安全技巧:映像劫持与反劫持技术
IFEO的本意是為一些在默認系統環境中運行時可能引發錯誤的程序執行體提供特殊的環境設定,系統廠商之所以會這么做,是有一定歷史原因的,在Windows NT時代,系統使用一種早期的堆棧Heap,由應用程序管理的內存區域)管理機制,使得一些程序的運行機制與現在的不同,而后隨著系統更新換代,廠商修改了系統的堆棧管理機制,通過引入動態內存分配方案,讓程序對內存的占用更為減少,在安全上也保護程序不容易被溢出,但是這些改動卻導致了一些程序從此再也無法運作,為了兼顧這些出問題的程序,微軟以“從長計議”的態度專門設計了“IFEO”技術,它的原意根本不是“劫持”,而是“映像文件執行參數”!
?
轉:http://security.ctocio.com.cn/tips/92/8064592_1.shtml
【IT專家網獨家】當前的木馬、病毒似乎比較鐘情于“映像劫持”,通過其達到欺騙系統和殺毒軟件,進而絕殺安全軟件接管系統。筆者最近就遇到很多這種類型的木馬病毒,下面把自己有關映像劫持的學習心得寫下來與大家交流。
一、原理
所謂的映像劫持(IFEO)就是Image File Execution Options,它位于注冊表的
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/鍵值下。由于這個項主要是用來調試程序用的,對一般用戶意義不大,默認是只有管理員和local system有權讀寫修改。
比如我想運行QQ.exe,結果運行的卻是FlashGet.exe,這種情況下,QQ程序被FLASHGET給劫持了,即你想運行的程序被另外一個程序代替了。
二、被劫持
雖然映像劫持是系統自帶的功能,對一般用戶來說根本沒什么用的必要,但是就有一些病毒通過映像劫持來做文章,表面上看起來是運行了一個正常的程序,實際上病毒已經在后臺運行了。
大部分的病毒和木馬都是通過加載系統啟動項來運行的,也有一些是注冊成為系統服務來啟動,他們主要通過修改注冊表來實現這個目的,主要有以下幾個鍵值:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsCurrent/Version/Run
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsCurrent/Version/RunOnce
HKEY_LOCAL_MACHINE/Software/Microsoft/WindowsCurrent/Version/RunServicesOnce
但是與一般的木馬,病毒不同的是,就有一些病毒偏偏不通過這些來加載自己,不隨著系統的啟動運行。木馬病毒的作者抓住了一些用戶的心理,等到用戶運行某個特定的程序的時候它才運行。因為一般的用戶,只要發覺自己的機子中了病毒,首先要察看的就是系統的加載項,很少有人會想到映像劫持,這也是這種病毒高明的地方。
映像劫持病毒主要通過修改注冊表中的HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/項來劫持正常的程序,比如有一個病毒 vires.exe 要劫持qq程序,它會在上面注冊表的位置新建一個qq.exe項,再在這個項下面新建一個字符串的鍵 debugger把其值改為C:/WINDOWS/SYSTEM32/VIRES.EXE(這里是病毒藏身的目錄)即可。
三、玩劫持
1、禁止某些程序的運行
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/qq.exe]
Debugger=123.exe
把上面的代碼保存為norun_qq.reg,雙擊導入注冊表,每次雙擊運行QQ的時候,系統都會彈出一個框提示說找不到QQ,原因就QQ被重定向了。如果要讓QQ繼續運行的話,把123.exe改為其安裝目錄就可以了。
?
2、偷梁換柱惡作劇
每次我們按下CTRL+ALT+DEL鍵時,都會彈出任務管理器,想不想在我們按下這些鍵的時候讓它彈出命令提示符窗口,下面就教你怎么玩:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/taskmgr.exe]
Debugger=D:/WINDOWS/pchealth/helpctr/binaries/mconfig.exe
將上面的代碼另存為 task_cmd.reg,雙擊導入注冊表。按下那三個鍵打開了“系統配置實用程序”。
3、讓病毒迷失自我
同上面的道理一樣,如果我們把病毒程序給重定向了,是不是病毒就不能運行了,答案是肯定的。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/sppoolsv.exe]
Debugger=123.exe
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/logo_1.exe]
Debugger=123.exe
上面的代碼是以金豬病毒和威金病毒為例,這樣即使這些病毒在系統啟動項里面,即使隨系統運行了,但是由于映象劫持的重定向作用,還是會被系統提示無法找到病毒文件(這里是logo_1.exe和sppoolsv.exe)。
四、防劫持
1、權限限制法
打開注冊表編輯器,定位到
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/,選中該項,右鍵→權限→高級,取消administrator和system用戶的寫權限即可。
2、快刀斬亂麻法
打開注冊表編輯器,定位到[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/,把“Image File Execution Options”項刪除即可。
總結:以上關于映像劫持的解析與利用但愿對于大家查殺木馬病毒有所幫助,也希望大家能夠挖掘更多更實用的功能。
?
