白银时代
一个人的精彩

【白银时代】备注：此文很实用！以前就被劫持过好几次，今天再一次遇上了，觉得有必要让大家了解一下，文章我尽量写得通俗一点，那些难懂的计算机术语我尽可能的减少。
Ps：因为此文是我在杀完毒之后补的，当时忘记截图了，现在的图片都是从网上找来的。

        以前转载过一篇很详细的映像劫持技术的帖子，有兴趣的可以看看。

        “映像劫持”技术简单点来说就是“通过修改注册表，当你运行A.exe的时候却运行了B.exe程序”
这一点很重要，就是强制替换运行程序。

        所以很多新手会经常性的在网上发帖子说“求助！我的杀毒软件打不开了！我的360打不开了！”其实这种情况一般都是被劫持了。

        映像劫持基本症状：可能有朋友遇到过这样的情况，一个正常的程序，无论把它放在哪个位置，或者是一个程序重新用安装盘修复过，都出现无法运行的情况，或是出错提示为“找不到文件”或者直接没有运行起来的反应，或者是比如运行程序A却成了执行B（可能是病毒），而改名后却可以正常运行的现象。
　　遭遇流行“映像劫持”病毒的系统表现为常见的杀毒软件、防火墙、安全检测工具等均提示“找不到文件”或执行了没有反应，于是大部分用户只能去重装系统了，但是有经验或者歪打正着的用户将这个程序改了个名字，就发现它又能正常运行了~~

        映像劫持技术介绍（普通用户可以略过）
        映像劫持 即IFEO是英语 Image File Execution Options的缩写，位于注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 位置。
所以，对于映像劫持的实现仅仅通过修改注册表就可以实现。                                                                                                                                                                 

        IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。由于这 个项主要是用来调试程序用的，对一般用户意义不大。默认是只有管理员和local system有权读写修改。
关于映像劫持的效果：如果对A程序实行映像劫持 劫持为 B ，那么如果你要运行程序A 点击后却实际是在运行B。

        下面让我来 用Foobar2000来劫持千千静听看一下效果（此图片较大，可以保存到电脑上查看）：

        上面的过程大致就是 打开 注册表编辑器（我用的冰刃）依次打开 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 然后建立一个ttplayer.exe项 再建立一个字符值 名称为debugger 值为Foobar2000的路径，点击千千静听而实际运行的却是Foobar2000。这就是 映像劫持的效果。 

        如果使用注册表文件导入，同样可以实现IFEO，如下：
 

WindowsRegistryEditorVersion5.00　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\qq.exe]
Debugger=gfjywill

        以上保存为reg文件然后合并就能实现 映像劫持了，上面实现的是劫持qq 。
因为这个debugger的值不是一个程序路径，所以如果运行QQ则会出现提示找不到文件的 提示。

        IEFO对于一般人来说可能没很大用处，但是对于有些病毒来讲，却是很有帮助的，因为病毒可以通过进行对杀软的劫持来实现组织杀软的运行，更有些把debugger值设置为自己的路径，使得运行杀软时却使得病毒本身运行，这些病毒有人称“映像劫持病毒”。

        上面这个图就是，以前截得的，其中包裹瑞星，nod32等多个杀软的重要进程，这样就是杀软彻底不能运行，反而运行了 TASKMAN.EXE 
另外，还有一种劫持时把debugger对象设置为shutdown.exe，好毒..劫持了 360等工具，如果运行这些东西，就会关机。
由此可见，通过映像劫持可以比较简单而且不易发现的实现病毒的自启动，或限制杀软的运行。

        不过，通过映像劫持只有很少数个进程不能被劫持，这样可以说明 通过映像劫持也可以实现限制病毒的运行！不过，这种限制只能仅仅针对几种病毒，数量多了可能会与正常的进程重名而使得正常的程序无法使用。                                                                                &n
bsp;                                                                                

        关于映像劫持的解决与修复：映像劫持的修复其实很简单，通过注册表编辑器把劫持项删除就可以了，不过这种方法往往因为病毒的“捣乱”而变的不能通过regedit来进行删除，这里我推荐使用其他工具：如冰刃

下面演示一下 对刚刚进行劫持的千千静听来进行恢复：

上面的过程就是 通过冰刃打开 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 把下面的千千静听的项删掉。

但是，这样找到映像劫持的项，在进行删除的方法有时很麻烦，这是就需要一些专用的映像劫持 工具（一些关于映像劫持病毒的专杀提供删除IFEO的功能）。现在在网上搜索“映像劫持修复工具”能搜到很多结果，有很多种类，但是 在这里我不建议使用那些，因为有些所谓的“修复”，就是直接吧整个“Image File Execution Options ”项都删掉，这种方法实现起来很简单，但是对于这种方法我还是不太喜欢。 在这里建议用下面的方法：

        一些杀毒工具已经提供关于映像劫持的解决的方法，如： 金山清理专家的安全扫描就可以查出映像劫持并可以修复，这中修复是很不错的。如果没安装清理专家可以下载 手工杀毒工具集   其中工具如XueTr 或wsyscheck就能解决映像劫持的问题。  
要说明一下，在wsyscheck中映像劫持的管理是在“安全检查”下的“常规检查”中的禁用程序管理；而XueTr直接就有映像劫持相关的内容（见上图）。

        映像劫持的防御：因为映像劫持是通过注册表来实现的，所以做好注册表方面的防御就好了。
可以设置 Image File Execution Options 取消administrator和system用户的写权限。（去除普通用户的写入权限）。   或者，如果有注册表监控软件可以设置添加这个项的监控，防止病毒的写入。

        就到这里。关于映像劫持，接触起来似乎不是很难，但是有些人在杀毒时往往忘记了这里，所以就造成的一些“为什么杀毒软件不能运行”，“运行杀软就关机”之类的问题了，注意一下这些地方，会在于处理病毒时省下很多力。
        此文来源：http://hi.baidu.com/guangfengjiyuewill

作者: 白大王

该日志由 白大王 于 2009年09月12日 发表在 系统辅助 分类下， 你可以发表评论。
在保留原文地址及作者 白大王 相关链接的情况下引用到你的网站或博客。
转载请注明: 又见“映像劫持”（XX杀毒软件打不开、360打不开） | 白银时代
标签: 360, IFEO, Image File Execution Options, 映像劫持, 杀毒软件