系統(tǒng)軟件園 - 專注分享最好的電腦系統(tǒng)軟件!免費安全下載 系統(tǒng)軟件園首頁 | Win7激活工具 | 熱門專題
系統(tǒng)軟件園>您的位置:首頁 > > 系統(tǒng)教程 > Win7系統(tǒng)教程 >

揭秘:映像劫持是什么意思?如何映像劫持?如何防止映像劫持?

更新時間:2017-08-04 20:33:48| 編輯:本站整理 | 信息來源:本站整理|瀏覽數(shù):
可能很多朋友都不了解映像劫持是什么意思,只是在殺毒軟件中出現(xiàn)該字眼,下面小編就和大家詳細(xì)講講映像劫持的原理,如何映像劫持和如何防止映像劫持。



通常利用映像劫持的都是惡意程序、病毒等!它可以讓用戶在運行一個正常的軟件時而轉(zhuǎn)向運行一個別的程序或是病毒軟件,而這一切只要改注冊表就可以了!是不是非常可怕!

映像劫持是什么意思?

“映像劫持”,也被稱為“IFEO”(Image File Execution Options),在WindowsNT架構(gòu)的系統(tǒng)里,IFEO的本意是為一些在默認(rèn)系統(tǒng)環(huán)境中運行時可能引發(fā)錯誤的程序執(zhí)行體提供特殊的環(huán)境設(shè)定。當(dāng)一個可執(zhí)行程序位于IFEO的控制中時,它的內(nèi)存分配則根據(jù)該程序的參數(shù)來設(shè)定,而WindowsN T架構(gòu)的系統(tǒng)能通過這個注冊表項使用與可執(zhí)行程序文件名匹配的項目作為程序載入時的控制依據(jù),最終得以設(shè)定一個程序的堆管理機制和一些輔助機制等。出于簡化原因,IFEO使用忽略路徑的方式來匹配它所要控制的程序文件名,所以程序無論放在哪個路徑,只要名字沒有變化,它就運行出問題。allentownhummushouse.com
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File ExecutionOptions”內(nèi),使用與可執(zhí)行程序文件名匹配的項目作為程序載入時的控制依據(jù),最終得以設(shè)定一個程序的堆管理機制和一些輔助機制等,大概微軟考慮到加入路徑控制會造成判斷麻煩與操作不靈活的后果,也容易導(dǎo)致注冊表冗余,于是IFEO使用忽略路徑的方式來匹配它所要控制的程序文件名。

如何映像劫持?

1、開始-運行-regedit,展開到: 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ 

2、然后選上Image File Execution Options,新建個項,然后,把這個項(默認(rèn)在最后面)然后改成123.exe

3、選上123.exe這個項,然后默認(rèn)右邊是空白的,我們點右鍵,新建個“字串符”,然后改名為“Debugger“

4、這一步要做好,然后回車,就可以。。。再雙擊該鍵,修改數(shù)據(jù)數(shù)值(其實就是路徑)。。

5、把它改為 C:\windows\system32\CMD.exe

注:C:是系統(tǒng)盤,如果你系統(tǒng)安裝在D則改為D:如果是NT或2K的系統(tǒng)的話,把Windows改成Winnt,下面如有再提起,類推。

好了,實驗下。

6、然后找個擴(kuò)展名為EXE的,(我這里拿IcesWord.exe做實驗),改名為123.exe。

7、然后運行。出現(xiàn)了DOS操作框,不知情的看著一閃閃的光標(biāo),肯定覺得特詭異。

很簡單的說,我們利用映像劫持 讓運行123.exe時直接轉(zhuǎn)向運行CMD.exe。

所以通過以上方法可以達(dá)到以下目的:

1、運行正常程序而被轉(zhuǎn)向運行木馬病毒文件;

2、直接屏蔽一些軟件的使用,這些軟件包括殺毒軟件。

NT系統(tǒng)在試圖執(zhí)行一個從命令行調(diào)用的可執(zhí)行文件運行請求時,先會檢查運行程序是不是可執(zhí)行文件,如果是的話,再檢查格式的,然后就會檢查是否存在。如果不存在的話,它會提示系統(tǒng)找不到文件或者是“指定的路徑不正確等等。

如何防止映像劫持?

方法一:通過權(quán)限限制

 
它要修改Image File Execution Options,所先要有權(quán)限,才可讀,于是,一條思路就成了。 
 
打開注冊表編輯器,定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\,選中該項,右鍵→權(quán)限→高級,取消administrator和system用戶的寫權(quán)限即可。
 
方法二、直接刪除
 
打開注冊表編輯器,定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\,把“ImageFileExecutionOptions”項刪除即可。

一般來說我們不怎么會使用到ImageFileExecutionOptions項,所以刪除也可以杜絕映像劫持


 



返回頂部


系統(tǒng)軟件園發(fā)布的系統(tǒng)鏡像及軟件均來至互聯(lián)網(wǎng),僅供學(xué)習(xí)和研究使用,不得用于任何商業(yè)用途并請在下載后24小時內(nèi)刪除,如果滿意請聯(lián)系版權(quán)方購買。
如果您發(fā)現(xiàn)本站侵害了您的版權(quán),請立即聯(lián)系我們,本站將第一時間進(jìn)行相關(guān)處理。聯(lián)系方式(見首頁)
版權(quán)聲明|下載聲明 Copyright @ 2016 系統(tǒng)軟件園