電腦中病毒映像劫持
電腦中病毒映像劫持
所謂的電腦病毒映像劫持IFEO就是Image File Execution Options,下面由學習啦小編給你做出詳細的電腦病毒映像劫持介紹!希望對你有幫助!
電腦病毒映像劫持:
(其實應該稱為“Image Hijack”。)
它是位于注冊表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
IFEO的本意是為一些在默認系統(tǒng)環(huán)境中運行時可能引發(fā)錯誤的程序執(zhí)行體提供特殊的環(huán)境設定。由于這個項主要是用來調(diào)試程序用的,對一般用戶意義不大。默認是只有管理員和local system有權(quán)讀寫修改。
當一個可執(zhí)行程序位于IFEO的控制中時,它的內(nèi)存分配則根據(jù)該程序的參數(shù)來設定,而WindowsN T架構(gòu)的系統(tǒng)能通過這個注冊表項使用與可執(zhí)行程序文件名匹配的項目作為程序載入時的控制依據(jù),最終得以設定一個程序的堆管理機制和一些輔助機制等。出于簡化原因,IFEO使用忽略路徑的方式來匹配它所要控制的程序文件名,所以程序無論放在哪個路徑,只要名字沒有變化,它就運行出問題。
先看看常規(guī)病毒等怎么修改注冊表來達到隨機啟動吧。
病毒、蠕蟲和,木馬等仍然使用眾所皆知并且過度使用的注冊表鍵值,如下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
等等。
2.另外一種劫持的方法是:在目標程序目錄下建立與系統(tǒng)DLL相同的導出函數(shù),執(zhí)行內(nèi)容為
f=LoadLibrary(byref "c:\windows\system32\"+dllname)
f=GetProcAddress(byval f,byref procname)
!jmp f
'(PowerBasic)
,在DLL初始化的時候可以干一些壞事,以此來達到改變原應用程序的目的1. 生成很多8位數(shù)字或字母隨機命名的病毒程序文件,并在電腦開機時自動運行。
·2. 綁架安全軟件,中毒后會發(fā)現(xiàn)幾乎所有殺毒軟件,系統(tǒng)管理工具,反間諜軟件不能正常啟動。即使手動刪除了病毒程序,下次啟動這些軟件時,還會報錯。
·3. 不能正常顯示隱藏文件,其目的是更好的隱藏自身不被發(fā)現(xiàn)。
·4. 禁用windows自動更新和Windows防火墻,這樣木馬下載器工作時,就不會有任何提示窗口彈出來。為該病毒的下一步破壞打開方便之門。
·5. 破壞系統(tǒng)安全模式,使得用戶不能啟動系統(tǒng)到安全模式來維護和修復。
·6. 當前活動窗口中有殺毒、安全、社區(qū)相關的關鍵字時,病毒會關閉這些窗口。假如你想通過瀏覽器搜索有關病毒的關鍵字,瀏覽器窗口會自動關閉。
·7. 在本地硬盤、U盤或移動硬盤生成autorun.inf和相應的病毒程序文件,通過自動播放功能進行傳播。這里要注意的是,很多用戶格式化系統(tǒng)分區(qū)后重裝,訪問其它磁盤,立即再次中毒,用戶會感覺這病毒格式化也不管用。
·8. 病毒程序的最終目的是下載更多木馬、后門程序。用戶最后受損失的情況取決于這些木馬和后門程序。
看過“電腦中病毒映像劫持 ”人還看了: