安全基础知识：认识病毒的映象劫持技术

来源：赛迪网安全社区作者：小猫猫出处：巧巧读书 2007-06-25 进入讨论组

　　★ 偷梁换柱恶作剧

　　每次我们按下CTRL+ALT+DEL键时，都会弹出任务管理器，想不想在我们按下这些键的时候让它弹出命令提示符窗口，下面就教你怎么玩：

　　Windows Registry Editor Version 5.00

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
　　Execution Options\taskmgr.exe]
　　"Debugger"="C:\\WINDOWS\\pchealth\\helpctr\\binaries\\msconfig.exe"
　　
　　将上面的代码另存为 task_cmd.reg，双击导入注册表。按下那三个键看是什么效果，不用我说了吧，是不是很惊讶啊！精彩的还在后头呢？

　　★让病毒迷失自我

　　同上面的道理一样，如果我们把病毒程序给重定向了，是不是病毒就不能运行了，答案是肯定的！下面就自己试着玩吧！

　　Windows Registry Editor Version 5.00

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
　　Execution Options\sppoolsv.exe]
　　"Debugger"="123.exe"
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
　　Execution Options\logo_1.exe]
　　"Debugger"="123.exe"
　　
　　上面的代码是以金猪报喜病毒和威金病毒为例，这样即使这些病毒在系统启动项里面，即使随系统运行了，但是由于映象劫持的重定向作用，还是会被系统提示无法找到病毒文件（这里是logo_1.exe和sppoolsv.exe）。是不是很过瘾啊，想不到病毒也有今天！

　　当然你也可以把病毒程序重定向到你要启动的程序中去，如果你想让QQ开机自启动，你可以把上面的123.exe改为你QQ的安装路径即可，但是前提是这些病毒必须是随系统的启动而启动的。

　　映像劫持的应用也讲了不少了，下面就给大家介绍一下如何防止映象劫持吧！

　　关于映像劫持的预防，主要通过以下几个方法来实现：

　　★权限限制法

　　如果用户无权访问该注册表项了，它也就无法修改这些东西了。打开注册表编辑器，进入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

　　NT\CurrentVersion\Image File Execution Options ，选中该项，右键——>权限——>高级，将administrator 和 system 用户的权限调低即可（这里只要把写入操作给取消就行了）。

　　★快刀斩乱麻法

　　打开注册表编辑器，进入把

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
　　
　　项，直接删掉 Image File Execution Options 项即可解决问题。本U R L:http://www.qqread.com/safe-tech/u318520.html