IFEO(Windows 映像劫持)技术简介与清理教程 2007-09-18 23:51
一,什么是映像胁持(IFEO)?
IFEO,英文全称:Image File Execution Options,中文翻译为:Windows 映像劫持。
该项目位于注册表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改。
我以前写过的几篇手工查杀木马,哪些常规病毒等都是经常修改如下注册表信息:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
等等。。。。。。。。。。。。。。。
但是,这个还不完全,有一种让大家超级头疼的病毒:AV 终结者,它除了修改上面提到的这些注册表键值,还涉及到了我们这篇文章要讲述的:IFEO,windows映像劫持技术。那么,这个技术到底有何用途,为什么AV终结者要修改这项技术呢?下面,我们先来做个简单的“趣味”实验,让大家先明白,IFEO的伟大作用。
_______________________________________________________________________
第一步:大家随便拷贝一个exe类型的文件,到C盘下面。比如咱们常见的QQ.exe就行。把它改名,改成123.exe
第二步:下载下面这个注册表文件,双击导入注册表:
UploadFiles/2007-9/141440465910.rar
好了,嘿嘿,现在大家打开任务管理器试试。~就是windows自带的那个噢!看看吧~~运行的是什么??还是你的任务管理器么???
这个实验,就是运用了 windows 映像劫持技术。其实,说的简单点:它就是通过修改/添加注册表信息,让一个程序,运行另外一个!大家可以通过右键-编辑,看看刚才下载的注册表,内容是这样的:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
"Debugger"="C:\\123.exe"
这个意思就是,让 taskmgr.exe(就是咱们的任务管理器),运行 c:\123.exe ~
通过这个实验,大家应该明白IFEO的作用了吧?通过一个正常软件的名字(任务管理器的名字是taskmgr.exe),修改注册表,让他运行自己指定的其他程序(123.exe)
————————————————————————————————————————
写到这里,我相信稍微有点“警觉”意识的人,应该可以感觉到“危机”了,什么危机呢??
会不会有病毒,通过这个种技术,修改杀毒软件,防火墙,甚至等等常见软件的注册表信息呢???
答案很肯定,有!现成的例子:AV 终结者。(这里的AV,代表英文:Anti-Virus,意思为“反病毒”,AV终结者病毒,意思其实就是,反杀毒软件的病毒~)那么,这个病毒是如何做到反杀毒软件?很简单:利用IFEO技术,修改注册表,对常见的杀毒软件,防火墙等软件进行设置,让它们统一运行病毒文件!
所以,大家知道,中了AV终结者这种病毒,最大的特征就是:不能安装杀毒软件,防火墙,不能浏览跟病毒有关的网页,文件夹等等。。。。。。因为,它们都被劫持了。。。。。
IFEO映像劫持,不管是善意的还是恶意的,在S.R.E里面,都显示为红色,下面是我中招后的图:
看到了吧?我去除了自己开机启动的正常程序,剩下都是IFEO劫持了。。。。。。。一片大红啊~~~~~~~~~~~~~~~~~
那么,该如何清除呢??用S.R.E?当然可以,只是,S.R.E里面,每删除一个,就要提示。。。。。。那么多红的,你岂不是要累死了?
这里,我们给大家推荐这个软件:System Detector。以前我介绍过了,在这里:
http://www.esnips.com/doc/969d88af-b21d-4831-be1f-7ad4f0b08fc8/SD
在这个教程里面,我单独介绍它的特色功能:一键恢复IFEO。
打开软件,在左边找到:工具箱——IFEO 映像劫持修复。看下面的图,一片大………………………………
看到了没?AVP.exe,360.。。。。。。。这些大家熟悉的常见杀毒软件,都被劫持了。。
点击右边的:全选。然后: 修复 !就会自动都帮你修复了,非常方便。修复后,(其实正常情况下,IFEO这里,也应该是这样:)这里应该是一片空白,才对:
好啦。就写这么多了,希望大家能通过这个帖子,了解IFEO技术,并且知道,遇到类似AV终结者这样的病毒,利用IFEO技术劫持杀毒软件的时候,应该如何解决。^_^