我来教你 如何映像劫持杀毒软件

互联网 | 编辑: 黄蔚 2008-06-07 00:30:00转载 返回原文

映像劫持高明之处

(注意,如果你需要尝试,文本中的\需替换为半角的斜线)

其实映像劫持是系统自带的功能,病毒通过修改注册表来实现对杀软的劫持,当你运行杀软的时候,他就会自动把目标指向病毒的路径,

从而来运行病毒,下面说一下镜像劫持的原理吧,下面是从网上收集的资料!!!

系统在试图执行一个从命令行调用的可执行文件运行请求时,会先检查运行程序是不是可执行文件,

如果是的话,才会再检查格式的,最后才会检查是否存在。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确“等错误。把这些键删除后,程序就可以正常运行了。

虽然映像劫持是系统自带的功能,对我们一般用户来说根本没什么用的必要,但是就有一些病毒通过映像劫持来做文章,表面上看起来是运行了一个程序,实际上病毒已经在后台运行了。

大部分的病毒和木马都是通过加载系统启动项来运行的,也有一些是注册成为系统服务来启动,他们主要通过修改注册表来实现这个目的,主要有以下几个方面:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

但是与一般的木马、病毒不同的是,就有一些病毒偏偏不通过这些来加载自己,不随着系统的启动运行,而是等到用户运行某个特定的程序的时候运行,这也抓住了一些用户的心理。

映像劫持的原理

一般的用户,只要发觉自己的机子中了病毒,首先要察看的就是系统的加载项,很少有人会想到映像劫持,这也是这种病毒高明的地方。

映像劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Executionoptions 项来劫持正常的程序,比如有一个病毒bingdu.exe要劫持QQ程序,它会在上面注册表的位置新建一个QQ.exe项,在这个项下面新建一个字符串的键值“debugger”内容是:C:\WINDOWS\SYSTEM32\bingdu.exe即可。当然如果你把该字符串值改为任意的其他值的话,系统就会提示找不到该文件。

最近我的电脑老是被舍友侵占,每时每刻都在玩网游,所以这几天很少上网,所以到今天才能把剩余的那十几个贴的任务发完。

因为电脑经常被别人玩,如果经常叫他不要玩的话,又不太好意思所以我想到用镜像劫持来劫持了那个网游的程序,具体请看说明 ,注:舍友玩的是神泣首先找到网游的进程名称,运行网游,发现进程是Updater.exe 更新的意思,大概是每运行游戏都要自动下载更新把然后定位到注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution在左边新建一个项updater.exe,然后在右边新建一个debugger的字符串值,其数据内容就是我想指向的程序路径,比如我把它指向到QQ的运行路径(或者随便输入,指定一个空路径也行)。

这样的话,舍友运行游戏的时候就会打开QQ,感觉这样太明显了,想到用一个恶作剧小程序,比如运行之后就会弹出内存不能“read”之类的,网上搜了很久也没找到想用VB编一个,现在还没时间,有空再说了现在我只是指向一个空路径,它运行游戏的时候就什么也没运行。

映像劫持杀毒软件

原理就这样了

下面是我做的注册表导入命令,把下面的命令粘贴到新的TXT文档中,另存为.REG后缀就行了,双击导入就行了

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\updater.exe]

"Debugger"="125.exe"

如果要恢复的话,就导入下面的命令就行

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\updater.exe]

"Debugger"="125.exe"

就多一个减号

其实要反病毒的镜像劫持的话,原理跟上面一样的

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\杀软的进程]

"Debugger"="125.exe"

举一反三就行了!

返回原文

本文导航

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