本次教程讲述的是自动运行、映像劫持、自动播放的内容,哪里是病毒最喜欢的藏身之处呢?
映像劫持的知识
二.映像劫持
原理:NT系统在试图运行一个程序时,先会检查程序是不是可执行文件,如果是的话,再检查格式,然后就会检查是否存在,如果不存在的话,它会提示系统找不到文件或者是"指定的路径不正确"等等.
映像劫持的全称为Image File Execution Options
被病毒利用后的症状:杀毒软件,常用系统工具打不开,你运行正常程序,但打开的却是病毒程序.
举例:正常情况下,双击桌面上的IE图标就会打开浏览器,被劫持后实际运的并不是IE,而是另外一个程序,这里的另一个程序我以记事本为例来说明.
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
先打开注册表并定位到这个位置,新建项,名为iexplore.exe
在右边新建字符串值,名为Debugger,双击它,将值改为notepad.exe,确定.
此时双击桌面上的IE图标时将打开记事本.解决办法是把刚才新建的全部删除.
另一种办法是找到IE的真正路径,将其他重命名后再运行.通常杀毒软件被劫持时,我们采用重命名法.
很多病毒都会利用这个地方,当你运行正常程序时,实际运行的却是病毒.
可能你会发现你的注册表中有一些后缀为dll或其他的项, 这些是可以删除的,不删也没关系,但如果它下面有名为Debugger的键并且值为一可执行文件路径时,就要引起注意了.
当然你也可以反过来劫持病毒,方法是一样的.
当Debugger指定的路径值不存在时,将出现错误. 比如我把刚才的notepad.exe改成c:\abc\abc.exe
如果打开目录C:\Program Files\Internet Explorer直接运行IEXPLORE.EXE则出现下面结果:
网友评论