通常利用映像劫持的都是恶意程序、病毒等!它可以让用户在运行一个正常的软件时而转向运行一个别的程序或是病毒软件,而这一切只要改注册表就可以了!是不是非常可怕!
映像劫持是什么意思?
“映像劫持”,也被称为“IFEO”(Image File Execution Options),在WindowsNT架构的系统里,IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定,而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据,最终得以设定一个程序的堆管理机制和一些辅助机制等。出于简化原因,IFEO使用忽略路径的方式来匹配它所要控制的程序文件名,所以程序无论放在哪个路径,只要名字没有变化,它就运行出问题。www.xiuchufang.com
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File ExecutionOptions”内,使用与可执行程序文件名匹配的项目作为程序载入时的控制依据,最终得以设定一个程序的堆管理机制和一些辅助机制等,大概微软考虑到加入路径控制会造成判断麻烦与操作不灵活的后果,也容易导致注册表冗余,于是IFEO使用忽略路径的方式来匹配它所要控制的程序文件名。
如何映像劫持?
如何映像劫持?
1、开始-运行-regedit,展开到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
2、然后选上Image File Execution Options,新建个项,然后,把这个项(默认在最后面)然后改成123.exe
3、选上123.exe这个项,然后默认右边是空白的,我们点右键,新建个“字串符”,然后改名为“window“
4、这一步要做好,然后回车,就可以。。。再双击该键,修改数据数值(其实就是路径)。。
5、把它改为 C:\windows\system32\CMD.exe
注:C:是系统盘,如果你系统安装在D则改为D:如果是NT或2K的系统的话,把Windows改成Winnt,下面如有再提起,类推。
好了,实验下。
6、然后找个扩展名为EXE的,(我这里拿IcesWord.exe做实验),改名为123.exe。
7、然后运行。出现了DOS操作框,不知情的看着一闪闪的光标,肯定觉得特诡异。
很简单的说,我们利用映像劫持 让运行123.exe时直接转向运行CMD.exe。
所以通过以上方法可以达到以下目的:
1、运行正常程序而被转向运行木马病毒文件;
2、直接屏蔽一些软件的使用,这些软件包括杀毒软件。
NT系统在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是的话,再检查格式的,然后就会检查是否存在。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确等等。
如何防止映像劫持?
方法一:通过权限限制
它要修改Image File Execution Options,所先要有权限,才可读,于是,一条思路就成了。
打开注册表编辑器,定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\,选中该项,右键→权限→高级,取消administrator和system用户的写权限即可。
方法二、直接删除
打开注册表编辑器,定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\,把“ImageFileExecutionOptions”项删除即可。
一般来说我们不怎么会使用到ImageFileExecutionOptions项,所以删除也可以杜绝映像劫持
一般来说我们不怎么会使用到ImageFileExecutionOptions项,所以删除也可以杜绝映像劫持