- UID
- 1
- 主题
管理员
- CN币
- 币
- 威望
- 值
- 报料奖
- 元
- 贡献
- 值
- 回复
- 帖
- 日志
- 好友
- 帖子
- 主题
- 听众
- 收听
- 性别
- 保密
|
<div id="googlead"> <script language="JavaScript" src="/ad/gg-250.js"></script></div><p><span style="font-size: small"> (注意,如果你需要尝试,文本中的\需替换为半角的斜线)<br />
<br />
其实映像劫持是系统自带的功能,病毒通过修改注册表来实现对杀软的劫持,当你运行杀软的时候,他就会自动把目标指向病毒的路径,<br />
<br />
从而来运行病毒,下面说一下镜像劫持的原理吧,下面是从网上收集的资料!!!<br />
<br />
系统在试图执行一个从命令行调用的可执行文件运行请求时,会先检查运行程序是不是可执行文件,<br />
<br />
如果是的话,才会再检查格式的,最后才会检查是否存在。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确“等错误。把这些键删除后,程序就可以正常运行了。<br />
<br />
虽然映像劫持是系统自带的功能,对我们一般用户来说根本没什么用的必要,但是就有一些病毒通过映像劫持来做文章,表面上看起来是运行了一个程序,实际上病毒已经在后台运行了。<br />
<br />
大部分的病毒和木马都是通过加载系统启动项来运行的,也有一些是注册成为系统服务来启动,他们主要通过修改注册表来实现这个目的,主要有以下几个方面:<br />
<br />
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*<br />
<br />
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*<br />
<br />
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs<br />
<br />
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify<br />
<br />
但是与一般的木马、病毒不同的是,就有一些病毒偏偏不通过这些来加载自己,不随着系统的启动运行,而是等到用户运行某个特定的程序的时候运行,这也抓住了一些用户的心理。</span></p>
<p><span style="font-size: small"> 一般的用户,只要发觉自己的机子中了病毒,首先要察看的就是系统的加载项,很少有人会想到映像劫持,这也是这种病毒高明的地方。<br />
<br />
映像劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Executionoptions 项来劫持正常的程序,比如有一个病毒bingdu.exe要劫持QQ程序,它会在上面注册表的位置新建一个QQ.exe项,在这个项下面新建一个字符串的键值“debugger”内容是:C:\WINDOWS\SYSTEM32\bingdu.exe即可。当然如果你把该字符串值改为任意的其他值的话,系统就会提示找不到该文件。<br />
<br />
最近我的电脑老是被舍友侵占,每时每刻都在玩网游,所以这几天很少上网,所以到今天才能把剩余的那十几个贴的任务发完。<br />
<br />
因为电脑经常被别人玩,如果经常叫他不要玩的话,又不太好意思所以我想到用镜像劫持来劫持了那个网游的程序,具体请看说明 ,注:舍友玩的是神泣首先找到网游的进程名称,运行网游,发现进程是Updater.exe 更新的意思,大概是每运行游戏都要自动下载更新把然后定位到注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution在左边新建一个项updater.exe,然后在右边新建一个debugger的字符串值,其数据内容就是我想指向的程序路径,比如我把它指向到QQ的运行路径(或者随便输入,指定一个空路径也行)。<br />
<br />
这样的话,舍友运行游戏的时候就会打开QQ,感觉这样太明显了,想到用一个恶作剧小程序,比如运行之后就会弹出内存不能“read”之类的,网上搜了很久也没找到想用VB编一个,现在还没时间,有空再说了现在我只是指向一个空路径,它运行游戏的时候就什么也没运行。<br />
<br />
原理就这样了。<br />
<br />
下面是我做的注册表导入命令,把下面的命令粘贴到新的TXT文档中,另存为.REG后缀就行了,双击导入就行了<br />
<br />
Windows Registry Editor Version 5.00<br />
<br />
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\updater.exe]<br />
<br />
"Debugger"="125.exe"<br />
<br />
如果要恢复的话,就导入下面的命令就行<br />
<br />
Windows Registry Editor Version 5.00<br />
<br />
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\updater.exe]<br />
<br />
"Debugger"="125.exe"<br />
<br />
就多一个减号<br />
<br />
其实要反病毒的镜像劫持的话,原理跟上面一样的<br />
<br />
Windows Registry Editor Version 5.00<br />
<br />
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\杀软的进程]<br />
<br />
"Debugger"="125.exe"<br />
<br />
举一反三就行了!</span></p> |
|
湘公网安备: 43048202000025号
信息产业部备案:湘ICP备17012258号
晒晒照片 都来围观哈
91年女孩想早点遇到你,也想余生都是你
家里催着找个 男朋友.有意向的男士来看看吧
26岁小姐姐求脱单,进来了解一下
【常宁之星】第248期:忘性大的~詹阳花
不以结婚为目的的请勿扰
常宁人注意啦!这家早餐店生产销售有害食品
常宁二中新校区:施工“后顾无忧” 建设全
万科紫台:长沙天奕设计室内设计实景欣赏
天奕园区别墅设计案例-现代简约风
塔山风景好
客厅空间设计案例分析
太洋气!常宁公交车竟然有⑥种支付方式,你还
常宁万象阳光城大门旁,有一个专属女人的秘
2016最新方法 pageadmin3.0去掉顶部和底部
惊险!常宁一女子被骗近5万元,常宁警方紧急
常宁街采丨600元—1000元,常宁随份子
试营业:这个老板拿出30万现金请你吃一场全
IP卡
狗仔卡
发表于 2010-12-28 00:19:02
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
发表于 2011-1-31 00:12:09
