病毒的常见伎俩-----IEFO劫持简介
介绍
IEFO劫持,也称作映像文件劫持, 是Image File Execution Options的简称。Image File Execution Options是位于注册表的一个项。所谓的IEFO劫持就是病毒修改这个项的内容,导致常见的杀软,安全软件无法启动。
IEFO劫持的基本原理:
IEFO劫持的对象是所有的可执行文件,即扩展名为exe的文件。可执行文件的启动顺序为
用户请求->查看是否有调试选项->操作系统启动程序。
病毒只要在第二步控制程序的运行即可,试想一个调试不通过的程序,系统肯定是不让启动的.
IEFO劫持的方法:
IEFO劫持靠的就是这个注册表的这个项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改。
下面我们就来模拟病毒是如何劫持杀软吧。QQ现在是装机必备的软件,那么先拿这只可怜的企鹅开刀
(注:不会对QQ程序造成影响)
1.打开注册表,在“运行”中输入regedit
2.转到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
1.jpg
(86.24 KB)
2008-11-20 12:58
3.添加qq.exe的项
2.jpg
(105.47 KB)
2008-11-20 12:58
4.选中qq.exe项,新建字符串值
3.jpg
(101.93 KB)
2008-11-20 12:58
5.串名必须是debugger,然后按下图填写
4.jpg
(100.43 KB)
2008-11-20 12:58
6.填好后,运行qq,查看效果
5.jpg
(61.27 KB)
2008-11-20 12:58
7.换个程序,这次选择的是命令提示符的路径,再来
6.jpg
(91.46 KB)
2008-11-20 12:58
8。
,运行qq,怎么运行了命令提示符
7.jpg
(63.84 KB)
2008-11-20 12:58
结论
IEFO劫持其实就是程序的重定向,有点偷龙转凤的味道。运行A程序,结果却运行了B程序,当B程序不存在,程序无错无法运行。
最后最重要的一点,IEFO劫持仅仅针对文件名劫持,不针对文件本身。
比如我把我最心爱的war3.exe改成qq.exe,弹出的就是命令行
,懂了这招的话,水平菜点的话,魔兽都玩不了了
实验完毕,删除qq.exe这个项,一切回复正常。
有不足之处,还望大家指出
by:notiger
介绍
IEFO劫持,也称作映像文件劫持, 是Image File Execution Options的简称。Image File Execution Options是位于注册表的一个项。所谓的IEFO劫持就是病毒修改这个项的内容,导致常见的杀软,安全软件无法启动。
IEFO劫持的基本原理:
IEFO劫持的对象是所有的可执行文件,即扩展名为exe的文件。可执行文件的启动顺序为
用户请求->查看是否有调试选项->操作系统启动程序。
病毒只要在第二步控制程序的运行即可,试想一个调试不通过的程序,系统肯定是不让启动的.
IEFO劫持的方法:
IEFO劫持靠的就是这个注册表的这个项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改。
下面我们就来模拟病毒是如何劫持杀软吧。QQ现在是装机必备的软件,那么先拿这只可怜的企鹅开刀
(注:不会对QQ程序造成影响)
1.打开注册表,在“运行”中输入regedit
2.转到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
1.jpg
(86.24 KB)
2008-11-20 12:58
3.添加qq.exe的项
2.jpg
(105.47 KB)
2008-11-20 12:58
4.选中qq.exe项,新建字符串值
3.jpg
(101.93 KB)
2008-11-20 12:58
5.串名必须是debugger,然后按下图填写
4.jpg
(100.43 KB)
2008-11-20 12:58
6.填好后,运行qq,查看效果
5.jpg
(61.27 KB)
2008-11-20 12:58
7.换个程序,这次选择的是命令提示符的路径,再来
6.jpg
(91.46 KB)
2008-11-20 12:58
8。
,运行qq,怎么运行了命令提示符
7.jpg
(63.84 KB)
2008-11-20 12:58
结论
IEFO劫持其实就是程序的重定向,有点偷龙转凤的味道。运行A程序,结果却运行了B程序,当B程序不存在,程序无错无法运行。
最后最重要的一点,IEFO劫持仅仅针对文件名劫持,不针对文件本身。
比如我把我最心爱的war3.exe改成qq.exe,弹出的就是命令行
,懂了这招的话,水平菜点的话,魔兽都玩不了了
实验完毕,删除qq.exe这个项,一切回复正常。
有不足之处,还望大家指出
by:notiger
作者:admin@常来吧
地址:http://www.chl8.com/post/584/
版权所有!转载时请必须遵守以链接形式署名-非商业性使用-完整方式共享!
欢迎在常来吧留言&评论!
文章来自: 本站原创
Tags: 上一篇: 
缩略语英汉解析
缩略语英汉解析下一篇: 
自动更新导致开机svchost
自动更新导致开机svchost
.text:''):(d.getSelection?d.getSelection():'');void(keyit=window.open('http://my.poco.cn/fav/storeIt.php?t='+escape(d.title)+'&u='+escape(d.location.href)+'&c='+escape(t)+'&img=http://www.h-strong.com/blog/logo.gif','keyit','scrollbars=no,width=475,height=575,left=50,top=50status=no,resizable=yes'));keyit.focus();){kind=link}