注冊表景象劫持修復

1、 查看文章 映象劫持技術相關的注冊表項2010-11-14 21:38windows映像劫持技術（IFEO）基本癥狀：可能有朋友遇到過這樣的情況。一個正常的程序，無論把它放在哪個位置，或者是一個程序重新用安裝盤修復過，都出現(xiàn)無法運行或者是比如運行A卻成了執(zhí)行B，而改名后卻可以正常運行的現(xiàn)象。既然我們是介紹IFEO技術相關，那我們就先介紹下：關鍵的位置為：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptions一，什么是映像脅持（IFEO）？所謂的IFEO就是Image File Exe

2、cution Options它是位于注冊表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options由于這個項主要是用來調(diào)試程序用的，對一般用戶意義不大。默認是只有管理員和local system有權(quán)讀寫修改先看看常規(guī)病毒等怎么修改注冊表吧。那些病毒、蠕蟲和，木馬等仍然使用眾所皆知并且過度使用的注冊表鍵值，如下： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun HKLMSOFTWAREMicrosoftWi

3、ndows NTCurrentVersionWindowsAppInit_DLLsHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce 等等。關鍵的位置為：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindo

4、wsNTCurrentVersionImageFileExecutionOptions二，具體使用資料：QUOTE:下面是藍色寒冰的一段介紹：echo off /關閉命令回顯echo 此批處理只作技巧介紹，請勿用于非法活動！/顯示echo后的文字pause /停止echo Windows Registry Editor Version 5.00ssm.regecho HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssyssafe.EXE ssm.regecho Debu

5、gger=syssafe.EXE ssm.reg /把echo后的文字導出到SSM.reg中regedit /s ssm.reg &del /q ssm.reg /導入ssm.reg并刪除QUOTE:可能說了上面那么多，大家還弄不懂是什么意思，沒關系，我們大家一起來看網(wǎng)絡上另一個朋友做得試驗:如上圖了，開始-運行-regedit,展開到： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options 然后選上Image File Execution Options，新建個項，然后，

6、把這個項（默認在最后面）然后改成123.exe選上123.exe這個項，然后默認右邊是空白的，我們點右鍵，新建個“字串符”，然后改名為“Debugger 這一步要做好，然后回車，就可以。再雙擊該鍵，修改數(shù)據(jù)數(shù)值（其實就是路徑）。把它改為 C:windowssystem32CMD.exe（PS：C：是系統(tǒng)盤，如果你系統(tǒng)安裝在D則改為D：如果是NT或2K的系統(tǒng)的話，把Windows改成Winnt,下面如有再T起，類推。）好了，實驗下。 . 然后找個擴展名為EXE的，（我這里拿IcesWord.exe做實驗），改名為123.exe。 然后運行之。嘿嘿。出現(xiàn)了DOS操作框，不知情的看著一閃閃的光標，肯

7、定覺得特鬼異_。一次簡單的惡作劇就成咧。 同理，病毒等也可以利用這樣的方法，把殺軟、安全工具等名字再進行重定向，指向病毒路徑SO.如果你把病毒清理掉后，重定向項沒有清理的話，由于IFEO的作用，沒被損壞的程序一樣運行不了！讓病毒迷失自我同上面的道理一樣，如果我們把病毒程序給重定向了，是不是病毒就不能運行了，答案是肯定的。WindowsRegistryEditorVersion5.00HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptionssppoolsv.exeDebugger=123

8、.exeHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptionslogo_1.exeDebugger=123.exe上面的代碼是以金豬病毒和威金病毒為例，這樣即使這些病毒在系統(tǒng)啟動項里面，即使隨系統(tǒng)運行了，但是由于映象劫持的關鍵的位置為：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptions三，映像脅持的基本原理：QUOTE:NT系統(tǒng)在試圖執(zhí)行一個從命令行調(diào)用的可執(zhí)行文件運行

9、請求時，先會檢查運行程序是不是可執(zhí)行文件，如果是的話，再檢查格式的，然后就會檢查是否存在。如果不存在的話，它會提示系統(tǒng)找不到文件或者是“指定的路徑不正確等等。 當然，把這些鍵刪除后，程序就可以運行！四，映像脅持的具體案例：引用JM的jzb770325001版主的一個分析案例： QUOTE:蔚為壯觀的IFEO，稍微有些名氣的都掛了：HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsavp.exeHKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage Fil

10、e Execution OptionsAgentSvr.exeHKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsCCenter.exeHKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRav.exe從這個案例，我們可以看到這個技術的強大之處！很多的殺軟進程和一些輔助殺軟或工具，全部被脅持，導致你遇到的所有殺軟都無法運行！試想如果更多病毒，利用于此，將是多么可怕的事情！五:如何解決并預防IFEO？方法一： 限制法(轉(zhuǎn)自網(wǎng)絡搜索)它要修改Image File Execution Options，所先要有權(quán)限，才可讀，于是。一條思路就成了。 打開注冊表編輯器，定位到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptions，選中該項，右鍵權(quán)限高級，取消administrator和system用戶的寫權(quán)限即可。2、快刀斬亂麻法打開注冊表編輯器，定位到HKEY_LOCAL_MA