2024年9月镜像劫持的有关操作?启动项里有edge镜像劫持

 更新时间:2024-09-21 06:57:20

  ⑴镜像劫持的有关操作?启动项里有edge镜像劫持

  ⑵重启后即可.启动项里有edge镜像劫持系统被镜像劫持后会导致注册表冗余文件过多而导致系统卡顿,先会检查运行程序是不是可执行文件,而WindowsNT架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据,所谓的IFEO就是ImageFileExecutionOptions在是位于注册表的:由于这个项主要是用来调试程序用的,以后只要用户双击Rav.exe就会运行OSO的病毒文件,病毒已经更改注册表使隐藏的文件选项失效、找到隐藏的文件后删除即可,都会出现该程序无法运行或者指向另一个程序的情况,易游开机会自动导入这个注册表文件的.可以在百度上搜一下就知道了.什么是镜像劫持(IFEO。

  ⑶autorun.inf和oobtwtr.exe手动去除法:.首先下载autoruns.然后打开运行镜像劫持;.接下来单击开始|运行|输入cmd,回车|x:回车(x是你的盘符.输入attribautorun.inf-s-h-rattriboobtwtr.exe-s-h-r(去隐藏属性);.输入delautorun.infdeloobtwtr.exe(删除用镜像劫持防病毒把system.rar解压后的文件在d:syssetmenu目录下后上传参数就行了。易游开机会自动导入这个注册表文件的.可以在百度上搜一下就知道了.什么是镜像劫持(IFEO?所谓的IFEO就是ImageFileExecutionOptions在是位于注册表的:由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和localsystem有权读写修改先看看常规病毒等怎么修改注册表吧。。那些病毒、蠕虫和,木马等仍然使用众所皆知并且过度使用的注册表键值,如下:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunHKLMSOFTWAREMicrosoftWindowsNTCurrentVersionWindowsAppInit_DLLsHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonNotifyHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce等等。。。。。。。。。。。。。。。随着网友的安全意识提高和众多安全软件的针对,都可以很容易的对上面的恶意启动项进行很好的处理于是。。一种新的技术又产生了。。。。那就是IFEO。。嗯了,可能说了上面那么多,大家还弄不懂是什么意思,没关系,来做个小实验!如上图了,开始-运行-regedit,展开到IFEO:然后选上ImageFileExecutionOptions,新建个项,然后,把这个项(默认在最后面然后改成.exeClickheretoopennewwindowCTRL+Mousewheeltozoomin/out选上.exe这个项,然后默认右边是空白的,我们点右键,新建个“字串符”,然后改名为“Debugger这一步要做好,然后回车,就可以。。。再双击该键,修改数据数值(其实就是路径。。把它改为C:windowssystemCMD.exe(PS:C:是系统盘,如果你系统安装在D则改为D:如果是NT或K的系统的话,把Windows改成Winnt,下面如有再T起,类推。。。好了,实验下。~在此之前,记得先把“隐藏以知文件类型扩展名”的勾去掉!然后找个扩展名为EXE的,(我这里拿IcesWord.exe做实验,改名为.exe。。。然后运行之。。。嘿嘿。。出现了DOS操作框,不知情的看着一闪闪的光标,肯定觉得特鬼异~^_^。。HOHO~一次简单的恶作剧就成咧。。。同理,病毒等也可以利用这样的方法,把杀软、安全工具等名字再进行重定向,指向病毒路径SO..如果你把病毒清理掉后,重定向项没有清理的话,由于IFEO的作用,没被损坏的程序一样运行不了!原理:NT系统在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是的话,再检查格式的,然后就会检查是否存在。。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确等等。。当然,把这些键删除后,程序就可以运行咧,嘿嘿~知道了后,怎么预防呢?一般就两个方法了,第一种比较实用。。。任何人都可以。。方法一:限制法。。它要修改ImageFileExecutionOptions,所先要有权限,才可读,于是。。一条思路就成了。。开始-运行-regedt(这个是系统的位注册表,和注册表操作方法差不多然后还是展开到IFEO:记得把有管理权限用户都要进行设置!然后选上“权限”勾选“拒绝”按确定后会有个提示,然后点确定就可以拉!样本在虚拟机上分析:扫描结果如下:File:EF.exeSHA-Digest:deeceaabcfbabePackers:UnknownScannerScannerVersionResultScanTimeArcaVir..Clean.secsavast!..Clean.secsAVGAntiVirus..Clean.secsBitDefender.Generic.Malware.SBVdld.AA.secsCATQuickHeal.Clean.secsClamAV./Trojan.Agent-.secsDr.Web..Clean.secsF-PROT..Clean.secsF-Secure.Clean.secsH+BEDVAntiVir..-NULL.secsMcAfeeVirusscan..Clean.secsNOD..Clean.secsNormanVirusControl..Clean.secsPanda..Clean.secsSophosSweep..Troj/Hook-Gen.secsTrendMicro.