::  ::  ::  ::  :: 管理

关于映像劫持Image File Execution Options

Posted on 2008-06-24 11:08 nt05 阅读(1289) 评论(0)  编辑 收藏 引用 所属分类: windows nt

有别于文件关联


      比较新颖的就是利用映像劫持技术。
      针对系统注册表中:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
      
      其实说起映像劫持,就是当系统执行某一个文件时,被映像劫持的系统会自动跳转到另一个程序去,而如果映像为空,也就是没有设置另一个程序,自然,就出现错误提示了,比如:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\svchost.exe项下的"Debugger"="abc.exe" 意思是调用 abc.exe 来调试 svchost.exe,关键就是 abc.exe 可能不是调试器,所以它不会启动 svchost.exe 于是系统报错。

利用此功能:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RFW.exe项下的"Debugger"="logo_1.exe"

      这个就是当你企图运行rfw.exe时,其实是转向运行logo_1.exe。如果病毒这样作,你只有运行rfw.exe就运行病毒了。
知道这个,如果病毒把所有的安全软件的可执行文件和服务等全部列入,就出现了av病毒的功能了。
      不过,要解除这个很简单。把安全工具的exe文件改名就可以执行了。

彻底的办法是删除所有这类劫持的定义:
    在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下面有很多,正常的键很多。(千千万不要随便乱删除,否则会导致系统问题,例如,右键菜单无效)
      经本人研究以后发现,有个特征,一个是新建的劫持键名普遍为安全软件的exe文件;另外一个是该新建的键下面有个Debugger值。找到这些删除就行 了(只有一个例外:Your Image File Name Here without a path,这个的debugger值是"ntsd -d",注意不要删除,其他的只要有debugger值的把它的键一起删除)。
      另外,利用autoruns这个工具可以容易的找出被劫持的映像值并删除。该工具为Sysinternals公司制作,我早已在3年前就开始使用并汉 化。现在,由于微软公司看中该公司所有工具均比微软自己开发的强大,已经于今年年初收购了该公司。归属于微软TechNET。新版本的autoruns可 以扫描出映像劫持值并进行处理(也要注意不可删除"Your Image File Name Here without a path”这项,在autoruns中设置隐藏微软项目,可以屏蔽该项显示,以免误删)。
特别说明:
如果是对付最近流行的av终结者病毒,首先删除该注册表内容是无效的,因为需要先干掉病毒的看护。
以上只是先介绍关于映像劫持的知识,让你知道自己的杀软们是怎么死的!! 如果要杀掉这个AV病毒,需要另外发文章说明了。不在此文范围。