映像劫持

什么是映像劫持？是病毒吗？

不是病毒
所谓的镜像劫持，就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项，例如Rav.exe。然后再创建一个子键“Debugger="C:\WINDOWS\system32\drivers\”。以后只要用户双击 Rav.exe就会运行OSO的病毒文件，类似文件关联的效果。

参考资料： http://baike.baidu .康姆/view/1296399.htm

映像劫持是什么？

镜像劫持的意义 在针对杀毒软件方面，OSO病毒还采用了一种新技术，这种技术被成为镜像劫持，通过这种技术也能够将杀毒软件置于死地。
所谓的镜像劫持，就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项，例如Rav.exe。然后再创建一个子键“Debugger="C:\WINDOWS\system32\drivers\ceffen .康姆”。以后只要用户双击 Rav.exe就会运行OSO的病毒文件ceffen .康姆，类似文件关联的效果。镜像劫持的简单解决方法 如果电脑上有杀毒软件或360什么的但是中了镜像劫持是安全软件无法运行的话，
其实只需要更改一下安全软件的名字就能不被镜像劫持利用，个人认为这是最适合初学者的最简单办法。
首先找到安全软件的位置大部分都放在program files文件夹下。 找到名字例如拿360做例子原文件路径X:\Program Files\360safe原名为360Safe.exe 你把名字改为36015safe.exe(名字什么都行不过就不能是安全软件的名字)然后双击此安全软件就会过镜像劫持开始运行，后面的查杀就不需要说什么了吧。这小操作可以解决燃眉之急啦。

映像劫持是什么意思？

1.所谓的映像劫持IFEO就是Image File Execution Options （其实应该称为“Image Hijack”。） 它是位于注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。由于这个项主要是用来调试程序用的，对一般用户意义不大。默认是只有管理员和local system有权读写修改。 当一个可执行程序位于IFEO的控制中时，它的内存分配则根据该程序的参数来设定，而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据，最终得以设定一个程序的堆管理机制和一些辅助机制等。出于简化原因，IFEO使用忽略路径的方式来匹配它所要控制的程序文件名，所以程序无论放在哪个路径，只要名字没有变化，它就运行出问题。 先看看常规病毒等怎么修改注册表来达到随机启动吧。 病毒、蠕虫和，木马等仍然使用众所皆知并且过度使用的注册表键值，如下： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce 等等。 2.另外一种劫持的方法是:在目标程序目录下建立与系统DLL相同的导出函数,执行内容为 f=LoadLibrary(byref "c:\windows\system32\"+dllname) f=GetProcAddress(byval f,byref procname) !jmp f '(PowerBasic) ,在DLL初始化的时候可以干一些坏事,以此来达到改变原应用程序的目的详见: http://baike.baidu .康姆/view/1008480.htm 本被网友采纳

电脑里的杀毒软件检测到“映像劫持”，要求清楚该项

所谓的映像劫持（IFEO）就是Image File Execution Options，位于注册表的[HKEY_LOCAL MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]由于这个项主要是用来调试程序用的，对一般用户意义不大。默认是只有管理员和local system有权读写修改。 通俗一点来说，就是比如我想运行QQ.exe(记事本），结果运行的却是运行了notepad.exe(记事本），也就是说在这种情况下，QQ程序被notepad给劫持了，即你想运行的程序被另外一个程序代替了。 映像劫持病毒 虽然映像劫持是系统自带的功能，对我们一般用户来说根本没什么用的必要，但是就有一些病毒通过映像劫持来做文章，表面上看起来是运行了一个程序，实际上病毒已经在后台运行了。 但是与一般的木马，病毒不同的是，就有一些病毒偏偏不通过这些来加载自己，不随着系统的启动运行，而是等到你运行某个特定的程序的时候运行，这也抓住了一些用户的心理，一般的用户，只要发觉自己的机子中了病毒，首先要察看的就是系统的加载项，很少有人会想到映像劫持，这也是这种病毒高明的地方。 映像劫持病毒主要通过修改注册表中的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution options] 项来劫持正常的程序，比如有一个病毒 vires.exe 要劫持 qq 程序，它会在上面注册表的位置新建一个qq.exe项，再这个项下面新建一个字符串的键值 debugger 内容是：C:\WINDOWS\SYSTEM32\ABC.EXE(这里是病毒藏身的路径)即可。当然如果你把该字符串值改为任意的其他值的话，系统就会提示找不到该文件。 映像胁持的基本原理 WINDOWS NT系统在试图执行一个从命令行调用的可执行文件运行请求时，先会检查运行程序是不是可执行文件，如果是的话，再检查格式的，然后就会检查是否存在。如果不存在的话，它会提示系统找不到文件或者是“指定的路径不正确”等等。把这些键删除后，程序就可以运行！ 映像劫持的应用 ★禁止某些程序的运行 先看一段代码： Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qq.exe] "Debugger"="notepad.exe" 使用记事本，把上面这段代码复制到记事本中，并另存为 ABC.reg，双击导入注册表，打开你的QQ看一下效果！ 这段代码的作用是双击运行QQ的时候，系统都打开记事本，原因就是QQ被重定向了。如果要让QQ继续运行的话，把notepad.exe改为QQ.exe的绝对路径就可以了。 ★偷梁换柱恶作剧 每次我们按下CTRL+ALT+DEL键时，都会弹出任务管理器，想不想在我们按下这些键的时候让它弹出命令提示符窗口，下面就教你怎么玩： Windows Registry Editor Version 5.00 [HKEY_LOCAL MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe] "Debugger"="C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe" 将上面的代码在记事本中另存为 task_cmd.reg，双击导入注册表。按下那三个键看是什么效果，不用我说了吧，是不是很惊讶啊！精彩的还在后头呢！