-Possible_Infostl.secsVBA..ProtectedFile.secsVirusBuster..Clean.secs打开:AutoRun.inf文件内容如下:[AutoRun]open=EF.exeshellopen=打开(&O)shellopenmand=EF.exeshellopenDefault=shellexplore=资源管理器(&X)shellexploremand=EF.exe运行此病毒EF.exe生成文件及注册表变动:C:ProgramFilesmonFilesMicrosoftSharedMSInfoCBC.dll在非系统根目录下生成CBC.exe可执行文件(隐藏蔚为壮观的IFEO,稍微有些名气的都挂了:在同样位置的文件还有:enter.exeRav.exeRavMonD.exeRavStub.exeRavTask.exerfwcfg.exerfwsrv.exeRsAgent.exeRsaupd.exeruniep.exeSmartUp.exeFileDsty.exeRegClean.exekabaload.exesafelive.exeRas.exeKASMain.exeKASTask.exeKAV.exeKAVDX.exeKAVStart.exeKISLnchr.exeKMailMon.exeKMFilter.exeKPFW.exeKPFWX.exeKPFWSvc.exeKWatchx.exeKWatch.exeKWatchX.exeTrojanDetector.exeUpLive.EXE.exeKVSrvXP.exeKvDetect.exeKRegEx.exekvol.exekvolself.exekvupload.exekvwsc.exeUIHost.exeIceSword.exeiparmo.exemmsk.exeadam.exeMagicSet.exePFWLiveUpdate.exeSREng.exeWoptiClean.exescan.exeshcfg.exemonsol.exeHijackThis.exemmqczj.exeTrojanwall.exeFTCleanerShell.exeloaddll.exerfwProxy.exeKsLoader.exeKvfwMcl.exeautoruns.exeAppSvc.exeSvcHst.exeisPwdSvc.exesymlcsvc.exenodkui.exeavgrssvc.exeRfwMain.exeKAVPFW.exeIparmor.exenodkrn.exePFW.exeRavMon.exeKAVSetup.exeNAVSetup.exeSysSafe.exeQHSET.exezxsweep.exeAvMonitor.exeUmxCfg.exeUmxFwHlp.exeUmxPol.exeUmxAgent.exeUmxAttachment.exeHKLMSYSTEMCurrentControlSetServicesSharedAess注册表值:Start新的值:类型:REG_DWORD值:先前值:类型:REG_DWORD值:HKLMSYSTEMCurrentControlSetServiceswscsvc注册表值:Start新的值:类型:REG_DWORD值:先前值:类型:REG_DWORD值:HKLMSYSTEMCurrentControlSetServiceswuauserv注册表值:Start新的值:类型:REG_DWORD值:先前值:类型:REG_DWORD值:HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced注册表值:Hidden新的值:类型:REG_DWORD值:先前值:类型:REG_DWORD值:HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL注册表值:CheckedValue新的值:类型:REG_DWORD值:先前值:类型:REG_DWORD值:HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks注册表值:类型:REG_SZ值:HKCRCLSID\InProcServer注册表值:(默认类型:REG_SZ值:C:ProgramFilesmonFilesMicrosoftSharedMSINFOCBC.dll至于解决方法可参考崔老师的连接:IFEOhijack(映象劫持)使部分程序不可运行的解决方法对这个病毒的清除注意几点:(代表个人意见、重启进入安全模式下后所有硬盘操作都要右键打开,切记不要双击打开各个分区!、进入后要去掉隐藏的系统属性。(这一步要先编辑注册表否则实现不了,病毒已经更改注册表使隐藏的文件选项失效、找到隐藏的文件后删除即可!、手动删除添加的非法IFEO劫持项目,重启后即可.

  ⑷启动项里有edge镜像劫持

  ⑸系统被镜像劫持后会导致注册表冗余文件过多而导致系统卡顿。程序不管放在什么位置,打开该程序的时候,都会出现该程序无法运行或者指向另一个程序的情况,但是如果给该程序改名后便发现可以正常运行了。“映像劫持”,也被称为“IFEO”,在WindowsNT架构的系统里,IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定,而WindowsNT架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据,最终得以设定一个程序的堆管理机制和一些辅助机制等。

  ⑹镜像劫持是在针对杀毒软件方面,OSO病毒还采用了一种新技术,这种技术被称为镜像劫持,通过这种技术也能够将杀毒软件置于死地。是杀毒的一种方式,当然是安全的,应当相信!

  ⑺镜像劫持的意义所谓的镜像劫持,就是在注册表的[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptions]处新建一个以杀毒软件主程序命名的项,例如Rav.exe。然后再创建一个子键“Debugger=“C:WINDOWSsystemdrivers”。以后只要用户双击Rav.exe就会运行OSO的病毒文件,类似文件关联的效果。

您可能感兴趣的文章:

相关文章