通常利用映像劫持的都是恶意程序、病毒等!它可以让用户在运行一个正常的软件时而转向运行一个别的程序或是病毒软件,而这一切只要改注册表就可以了!是不是非常可怕!
映像劫持是什么意思?
“映像劫持”,也被称为“IFEO”(Image File Execution Options),在WindowsNT架构的系统里,IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定,而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据,最终得以设定一个程序的堆管理机制和一些辅助机制等。出于简化原因,IFEO使用忽略路径的方式来匹配它所要控制的程序文件名,所以程序无论放在哪个路径,只要名字没有变化,它就运行出问题。www.Winwin7.com
如何映像劫持?
1、开始-运行-regedit,展开到:
2、然后选上Image File Execution Options,新建个项,然后,把这个项(默认在最后面)然后改成123.exe
3、选上123.exe这个项,然后默认右边是空白的,我们点右键,新建个“字串符”,然后改名为“Debugger“
4、这一步要做好,然后回车,就可以。。。再双击该键,修改数据数值(其实就是路径)。。
5、把它改为 C:\windows\system32\CMD.exe
注:C:是系统盘,如果你系统安装在D则改为D:如果是NT或2K的系统的话,把Windows改成Winnt,下面如有再提起,类推。
好了,实验下。
6、然后找个扩展名为EXE的,(我这里拿IcesWord.exe做实验),改名为123.exe。
7、然后运行。出现了DOS操作框,不知情的看着一闪闪的光标,肯定觉得特诡异。
很简单的说,我们利用映像劫持 让运行123.exe时直接转向运行CMD.exe。
所以通过以上方法可以达到以下目的:
1、运行正常程序而被转向运行木马病毒文件;
2、直接屏蔽一些软件的使用,这些软件包括杀毒软件。
NT系统在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是的话,再检查格式的,然后就会检查是否存在。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确等等。
如何防止映像劫持?
方法一:通过权限限制
一般来说我们不怎么会使用到ImageFileExecutionOptions项,所以删除也可以杜绝映像劫持