映像劫持的定义
所谓的映像劫持(IFEO)就是Image File Execution Options,位于注册表的
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options 由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改。
通俗一点来说,就是比如我想运行QQ.exe,结果运行的却是FlashGet.exe,也就是说在这种情况下,QQ程序被FLASHGET给劫持了,即你想运行的程序被另外一个程序代替了。
映像劫持病毒
虽然映像劫持是系统自带的功能,对我们一般用户来说根本没什么用的必要,但是就有一些病毒通过映像劫持来做文章,表面上看起来是运行了一个程序,实际上病毒已经在后台运行了。
大部分的病毒和木马都是通过加载系统启动项来运行的,也有一些是注册成为系统服务来启动,他们主要通过修改注册表来实现这个目的,主要有以下几个方面:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
但是与一般的木马,病毒不同的是,就有一些病毒偏偏不通过这些来加载自己,不随着系统的启动运行,而是等到你运行某个特定的程序的时候运行,这也抓住了一些用户的心理,一般的用户,只要发觉自己的机子中了病毒,首先要察看的就是系统的加载项,很少有人会想到映像劫持,这也是这种病毒高明的地方。
静态页面:http://www.qqread.com/virus/d349485.html
更多内容请看QQ病毒、手机病毒揭密、病毒专栏专题,或进入讨论组讨论。
相关专题
- 新后门程序:对计算机下手就要狠一点! (0次浏览)
- 2007年十大危害最重病毒档案 (0次浏览)
- 特洛伊 Win32.Cutwail.CJ 发送大量邮件 (0次浏览)
- Backdoor.Win32.BlackHole.cu分析与清除 (0次浏览)
- 木马Backdoor.Win32.VanBot.dd分析与清除 (0次浏览)
- 耍你没商量,病毒也骗人 (0次浏览)
- 病毒预警: AUTO病毒成新年第一大毒枭 (0次浏览)
- wuauclt.exe病毒解决方案 (0次浏览)
- QQ盗号木马用文本图标迷惑用户 (0次浏览)
- 木马Backdoor.Win32.VanBot.az分析与清除 (0次浏览)