什么叫映像劫持

映像劫持
windows映像劫持技术（IFEO）
基本症状：可能有朋友遇到过这样的情况，一个正常的程序，无论把他放在哪个位置或者是重新用安装盘修复过的程序，都无法运行或者是比如运行A却成了执行B的程序了，而改名后却可以正常运行。
既然我们是介绍IFEO技术相关，那我们就先介绍下：
一，什么是映像胁持（IFEO）？
所谓的IFEO就是Image File Execution Options
在是位于注册表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
由于这个项主要是用来调试程序用的，对一般用户意义不大。默认是只有管理员和local system有权读写修改
先看看常规病毒等怎么修改注册表吧。
那些病毒、蠕虫和，木马等仍然使用众所皆知并且过度使用的注册表键值，如下：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
等等。。。。。。。。
二，具体使用资料：
QUOTE:
下面是蓝色寒冰的一段介绍：
@echo off //关闭命令回显
echo 此批处理只作技巧介绍，请勿用于非法活动！//显示echo后的文字
pause //停止
echo Windows Registry Editor Version 5.00>>ssm.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\syssafe.EXE] >>ssm.reg
echo "Debugger"="syssafe.EXE" >>ssm.reg //把echo后的文字导出到SSM.reg中
regedit /s ssm.reg &del /q ssm.reg //导入ssm.reg并删除
使SSM失效HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\svchost.exe项下的"Debugger"="abc.exe" 意思是不执行svchost.exe而执行abc.exe
QUOTE:
可能说了上面那么多，大家还弄不懂是什么意思，没关系，我们大家一起来看网络上另一个朋友做得试验:
如上图了，开始-运行-regedit,展开到：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
然后选上Image File Execution Options，新建个项，然后，把这个项（默认在最后面）然后改成123.exe
选上123.exe这个项，然后默认右边是空白的，我们点右键，新建个“字串符”，然后改名为“Debugger"
这一步要做好，然后回车，就可以。。再双击该键，修改数据数值（其实就是路径）。
把它改为 C:\windows\system32\CMD.exe
（PS：C：是系统盘，如果你系统安装在D则改为D：如果是NT或2K的系统的话，把Windows改成Winnt,下面如有再T起，类推。。）
好了，实验下。~ .
然后找个扩展名为EXE的，（我这里拿IcesWord.exe做实验），改名为123.exe。。
然后运行之。。嘿嘿。出现了DOS操作框，不知情的看着一闪闪的光标，肯定觉得特鬼异~^_^。
一次简单的恶作剧就成咧。。
同理，病毒等也可以利用这样的方法，把杀软、安全工具等名字再进行重定向，指向病毒路径
SO..如果你把病毒清理掉后，重定向项没有清理的话，由于IFEO的作用，没被损坏的程序一样运行不了！
三，映像胁持的基本原理：
QUOTE:
NT系统在试图执行一个从命令行调用的可执行文件运行请求时，先会检查运行程序是不是可执行文件，如果是的话，再检查格式的，然后就会检查是否存在。如果不存在的话，它会提示系统找不到文件或者是“指定的路径不正确等等。
当然，把这些键删除后，程序就可以运行！
四，映像胁持的具体案例：
引用JM的jzb770325001版主的一个分析案例：
QUOTE:
蔚为壮观的IFEO，稍微有些名气的都挂了：
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe
从这个案例，我们可以看到这个技术的强大之处！很多的杀软进程和一些辅助杀软或工具，全部被胁持，导致你遇到的所有杀软都无法运行！
试想如果更多病毒，利用于此，将是多么可怕的事情！
五:如何解决并预防IFEO？
方法一： 限制法(转自网络搜索)
它要修改Image File Execution Options，所先要有权限，才可读，于是。一条思路就成了。
开始-运行-regedt32 （这个是系统的32位注册表，和注册表操作方法差不多）
然后还是展开到： )
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
方法二:
把[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]项删除即可