通常利用映像劫持的都是惡意程序、病毒等!它可以讓用戶在運行一個正常的軟件時而轉(zhuǎn)向運行一個別的程序或是病毒軟件,而這一切只要改注冊表就可以了!是不是非常可怕!
映像劫持是什么意思?
“映像劫持”,也被稱為“IFEO”(Image File Execution Options),在WindowsNT架構(gòu)的系統(tǒng)里,IFEO的本意是為一些在默認(rèn)系統(tǒng)環(huán)境中運行時可能引發(fā)錯誤的程序執(zhí)行體提供特殊的環(huán)境設(shè)定。當(dāng)一個可執(zhí)行程序位于IFEO的控制中時,它的內(nèi)存分配則根據(jù)該程序的參數(shù)來設(shè)定,而WindowsN T架構(gòu)的系統(tǒng)能通過這個注冊表項使用與可執(zhí)行程序文件名匹配的項目作為程序載入時的控制依據(jù),最終得以設(shè)定一個程序的堆管理機制和一些輔助機制等。出于簡化原因,IFEO使用忽略路徑的方式來匹配它所要控制的程序文件名,所以程序無論放在哪個路徑,只要名字沒有變化,它就運行出問題。allentownhummushouse.com
如何映像劫持?
1、開始-運行-regedit,展開到:
2、然后選上Image File Execution Options,新建個項,然后,把這個項(默認(rèn)在最后面)然后改成123.exe
3、選上123.exe這個項,然后默認(rèn)右邊是空白的,我們點右鍵,新建個“字串符”,然后改名為“Debugger“
4、這一步要做好,然后回車,就可以。。。再雙擊該鍵,修改數(shù)據(jù)數(shù)值(其實就是路徑)。。
5、把它改為 C:\windows\system32\CMD.exe
注:C:是系統(tǒng)盤,如果你系統(tǒng)安裝在D則改為D:如果是NT或2K的系統(tǒng)的話,把Windows改成Winnt,下面如有再提起,類推。
好了,實驗下。
6、然后找個擴(kuò)展名為EXE的,(我這里拿IcesWord.exe做實驗),改名為123.exe。
7、然后運行。出現(xiàn)了DOS操作框,不知情的看著一閃閃的光標(biāo),肯定覺得特詭異。
很簡單的說,我們利用映像劫持 讓運行123.exe時直接轉(zhuǎn)向運行CMD.exe。
所以通過以上方法可以達(dá)到以下目的:
1、運行正常程序而被轉(zhuǎn)向運行木馬病毒文件;
2、直接屏蔽一些軟件的使用,這些軟件包括殺毒軟件。
NT系統(tǒng)在試圖執(zhí)行一個從命令行調(diào)用的可執(zhí)行文件運行請求時,先會檢查運行程序是不是可執(zhí)行文件,如果是的話,再檢查格式的,然后就會檢查是否存在。如果不存在的話,它會提示系統(tǒng)找不到文件或者是“指定的路徑不正確等等。
如何防止映像劫持?
方法一:通過權(quán)限限制
一般來說我們不怎么會使用到ImageFileExecutionOptions項,所以刪除也可以杜絕映像劫持