”映像劫持技术的应用(详细)[转载]

在这个教程里，虽然你可能会看到很多不认识的东西，但其实都是很简单的，而且我的教程已经很详细了，我们要的只是耐心!

[又见“映像劫持”（XX杀毒软件打不开、360打不开）] 这篇文章中也有非常详细的图文说明，以及如何应对。
▓ 教程目的：

             学会怎样应用映像劫持技术，可以让你在入侵和防毒等方面的应用中得到诸多的好处。比如你可以让别人的

             杀软运行不了，可以让你不想让别人打开的软件打开不了，等等。但我不赞同大家用来做坏事啊，哈哈

 

▓ 教程原理：

            映像胁持的基本原理:

                  WINDOWS NT系统在试图执行一个从命令行调用的可执行文件运行请求时，先会检查运行程序是不是可执行文件，

                  如果是的话，就再检查他的格式，然后再检查它是否存在。如果不存在的话，它就会提示系统找不到指定文件或

                  者是“指定的路径不正确”。当我们把这些键值删除后，程序就可以运行！还有更多的原理，在我教程中给大家

                  附带的文档里，大家去看看吧！

 

▓ 教程里的工具：Windows映像劫持利用程序 — 因为他被瑞星报毒，我就不打包给大家了，以防误会，呵呵

   软件下载地址：http://www.hack58.com/Soft/html/15/29/2007/2007072310979.htm

 

 

▓ ▓ ▓ 教程步骤：在这里我做就只做3个小试验了，其他的都和这个类似

 

╇══→ 试验1：

                这里我就拿我的QQ来做试验吧，看看运行了批处理之后，能不能运行QQ了（当然你把QQ的进程名字改为其他的

                进程的名字也是可以的，比如杀软啊什么的，那样他们也就不能运行了）

禁止QQ程序运行的方法 ：

做个批处理1.bat，包含以下命令：

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQ.exe" /v debugger /t reg_sz /d QQ.exe /f

取消禁止QQ程序运行的方法：

做个批处理2.bat，包含以下命令：

reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQ.exe" /f

▓上面这段批处理命令reg add里的reg add的意思是在注册表里添加和删除映像劫持的注册表项

 

 

╇══→ 试验2：

                我电脑里有个结束不了的进程liveupdate.exe,或者确切的说是在我结束了它之后，过几秒钟它又会重新开始

                它的进程，这点类似与病毒的进程，但它在我的电脑上是个正常的进程（和我的联想电脑有关的进程，不知

                道是什么，但结束了它的进程也没什么关系的），这里我就用映像劫持来禁止了他的进程，看他还运行不？

方法和上面的差不多，就是把上面的批处理里的QQ.exe改为liveupdate.exe就可以了

我用了映像劫持，再结束了他的进程，它就不可能再运行了吧，哈哈

╇══→ 试验3：

               映像劫持之“乾坤大挪移法”

　　映像劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File

Execution options 项来劫持正常的程序，比如有一个病毒 vires.exe 要劫持 qq 程序，它会在上面注册表的位置新建一个qq.exe

项，再这个项下面新建一个字符串值“debugger” ，内容：C:\WINDOWS\SYSTEM32\VIRES.EXE(这里是病毒藏身的路径)。当然

如果你把该字符串值改为任意的其他值的话，系统就会提示找不到该文件。

   这里我就调用我C盘里的一个QQ木马生成器了，它的路径是：C:\QQmm.exe，看我做吧

   看到了吧，当我们打开QQ后，真正打开的却不是QQ了，而是我们指定的QQ木马生成器了

 

▓ ▓ ▓ 思路拓展：

1、我们再来做个让杀软不能运行的批处理，其实没什么难的，只要把杀软的进程都列出来，再用映像劫持来使他们都不能运行，但

   自己可千万不要运行啊，要不杀软运行不了了，可不要来找我哦。呵呵，其实你运行了也没什么的，耐着心接着往下看就可以解

   决这个问题了。

2、这里有个工具，下载地址我已经在上面给出了，我们来看看。

   其实这个工具的原理我们现在已经基
本掌握了，你想，这样的一个小软件做起来是不是很简单了啊。哈哈，那就多学习下批处理

   命令吧，真的很有用的。

我们来看看这个程序都有什么功能：

[1] 哈哈我来利用咯             — 这里就是大家刚才看我做的，可以用批处理来使你指定的进程不能启动
[2] 看看常用杀毒软件进程名称   — 这个是他列出了很多杀软的进程，我们入侵的时候就可以结束他们啦
[3] 修补漏洞                   — 这个将会在下面讲到，有2种方法来修补漏洞，也就是预防映像劫持啦

 

▓ ▓ ▓ 怎样预防映像劫持：介绍2种方法

 

★权限限制法

我们想啊，如果把注册表中的 Image File Execution Options 项的权限设置为禁止修改的话，那不就谁也无法修改了吗?我们打

开注册表编辑器，进入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

，选中该项，右键——>权限——>高级，将administrator 和 system 用户的权限调低即可。

 

★快刀斩乱麻法

打开注册表编辑器，进入把HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution

Options项，直接删掉Image File Execution Options 项即可解决问题。不过这个有点危险，可能会把有用的删掉哦。

 

 

▓ ▓ ▓ 方法利用：

1、入侵的时候可以用映像劫持来使别人的杀软不能运行，但映像劫持只在结束了别人的杀软进程之后，才是有用的。因为映像劫持

   是让别人的杀软在下次开启的时候运行不了，而对现在还在运行的杀软是没什么作用的。

2、还是在入侵的时候，我们可以利用试验3里的方法，让别人的杀软指向我们的木马，呵呵，这招有点阴了啊，当别人打开他的杀软

   的时候，却打不带杀软，打开的却是我们的木马

3、被别人入侵了，被放了木马，或者中了病毒，而又不能结束他们的进程时。这时候我们就可以用到映像劫持来让木马或病毒的进

   程了在下次开机的时候不能运行了。方法就像我们刚才禁止QQ运行的方法那样。

 

▓ 给新手的话：

           我觉得对我们新手来说，多学点批处理命令，还有注册表，会对我们的学习的道路有很大的益处的，我在教程里也附带

           了批处理的常用的命令和他的应用，大家没事多去看看，相信会对你有很大的益处的。其实我也不是很懂批处理的，不

           过用的多了，自然知道的也就多了。另外，大家在135入侵抓鸡的时候最好也要以手动为好，这样会对你的批处理命令

           的记忆有很大的促进的。

 

 

▓ 我的QQ:296991904

看完教程还有不懂的，欢迎来加我的QQ，让我们在这条路上一起交流、一起成长吧!

 

好了，教程就到这里啦，拜拜 ^_^

 

                                                                                          教程日期：2008.3.27