通常利用映像劫持的都是惡意程序、病毒等!它可以讓用戶在運行一個正常的軟件時而轉向運行一個別的程序或是病毒軟件,而這一切只要改注冊表就可以了!是不是非常可怕!
映像劫持是什么意思?
“映像劫持”,也被稱為“IFEO”(Image File Execution Options),在WindowsNT架構的系統里,IFEO的本意是為一些在默認系統環境中運行時可能引發錯誤的程序執行體提供特殊的環境設定。當一個可執行程序位于IFEO的控制中時,它的內存分配則根據該程序的參數來設定,而WindowsN T架構的系統能通過這個注冊表項使用與可執行程序文件名匹配的項目作為程序載入時的控制依據,最終得以設定一個程序的堆管理機制和一些輔助機制等。出于簡化原因,IFEO使用忽略路徑的方式來匹配它所要控制的程序文件名,所以程序無論放在哪個路徑,只要名字沒有變化,它就運行出問題。www.b2891.cn
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File ExecutionOptions”內,使用與可執行程序文件名匹配的項目作為程序載入時的控制依據,最終得以設定一個程序的堆管理機制和一些輔助機制等,大概微軟考慮到加入路徑控制會造成判斷麻煩與操作不靈活的后果,也容易導致注冊表冗余,于是IFEO使用忽略路徑的方式來匹配它所要控制的程序文件名。
如何映像劫持?
如何映像劫持?
1、開始-運行-regedit,展開到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
2、然后選上Image File Execution Options,新建個項,然后,把這個項(默認在最后面)然后改成123.exe
3、選上123.exe這個項,然后默認右邊是空白的,我們點右鍵,新建個“字串符”,然后改名為“Debugger“
4、這一步要做好,然后回車,就可以。。。再雙擊該鍵,修改數據數值(其實就是路徑)。。
5、把它改為 C:\windows\system32\CMD.exe
注:C:是系統盤,如果你系統安裝在D則改為D:如果是NT或2K的系統的話,把Windows改成Winnt,下面如有再提起,類推。
好了,實驗下。
6、然后找個擴展名為EXE的,(我這里拿IcesWord.exe做實驗),改名為123.exe。
7、然后運行。出現了DOS操作框,不知情的看著一閃閃的光標,肯定覺得特詭異。
很簡單的說,我們利用映像劫持 讓運行123.exe時直接轉向運行CMD.exe。
所以通過以上方法可以達到以下目的:
1、運行正常程序而被轉向運行木馬病毒文件;
2、直接屏蔽一些軟件的使用,這些軟件包括殺毒軟件。
NT系統在試圖執行一個從命令行調用的可執行文件運行請求時,先會檢查運行程序是不是可執行文件,如果是的話,再檢查格式的,然后就會檢查是否存在。如果不存在的話,它會提示系統找不到文件或者是“指定的路徑不正確等等。
如何防止映像劫持?
方法一:通過權限限制
它要修改Image File Execution Options,所先要有權限,才可讀,于是,一條思路就成了。
打開注冊表編輯器,定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\,選中該項,右鍵→權限→高級,取消administrator和system用戶的寫權限即可。
方法二、直接刪除
打開注冊表編輯器,定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\,把“ImageFileExecutionOptions”項刪除即可。
一般來說我們不怎么會使用到ImageFileExecutionOptions項,所以刪除也可以杜絕映像劫持
一般來說我們不怎么會使用到ImageFileExecutionOptions項,所以刪除也可以杜絕映像劫持