Posted on 2008-06-24 11:08
nt05 阅读(1289)
评论(0) 编辑 收藏 引用 所属分类:
windows nt
有别于文件关联
比较新颖的就是利用映像劫持技术。
针对系统注册表中:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
其实说起映像劫持,就是当系统执行某一个文件时,被映像劫持的系统会自动跳转到另一个程序去,而如果映像为空,也就是没有设置另一个程序,自然,就出现错误提示了,比如:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution
Options\svchost.exe项下的"Debugger"="abc.exe" 意思是调用 abc.exe 来调试
svchost.exe,关键就是 abc.exe 可能不是调试器,所以它不会启动 svchost.exe 于是系统报错。
利用此功能:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RFW.exe项下的"Debugger"="logo_1.exe"
这个就是当你企图运行rfw.exe时,其实是转向运行logo_1.exe。如果病毒这样作,你只有运行rfw.exe就运行病毒了。
知道这个,如果病毒把所有的安全软件的可执行文件和服务等全部列入,就出现了av病毒的功能了。
不过,要解除这个很简单。把安全工具的exe文件改名就可以执行了。
彻底的办法是删除所有这类劫持的定义:
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution
Options下面有很多,正常的键很多。(千千万不要随便乱删除,否则会导致系统问题,例如,右键菜单无效)
经本人研究以后发现,有个特征,一个是新建的劫持键名普遍为安全软件的exe文件;另外一个是该新建的键下面有个Debugger值。找到这些删除就行
了(只有一个例外:Your Image File Name Here without a path,这个的debugger值是"ntsd
-d",注意不要删除,其他的只要有debugger值的把它的键一起删除)。
另外,利用autoruns这个工具可以容易的找出被劫持的映像值并删除。该工具为Sysinternals公司制作,我早已在3年前就开始使用并汉
化。现在,由于微软公司看中该公司所有工具均比微软自己开发的强大,已经于今年年初收购了该公司。归属于微软TechNET。新版本的autoruns可
以扫描出映像劫持值并进行处理(也要注意不可删除"Your Image File Name Here without a
path”这项,在autoruns中设置隐藏微软项目,可以屏蔽该项显示,以免误删)。
特别说明:
如果是对付最近流行的av终结者病毒,首先删除该注册表内容是无效的,因为需要先干掉病毒的看护。
以上只是先介绍关于映像劫持的知识,让你知道自己的杀软们是怎么死的!! 如果要杀掉这个AV病毒,需要另外发文章说明了。不在此文范围。