实例详解 遭遇IFEO(映像劫持)后的事情

　　昨天遇到个电脑很多exe都打不开，杀毒软件和正常的很多exe都打不开

　　然后每个盘里都有一个数字加英文的隐藏exe和一个autorun.inf，即使删除也会自动出来，右键磁盘也是正常的。也不能显示所有文件。

　　然后发现在c:\program files\common files\microsoft shared\MSinfo下看到几个这种相同的数字加英文的exe，昨天是8******.exe，还有dll，也是不能强制删除。而且一些exe都打开一秒钟也不到就关闭。

　　最后regedit能打开，查找这个文件，发现HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下找到很多，发现有些是正常的dll，有很多都是exe，包括这些不能用的，选中后发现右边有的是正常的内存数值，而大多数exe都是多了个debugger，然后内容就是指向那个在msinfo下的这个文件的。然后对比自己的注册表，只有较少。发现关键不能运行的原因在这里，于是删除所有有debugger对应那个文件的项，删除后一般就能打开原来不能打开的exe了。

　　然后那个8*****.dll始终删不掉，想了办法，结果重命名把后缀名去掉了，结果病毒不运行轻易被删除了，然后再到每个分区删除剩余的病毒文件。恢复右键，再装江民删除了感染的一些exe，有的文件图标也从模糊恢复了。

　　如果先把病毒大佬删除了，打开一些本来打不开的exe就会出现找不到文件情况，同样，在注册表里删除那个项便可。

　　网上查了查，注册表这个项本来没注意过，这次却发现是这个用途：

　　　注册表的这个项主要是用来调试程序用的，对一般用户意义不大。默认是只有管理员和local system有权读写，一般user只读。Windows NT系统在执行一个从命令行调用的可执行文件运行请求时，首先会检查这是否是一个可执行文件，如果是，又是什么格式的，然后就会检查是否存在：
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ImageName]如果存在，首先会试图读取这个键值：
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ImageName]
"Debugger"="debug_prog"
如果存在，就执行“debug_prog ImageName”。

　　在我们这台机器中，提示系统找不到文件，这里所谓找不到的其实是那个“adamrf.exe”，那是因为那个adamrf.exe已被杀毒软件删除的缘故。将包含这个键值的所有项目删除，系统恢复正常。

　　adamrf.exe是另外的情况非正常程序的例子。

******************
原来这是所谓的映像劫持
yyasong说
IFEO hijack(映象劫持)这种方法可以使部分程序不可运行

用类似的方法可以对付某些知道名字的病毒的运行，同时也有可能被病毒利用用autorun软件可以找到。

其实说起映像劫持，就是当系统执行某一个文件时，被映像劫持的系统会自动跳转到另一个程序去，而如果映像为空，也就是没有设置另一个程序，自然，就出现上面的错误提示了，比如：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Exe
cution Options\svchost.exe项下的"Debugger"="abc.exe" 意思是调用 abc.exe 来调试svchost.exe，关键就是 abc.exe 可能不是调试器，所以它不会启动 svchost.exe

又HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\logo_1.exe项下的"Debugger"="logo_1.exe" ，这样当Debugger的值等于本身时，就是调用自身来调试自己，结果自己不是调试器，又来一次，递归了,就进入了死循环，也就不能启动了，从而很多威金免疫程序就是用了这个道理。

例子

对付威金变种测试通过

注册表：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Ex
ecution Options\Logo1_.exe]
"Debugger"="egomoo.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Ex
ecution Options\rundl132.exe]
"Debugger"="egomoo.exe"

***************************

关键词：

【推荐给好友】【关闭】

最新五条评论

查看全部评论

评论总数 0 条

您的评论

用户名： （新注册） 密　码： 匿名：

·用户发表意见仅代表其个人意见，并且承担一切因发表内容引起的纠纷和责任
·本站管理人员有权在不通知用户的情况下删除不符合规定的评论信息或留做证据
·请客观的评价您所看到的资讯，提倡就事论事，杜绝漫骂和人身攻击等不文明行为

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有