電腦中病毒映像劫持
電腦中病毒映像劫持
所謂的電腦病毒映像劫持IFEO就是Image File Execution Options,下面由學習啦小編給你做出詳細的電腦病毒映像劫持介紹!希望對你有幫助!
電腦病毒映像劫持:
(其實應該稱為“Image Hijack”。)
它是位于注冊表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
IFEO的本意是為一些在默認系統環境中運行時可能引發錯誤的程序執行體提供特殊的環境設定。由于這個項主要是用來調試程序用的,對一般用戶意義不大。默認是只有管理員和local system有權讀寫修改。
當一個可執行程序位于IFEO的控制中時,它的內存分配則根據該程序的參數來設定,而WindowsN T架構的系統能通過這個注冊表項使用與可執行程序文件名匹配的項目作為程序載入時的控制依據,最終得以設定一個程序的堆管理機制和一些輔助機制等。出于簡化原因,IFEO使用忽略路徑的方式來匹配它所要控制的程序文件名,所以程序無論放在哪個路徑,只要名字沒有變化,它就運行出問題。
先看看常規病毒等怎么修改注冊表來達到隨機啟動吧。
病毒、蠕蟲和,木馬等仍然使用眾所皆知并且過度使用的注冊表鍵值,如下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
等等。
2.另外一種劫持的方法是:在目標程序目錄下建立與系統DLL相同的導出函數,執行內容為
f=LoadLibrary(byref "c:\windows\system32\"+dllname)
f=GetProcAddress(byval f,byref procname)
!jmp f
'(PowerBasic)
,在DLL初始化的時候可以干一些壞事,以此來達到改變原應用程序的目的1. 生成很多8位數字或字母隨機命名的病毒程序文件,并在電腦開機時自動運行。
·2. 綁架安全軟件,中毒后會發現幾乎所有殺毒軟件,系統管理工具,反間諜軟件不能正常啟動。即使手動刪除了病毒程序,下次啟動這些軟件時,還會報錯。
·3. 不能正常顯示隱藏文件,其目的是更好的隱藏自身不被發現。
·4. 禁用windows自動更新和Windows防火墻,這樣木馬下載器工作時,就不會有任何提示窗口彈出來。為該病毒的下一步破壞打開方便之門。
·5. 破壞系統安全模式,使得用戶不能啟動系統到安全模式來維護和修復。
·6. 當前活動窗口中有殺毒、安全、社區相關的關鍵字時,病毒會關閉這些窗口。假如你想通過瀏覽器搜索有關病毒的關鍵字,瀏覽器窗口會自動關閉。
·7. 在本地硬盤、U盤或移動硬盤生成autorun.inf和相應的病毒程序文件,通過自動播放功能進行傳播。這里要注意的是,很多用戶格式化系統分區后重裝,訪問其它磁盤,立即再次中毒,用戶會感覺這病毒格式化也不管用。
·8. 病毒程序的最終目的是下載更多木馬、后門程序。用戶最后受損失的情況取決于這些木馬和后門程序。
看過“電腦中病毒映像劫持 ”人還看了: