinternals Suite(一个微软的工具集合)中的Autoruns,点击它的“Image Hijacks”选项卡,即可看到被劫持的程序项了。
映像劫持是什么
映像劫持是什么1、就是Image File Execution Options(其实应该称为“Image Hijack”。)是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改。2、在WindowsNT架构的系统里,IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定,而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据,最终得以设定一个程序的堆管理机制和一些辅助机制等。出于简化原因,IFEO使用忽略路径的方式来匹配它所要控制的程序文件名,所以程序无论放在哪个路径,只要名字没有变化,它就运行出问题。
映像劫持 探究现象背后的原理和危害?
映像劫持的原理其实很简单。我们知道,网页或应用程序中的图片或视频是由服务器发送给客户端的,而客户端则通过浏览器或应用程序来进行显示。攻击者可以通过篡改服务器发送的图片或视频,来达到欺骗用户的目的。
映像劫持的原理其实很简单。我们知道,网页或应用程序中的图片或视频是由服务器发送给客户端的,而客户端则通过浏览器或应用程序来进行显示。攻击者可以通过篡改服务器发送的图片或视频,来达到欺骗用户的目的。
映像劫持的危害是非常严重的。首先,它会给用户带来经济损失。例如,攻击者可能会将虚假的广告图片篡改成真实的广告图片,然后骗取用户的点击,从而获取点击费用。其次,映像劫持也可能导致用户的个人隐私泄露。例如,攻击者可能会将用户上传的照片篡改成恶意图片,从而通过用户的手机或电脑获取用户的个人信息。最后,映像劫持还可能导致用户受到政治或恐怖主义宣传的影响,从而对社会产生不良影响。
为了保护自己的网络安全,用户需要采取一些措施来防范映像劫持。首先,用户应该安装杀毒软件和防火墙等安全软件,以防止恶意软件的攻击。其次,用户应该保持警惕,不要轻易相信网上的信息,特别是图片和视频等。最后,用户还应该定期更新自己的浏览器和应用程序,以保证软件的安全性。