?
映像脅持的基本原理:
?
NT系統在試圖執行一個從命令行調用的可執行文件運行請求時,先會檢查運行程序是不是可執行文件,如果是的話,再檢查格式的,然后就會檢查是否存在。。如果不存在的話,它會提示系統找不到文件或者是“指定的路徑不正確等等。。??當然,把這些鍵刪除后,程序就可以運行! 映像脅持的具體案例:
引用JM的jzb770325001版主的一個分析案例:
蔚為壯觀的IFEO,稍微有些名氣的都掛了:
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/avp.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/AgentSvr.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/CCenter.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/Rav.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/RavMonD.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/RavStub.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/RavTask.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/rfwcfg.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/rfwsrv.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/RsAgent.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/Rsaupd.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/runiep.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/SmartUp.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/FileDsty.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/RegClean.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/360tray.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/360Safe.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/360rpt.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/kabaload.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/safelive.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/Ras.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KASMain.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KASTask.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KAV32.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KAVDX.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KAVStart.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KISLnchr.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KMailMon.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KMFilter.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KPFW32.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KPFW32X.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KPFWSvc.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KWatch9x.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KWatch.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KWatchX.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/TrojanDetector.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/UpLive.EXE.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KVSrvXP.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KvDetect.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KRegEx.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/kvol.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/kvolself.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/kvupload.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/kvwsc.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/UIHost.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/IceSword.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/iparmo.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/mmsk.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/adam.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/MagicSet.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/PFWLiveUpdate.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/SREng.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/WoptiClean.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/scan32.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/shcfg32.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/mcconsol.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/HijackThis.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/mmqczj.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/Trojanwall.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/FTCleanerShell.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/loaddll.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/rfwProxy.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KsLoader.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KvfwMcl.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/autoruns.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/AppSvc32.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/ccSvcHst.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/isPwdSvc.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/symlcsvc.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/nod32kui.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/avgrssvc.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/RfwMain.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KAVPFW.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/Iparmor.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/nod32krn.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/PFW.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/RavMon.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KAVSetup.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/NAVSetup.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/SysSafe.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/QHSET.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/zxsweep.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/AvMonitor.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/UmxCfg.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/UmxFwHlp.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/UmxPol.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/UmxAgent.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/UmxAttachment.exe
-------------------------------------------------------
從這個案例,我們可以看到這個技術的強大之處!很多的殺軟進程和一些輔助殺軟或工具,全部被脅持,導致你遇到的所有殺軟都無法運行!
試想如果更多病毒,利用于此,將是多么可怕的事情!
應用舉例:
1.病毒清除和防范
2.網吧網管 防止顧客關閉管理軟件,可將“任務管理器”劫持為IE瀏覽器,封鎖一些黑客軟件等等。
3.惡作劇,在MM面前SHOW一番。
手動清除使用映像劫持技術的病毒
2007-07-17 09:32:52 來源: 太平洋軟件 網友評論 0 條 進入論壇這幾天一直想要把這個經驗寫一下,總沒抽出時間,晚上加加班。樣本已經被殺毒U盤的監控干掉,本文回憶下修復過程。
現象
一媒體朋友的筆記本染毒,殺毒軟件起不來。開機就彈出若干個窗口,總也關不掉,直到系統內存耗盡死機,安全模式也是同樣的現象。無奈之下,嘗試重裝系統,不過,因為不少人都知道的原因,她只是格式化了C分區,系統重裝后,訪問其它分區后,再次出現重裝前的中毒癥狀。
從上述現象至少得到2個信息:1、病毒會通過自動播放傳播;2、病毒可能利用映像劫持。
故障現象
檢查故障機,重啟時,很自然的想到啟動到帶命令行的安全模式。運行regedit,結果失敗。msconfig一樣失敗。改regedit.exe為regedit.com,同樣失敗,沒有繼續嘗試改別的名字。重啟電腦進普通模式,想看一下具體中毒的現象。
登錄到桌面后,發現一個類似記事本的程序不停打開一個小對話框,速度很快,根本來不及關閉,任務管理器也調不出來。立即拿出我的殺毒U盤,其中常備ProcessExplorer、冰刃、Sreng。發現殺毒U盤沒有正常的啟動成功。雙擊冰刃/Sreng都宣告失敗。
解決步驟
分別對將icesword和Sreng主程序改名后運行,此時,那個象記事本的病毒程序已經打開近百個對話框,系統變得很慢。在WINXP的任務欄選中這一組窗口,關閉掉,先搶占一些系統資源再說。
然后,雙擊U盤上的ProcessExplorer,一眼看到有記事本圖標的三個進程,嘗試結束其中一個,發現結束后,程序會立即重新啟動。看來,直接KILL進程是不行的。結束不行,就用下凍結進程,分別選中這三個進程,單擊右鍵,在進程屬性中選擇Suspend(暫停)進程,病毒就不再彈出新的對話框,殺它就容易了。(參考下圖的示例:)
?
