访问地址 http://www.qqread.com/safe-tech/b318519.html
由于最近病毒都采用了IFEO映像劫持技术,导致杀软无法运行或提示无法打开文件,最近此类病毒非常流行,病毒清除操作起来相对复杂一些,所以今天特意发帖强调大家注意。
关于IFEO的介绍网络上有非常多,本文借用的是剑盟skyshine的帖子内容,感谢原作者!重要的是第五步的预防方法,简单有效,可达到防患于未然,避免中毒的苦恼。
基本症状:可能有朋友遇到过这样的情况,一个正常的程序,无论把他放在哪个位置或者是重新用安装盘修复过的程序,都无法运行或者是比如运行A却成了执行B的程序了,而改名后却可以正常运行。
既然我们是介绍IFEO技术相关,那我们就先介绍下:
一、什么是映像胁持(IFEO)?
所谓的IFEO就是Image File Execution Options是位于注册表的
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options
由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改,先看看常规病毒等怎么修改注册表吧。
那些病毒、蠕虫和,木马等仍然使用众所皆知并且过度使用的注册表键值,如下:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
等等……
二、具体使用资料:
下面是蓝色寒冰的一段介绍:
@echo off //关闭命令回显
echo 此批处理只作技巧介绍,请勿用于非法活动!//显示echo后的文字
pause //停止
echo Windows Registry Editor Version 5.00>>ssm.reg
echo [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssyssafe.EXE] >>ssm.reg
echo "Debugger"="syssafe.EXE" >>ssm.reg //把echo后的文字导出到SSM.reg中
regedit /s ssm.reg &del /q ssm.reg //导入ssm.reg并删除
使SSM失效HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssvchost.exe项下的"Debugger"="abc.exe" 意思是不执行svchost.exe而执行abc.exe。
可能说了上面那么多,大家还弄不懂是什么意思,没关系,我们大家一起来看网络上另一个朋友做得试验:
如上图了,开始-运行-regedit,展开到:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options 然后选上Image File Execution
Options,新建个项,然后,把这个项(默认在最后面)然后改成123.exe。
更多内容请看脚本攻击和防范、ARP攻击防范与解决方案专题,或进入讨论组讨论。
由于最近病毒都采用了IFEO映像劫持技术,导致杀软无法运行或提示无法打开文件,最近此类病毒非常流行,病毒清除操作起来相对复杂一些,所以今天特意发帖强调大家注意。
关于IFEO的介绍网络上有非常多,本文借用的是剑盟skyshine的帖子内容,感谢原作者!重要的是第五步的预防方法,简单有效,可达到防患于未然,避免中毒的苦恼。
基本症状:可能有朋友遇到过这样的情况,一个正常的程序,无论把他放在哪个位置或者是重新用安装盘修复过的程序,都无法运行或者是比如运行A却成了执行B的程序了,而改名后却可以正常运行。
既然我们是介绍IFEO技术相关,那我们就先介绍下:
一、什么是映像胁持(IFEO)?
所谓的IFEO就是Image File Execution Options是位于注册表的
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options
由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改,先看看常规病毒等怎么修改注册表吧。
那些病毒、蠕虫和,木马等仍然使用众所皆知并且过度使用的注册表键值,如下:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
等等……
二、具体使用资料:
下面是蓝色寒冰的一段介绍:
@echo off //关闭命令回显
echo 此批处理只作技巧介绍,请勿用于非法活动!//显示echo后的文字
pause //停止
echo Windows Registry Editor Version 5.00>>ssm.reg
echo [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssyssafe.EXE] >>ssm.reg
echo "Debugger"="syssafe.EXE" >>ssm.reg //把echo后的文字导出到SSM.reg中
regedit /s ssm.reg &del /q ssm.reg //导入ssm.reg并删除
使SSM失效HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssvchost.exe项下的"Debugger"="abc.exe" 意思是不执行svchost.exe而执行abc.exe。
可能说了上面那么多,大家还弄不懂是什么意思,没关系,我们大家一起来看网络上另一个朋友做得试验:
如上图了,开始-运行-regedit,展开到:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options 然后选上Image File Execution
Options,新建个项,然后,把这个项(默认在最后面)然后改成123.exe。
更多内容请看脚本攻击和防范、ARP攻击防范与解决方案专题,或进入讨论组讨论。
相关图文阅读
频道图文推荐
健 康 咨 询
时 尚 咨 询
相关专题
- 脚本攻击和防范 (2370篇文章)
- ARP攻击防范与解决方案 (1714篇文章)
- 五分之一Windows上应用程序无安全补丁 (7次浏览)
- 网络购物被骗 警方发布提示 (0次浏览)
- 后门程序:其实我就是传说中的卧底! (0次浏览)
- “网页挂马”新形态初现 木马传播数量激增 (0次浏览)
- 小心:木马来袭,请保护好你的IE (0次浏览)
- 用户计算机安全危胁之六大禁区 (0次浏览)
- 解你燃眉之急 12种常用的密码破解法 (0次浏览)
- 微软发布1月安全公告 两漏洞或被黑客操控 (0次浏览)
- 引导区Rootkit将让Vista低下高昂的头! (0次浏览)
- 春节临近 用户小心新年被“劫”财 (0次浏览)
