• [Windows]关于映像劫持


    什么是映像劫持

    也许你曾遇到过这种情况:无论你将软件安装在什么地方,在运行的时候总会出现“系统找不到指定的文件”的错误提示,导致软件无法运行。如果你将软件的exe文件改个名称,就可以正常运行了。这种现象就叫做映像劫持。映像劫持是一种影响系统正常运转的手段,很多病毒、木马都会使用这种手段阻止安全软件的运行。

    映像劫持的原理

    映像劫持是利用WindowsIFEOImage File Execution Options)功能来实现的。IFEO实际上是Windows的一项正常功能,主要用于调试程序,其初衷是在程序启动的时候开启调试器来调试程序,这样一来可以在调试器中观察程序在难以重现的环境中的行为。例如,某个程序在随用户登录自动启动时会出错,但在登录后手动启动时却一切正常,这就可以通过IFEO设置一个调试器,无论程序何时启动,都会开启这个调试器对其进行调试,以便找出问题。

    在注册表中,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options就是保存IFEO设置的地方。下面来演示一下IFEO正常的用法(假设你已经安装了Visual Studio):

    打开注册表编辑器,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options中添加一个新的项,取名为“calc.exe”。

    打开刚刚创建的calc.exe项,在右侧的窗格中右击,新建一个字符串值,取名为“Debugger”,取值为“vsjitdebugger.exe”。关闭注册表编辑器。

    此时运行系统自带的计算器,会弹出一个应用程序错误窗口,选择“调试程序”,就会启动Visual Studio对计算器进行调试。

    当你运行calc.exe的时候,系统首先会在注册表的Image File Execution Options中寻找名为“calc.exe”的项,如果存在该项,则继续寻找名为“Debugger”的字符串值,如果找到,则转而启动Debugger值中指定的程序,即vsjitdebugger.exe,并将calc.exe的完整路径作为参数传递给它。所以,当你运行计算器的时候,系统实际上执行的是“vsjitdebugger.exe C:\Windows\System32\calc.exe”这个命令行,而不是“calc.exe”。

    IFEO的初衷是很好的,但它的设计显然不够完善。在上面的例子中,如果你将“vsjitdebugger.exe”改成“cmd.exe”,那么运行计算器的时候却打开了一个命令行窗口;如果改成任意一个不存在的程序名称,例如“abc”,那么运行计算器的时候就会出现“系统找不到指定的文件”的错误,此时calc.exe这个程序(映像)被“劫持”了。

    由此可以看出,映像劫持并不等于IFEO,反之亦然。映像劫持的正式英文名称其实是“Image Hijack”。

    下面是我开发的一个用于编辑IFEO的小程序,其前身是skycn上的“映像劫持编辑器”。该程序由于被扫描出含有病毒,被停止下载了。对此我想说的是,IFEO属于注册表的敏感区域,修改这个区域的程序都有可能被杀毒软件封杀。如果你不放心的话,最好还是不要使用了。

     

    ==========

    IfeoEditor

    系统支持:XP/Vista/Win7

     

    最新版本:2.0.0 Beta

    下载地址:https://files.cnblogs.com/zplutor/IfeoEditor_2.0.0_Beta.rar


    作者:Zplutor
    出处:http://www.cnblogs.com/zplutor/
    本文版权归作者和博客园共有,欢迎转载。但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。

  • 相关阅读:
    关于linux curl 地址参数的问题
    mac系统安装php redis扩展
    Shell获取上一个月、星期的时间范围
    python redis使用
    python pycurl模块
    Memcached常规应用与分布式部署方案
    mysql忘记密码重置(mac)
    shell命令从目录中循环匹配关键词
    python两个文件的对比
    MySQL优化方案
  • 原文地址:https://www.cnblogs.com/zplutor/p/1959133.html
Copyright © 2020-2023  润新知