?
?
圖1 暫停進程?
?
切換到冰刃,簡單地通過進程管理,根據病毒進程的程序位置和文件名,輕松使用冰刃內置的文件管理器瀏覽到這幾個文件,復制一個備份到桌面,再單擊右鍵,選擇強制刪除。
(下圖演示冰刃的強制刪除):
?
?
?
圖2 強制刪除?
接下來,再切換到冰刃窗口中的注冊表編輯器,瀏覽到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options,逐個查看子注冊表鍵中對應的程序名,找到另一個病毒程序。(這里要說明一下,有網友認為只需要保留Your Image File Name Here without a path子鍵,其它都可以刪除。覺得這樣做還是有風險的,謹慎的做法還是一個子鍵一個子鍵的檢查,如果發現鍵值為病毒程序的路徑時,再刪除這個子鍵)。
?
?
?
圖3 清理注冊表?
?
?
同樣,需要使用冰刃的文件管理器將病毒程序強制刪除。這個病毒太惡劣了,我發現幾乎所有的殺毒軟件、防火墻、系統自帶的管理工具(regedit,msconfig,cmd,任務管理器)、第三方的系統輔助工具(Sreng、autoruns、冰刃)全部被劫持。
修復注冊表后,雙擊殺毒U盤中的毒霸,新版殺毒U盤增加了監視功能,在我點擊桌面備份的那幾個病毒程序時,殺毒U盤的監控立即干掉了病毒。然后打開資源管理器,瀏覽到其它分區根目錄,殺毒U盤又把另幾個分區根目錄下隱藏的病毒干掉。
另類解決方案
在你沒有冰刃、Process Explorer時,可以用其人之道,還治其人之身。編輯一個修改注冊表的批處理腳本,把病毒程序也給加到映像劫持的清單中,如下示例:
@echo off
echo Windows Registry Editor Version 5.00>ssm.reg
echo [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File
Execution Options/syssafe.EXE] >>ssm.reg
echo "Debugger"="syssafe.EXE" >>ssm.reg (如果發現多個病毒程序,就編輯多行)
rem regedit /s ssm.reg &del /q ssm.reg (如果發現多個病毒程序,就編輯多行)
重啟電腦后,病毒程序也啟動不了,呵呵,比較毒吧,然后把注冊表編輯器的程序名regedit.exe為其它的什么名字,雙擊后對注冊表的HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options項進行修改。再升級殺毒軟件殺毒。
總結
對普通用戶來說,遇到這類對抗殺毒軟件很強的病毒,實在很棘手。使用殺毒軟件輕松修復的可能性很小,手工修復對普通用戶來說,很有難度。
建議
1.使用組策略編輯器,關閉所有驅動器的自動播放功能(自動播放功能傳播了太多的病毒)。
2.及時升級殺毒軟件,防止被這類病毒襲擊,中招后再去處理,需要花更多功夫。
3.一旦中毒,應立即聯系專業反病毒工程師協助,重裝系統不是好方法。
?
總結
以上是生活随笔為你收集整理的安全技巧:映像劫持与反劫持技术的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 【HTML】嵌入
- 下一篇: 五边形镶嵌计算机程序,如何看待美国数学家