問:什麼是映像劫持?
答:我查找了許多資料但是沒有太明確的解釋,大概的解釋是用XXX.exe程序用另一個程序調試啓動,但是如果XXX.exe指向的程序不存在時或爲無效路徑時,該程序就不能啓動,現在有的病毒就是利用了這個原理,全面地封殺對付它的工具,病毒的映像劫持會把劫持的文件指向到病毒文件,這樣當我們雙擊.exe文件時,實際就是激活病毒!!包括“冰刀”等殺毒高手,一些主流的殺軟無一倖免!!爲了更好的讓大家理解,我在電腦上做了一個映像劫持“安全衛士360”的操作,通過修改註冊表項達到360不能啓動的目的: [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/360Safe.exe]
第一步:打開註冊表:在註冊表編輯器中找到“Image File Execution Options”後,鼠標右鍵建立一個“項”
第二步:命名爲“360Safe.exe”就是我們要封殺的項目。
第三步:在註冊表的右邊點鼠標右鍵建立一個新的“字符串值”命名爲
“Debugger”並修改參數爲"Debugger"="abcd.exe"意思就是用abcd.exe調試啓動(abcd.exe並不存在,必定失敗!)
第四步:退出註冊表編輯器,雙擊打開“安全衛士360”,出現瞭如下的提示。
提示:也可以用它指定打開其它程序:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/360Safe.exe]
"Debugger"="C://WINDOWS//pchealth//helpctr//binaries//msconfig.exe"
點擊360打開了“系統配製實用程序”結果是不是可以讓你瘋掉!!你可以試驗一下!!
問:如何保護我們不被病毒映像劫持呢?
答:我們要具備一些安全防範意識:具體方法就是以權限的方式拒絕修改註冊表此項目。如圖:
問:如果我們知道了病毒的主文件的名字,是不是也可以反殺病毒?
答:殺毒是不可以的,但是應該是可以控制病毒啓動不了,按圖解的方式操作,利用此方法停止病毒運行!(前提是可以修改註冊表,如果打不開註冊表可以使用Autoruns這個小程序幫助打開註冊表,改好後重啓電腦生效,可能會彈出提示框,忽略它)再利用我們的殺毒軟件刪除或手動刪除。
給朋友們找到一個批處理命令,有興趣的朋友可以試驗一下。
@echo off
echo 《毒不天下》提示:此批處理只作技巧介紹,請勿用於非法活動!
pause
echo Windows Registry Editor Version 5.00>> kill.reg
echo [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/病毒名.EXE] >>kill.reg
echo "Debugger"="病毒名.EXE" >>kill.reg
regedit /s kill.reg &del /q kill.reg
修改“病毒名.exe”爲你想禁止的病毒的文件名(如:威金的logo1_.exe,熊貓燒香的FuckJacks.exe)。把以上內容保存爲kill.bat,雙擊運行。
這樣用這些文件名的病毒就不能在你的系統中運行了。
