正与邪的较量无处不在，当然Windows系统也不例外。俗话说：“知己知彼，百战不殆”，要取得这场战斗的胜利就要深入了解对手，然后找准要害一招制敌。当前“映像劫持”和“RootKit”肆虐Windows系统，我们就以此开始正与邪的较量。

　　一、“映像劫持”愚弄系统

　　所谓映像劫持(IFEO)就是通过修改注册表“Image File Execution Options”项下的相关键值达到欺骗系统，进而绝杀安全软件接管系统。本来这个注册表项主要是用来调试程序的，对一般用户意义不大，但木马、病毒似乎比较钟情于它往往陷系统于不义。

　　1、系统、杀软被劫持

　　大部分的病毒和木马都是通过加载系统启动项来运行的，也有一些是注册成为系统服务来启动，他们主要通过修改注册表来实现这个目的，主要有以下几个键值：

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce

　　但是与一般的木马，病毒不同的是，就有一些病毒偏偏不通过这些来加载自己，不随着系统的启动运行。木马病毒的作者抓住了一些用户的心理，等到用户运行某个特定的程序的时候它才运行。因为一般的用户，只要发觉自己的机子中了病毒，首先要察看的就是系统的启动项，很少有人会想到映像劫持，这也是这种病毒高明的地方。

　　映像劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options项来劫持正常的程序，比如有一个病毒vires.exe要劫持qq程序，它会在上面注册表的位置新建一个qq.exe项，再在这个项下面新建一个字符串的键debugger把其值改为C:WINDOWSSYSTEM32VIRES.EXE(这里是病毒藏身的路径)。这样当我们运行QQ程序的时候其实运行的就是该病毒木马。(图1)

　　当然，映像劫持最可怕的是其对杀毒软件的劫持。一般是先释放一个脚本，该脚本运行后在注册表的Image File Execution Options项下修改或者添加相关的键值劫持杀毒软件的主程序。这样当系统重启后杀毒软件被终结，病毒木马就可以肆虐了。

　　当前“映像劫持”和“RootKit”肆虐Windows系统，我们就以此开始正与邪的较量。

快速检索

标题 关键字

相关文章

·Windows Server 2008 账号设置要安
·拾漏补遗 挖掘XP系统新技巧
·ISA Server 2000实战入门—性能的
·用SQL Server 2000管理ISA Server
·统一管理Windows 2000域中的服务
·Windows 2000 Server和Advanced Se
·禁止自启动的几个方法
·通向Microsoft SMS 2.0 之路
·寻找“失落”的系统文件
·安全配置Windows 2000服务器

热点文章

·在Win 2003环境中增强共享文件安全
·Windows操作系统文件保护用法
·Windows XP隐含超强命令加密系统
·Windows Server 2008 安装详细流程
·制作XP和Vista双系统启动菜单
·四个实用的Windows命令
·深入探讨XP系统文件保护功能
·技巧：动动鼠标 Windows XP提速十
·七招让你的电脑飞起来2
·七招让你的电脑飞起来3