什么是映像劫持？镜像劫持的解决方案(2)

编辑：quers 2016-07-05 09:50:13 来源于：系统城 1. 扫描二维码随时看资讯 2. 请使用手机浏览器访问： http://wap.xtcheng.cc/xtjc/12186.html 手机查看

　　让病毒迷失自我：

　　1、同上面的道理一样，如果我们把病毒程序给重定向了，是不是病毒就不能运行了，答案是肯定的。

					WindowsRegistryEditorVersion5.00

					[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\sppoolsv.exe]

					Debugger=123.exe

					[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\logo_1.exe]

					Debugger=123.exe

　　2、将上面的代码保存为后缀.reg的文件，双击它，是以金猪病毒和威金病毒为例，这样即使这些病毒在系统启动项里面，即使随系统运行了，但是由于映象劫持的

　　3、重定向作用，还是会被系统提示无法找到病毒文件（这里是logo_1.exe和sppoolsv.exe）。

　　三、映像胁持的基本原理：

　　NT系统在试图执行一个从命令行调用的可执行文件运行请求时，先会检查运行程序是不是可执行文件，如果是的话，再检查格式的，然后就会检查是否存在。。如果不存在的话，它会提示系统找不到文件或者是“指定的路径不正确等等。。

　　当然，把这些键删除后，程序就可以运行！

　　四、映像胁持的具体案例：

　　蔚为壮观的IFEO，稍微有些名气的都挂了：

				HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe

				HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe

				HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe

				HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe

　　从这个案例，我们可以看到这个技术的强大之处！很多的杀软进程和一些辅助杀软或工具，全部被胁持，导致你遇到的所有杀软都无法运行！试想如果更多病毒，利用于此，将是多么可怕的事情！

　　五、如何解决并预防IFEO？

　　方法一：限制法

　　它要修改Image File Execution Options，所先要有权限，才可读，于是，一条思路就成了。

　　打开注册表编辑器，定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\，选中该项，右键→权限→高级，取消administrator和system用户的写权限即可。

　　方法二、快刀斩乱麻法

　　打开注册表编辑器，定位到［HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\，把“ImageFileExecutionOptions”项删除即可。

　　以上文章便是关于映像劫持和IFEO预防方法，遭遇映像劫持重装计算机是下下之策，学会把控全局，了解独立运行的计算机，找到问题处理TA、解决TA。