镜像劫持毕业论文(什么是镜像劫持?)

1.什么是镜像劫持?

镜像劫持是病毒这几年所采用的一种新技术,其目的就是让病毒难以清除。

在Windows系统中,当我们双击一个可执行文件时,系统首先会检查这是否是一个可执行文件,如果是,就会进入注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\处检查是否有以该程序命名的项。如果有,则继续检查“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\以该程序命名的项”中的“Debugger”键值,这个键值将包含程序所对应的路径,然后系统就会运行这个路径中决定的程序。

所以病毒修改这里的目的就是让我们运行程序的时候能够触发病毒,这一招可谓毒辣。

2.镜像劫持技术

所谓的镜像劫持,就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项,例如Rav.exe。

然后再创建一个子键“Debugger="C:\\WINDOWS\\system32\\drivers\\ceffen.com”。以后只要用户双击 Rav.exe就会运行OSO的病毒文件ceffen.com,类似文件关联的效果。

劫持,镜像,毕业论文

3.映像劫持

windows映像劫持技术(IFEO) 基本症状:可能有朋友遇到过这样的情况。

一个正常的程序,无论把它放在哪个位置,或者是一个程序重新用安装盘修复过,都出现无法运行或者是比如运行A却成了执行B,而改名后却可以正常运行的现象。 既然我们是介绍IFEO技术相关,那我们就先介绍下: 一,什么是映像胁持(IFEO)? 所谓的IFEO就是Image File Execution Options 它是位于注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 由于这个项主要是用来调试程序用的,对一般用户意义不大。

默认是只有管理员和local system有权读写修改 先看看常规病毒等怎么修改注册表吧。

那些病毒、蠕虫和,木马等仍然使用众所皆知并且过度使用的注册表键值,如下: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce 等等。

二,具体使用资料: QUOTE: 下面是蓝色寒冰的一段介绍: @echo off //关闭命令回显 echo 此批处理只作技巧介绍,请勿用于非法活动!//显示echo后的文字 pause //停止 echo Windows Registry Editor Version 5.00>>ssm.reg echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\syssafe.EXE] >>ssm.reg echo "Debugger"="syssafe.EXE" >>ssm.reg //把echo后的文字导出到SSM.reg中 regedit /s ssm.reg &del /q ssm.reg //导入ssm.reg并删除 使SSM失效HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\svchost.exe项下的"Debugger"="abc.exe" 意思是不执行svchost.exe而执行abc.exe QUOTE: 可能说了上面那么多,大家还弄不懂是什么意思,没关系,我们大家一起来看网络上另一个朋友做得试验: 如上图了,开始-运行-regedit,展开到: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 然后选上Image File Execution Options,新建个项,然后,把这个项(默认在最后面)然后改成123.exe 选上123.exe这个项,然后默认右边是空白的,我们点右键,新建个“字串符”,然后改名为“Debugger" 这一步要做好,然后回车,就可以。

再双击该键,修改数据数值(其实就是路径)。

把它改为 C:\windows\system32\CMD.exe (PS:C:是系统盘,如果你系统安装在D则改为D:如果是NT或2K的系统的话,把Windows改成Winnt,下面如有再T起,类推。

) 好了,实验下。

~ . 然后找个扩展名为EXE的,(我这里拿IcesWord.exe做实验),改名为123.exe。

然后运行之。

嘿嘿。

出现了DOS操作框,不知情的看着一闪闪的光标,肯定觉得特鬼异~^_^。

一次简单的恶作剧就成咧。

同理,病毒等也可以利用这样的方法,把杀软、安全工具等名字再进行重定向,指向病毒路径 SO..如果你把病毒清理掉后,重定向项没有清理的话,由于IFEO的作用,没被损坏的程序一样运行不了! 让病毒迷失自我 同上面的道理一样,如果我们把病毒程序给重定向了,是不是病毒就不能运行了,答案是肯定的。

.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\\sppoolsv.exe] Debugger=123.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\\logo_1.exe] Debugger=123.exe 上面的代码是以金猪病毒和威金病毒为例,这样即使这些病毒在系统启动项里面,即使随系统运行了,但是由于映象劫持的 重定向作用,还是会被系统提示无法找到病毒文件(这里是logo_1.exe和sppoolsv.exe)。 三,映像胁持的基本原理: QUOTE: NT系统在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是的话,再检查格式的,然后就会检查是否存在。

如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确等等。

当然,把这些键删除后,程序就可以运行! 四,映像胁持的具体案例: 引用JM的jzb770325001版主的一个分析案例: QUOTE: 蔚为壮观的IFEO,稍微有些名气的都挂了: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe HKLM\。

4.映像劫持的简介

“映像劫持”,也被称为“IFEO”(Image File Execution Options),在WindowsNT架构的系统里,IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定,而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据,最终得以设定一个程序的堆管理机制和一些辅助机制等。出于简化原因,IFEO使用忽略路径的方式来匹配它所要控制的程序文件名,所以程序无论放在哪个路径,只要名字没有变化,它就运行出问题。

“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File ExecutionOptions”内,使用与可执行程序文件名匹配的项目作为程序载入时的控制依据,最终得以设定一个程序的堆管理机制和一些辅助机制等,大概微软考虑到加入路径控制会造成判断麻烦与操作不灵活的后果,也容易导致注册表冗余,于是IFEO使用忽略路径的方式来匹配它所要控制的程序文件名。

5.映像劫持的基本原理

QUOTENT系统在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是的话,再检查格式的,然后就会检查是否存在。

如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确等等。

当然,把这些键删除后,程序就可以运行!从实际现象来说把IFEO直接称为“映像劫持”未免有点冤枉它了,因为里面大部分参数并不会导致今天这种局面的发生,惹祸的参数只有一个,那就是“Debugger”,将IFEO视为映像劫持,大概是因为国内一些人直接套用了“Image File Execution Options”的缩写吧,在相对规范的来自Sysinternals的专业术语里,利用这个技术的设计漏洞进行非法活动的行为应该被称为“Image Hijack”,这才是真正字面上的“映像劫持”!Debugger参数直接翻译为“调试器”,它是IFEO里第一个被处理的参数,其作用是属于比较匪夷所思的,系统如果发现某个程序文件在IFEO列表中,它就会首先来读取Debugger参数,如果该参数不为空,系统则会把Debugger参数里指定的程序文件名作为用户试图启动的程序执行请求来处理,而仅仅把用户试图启动的程序作为Debugger参数里指定的程序文件名的参数发送过去!光是这个概念大概就足够一部分人无法理解了,所以我们放简单点说,例如有两个客人在一起吃自助餐,其中一个客人(用户)委托另一个客人(系统)去拿食物时顺便帮自己带点食物回来(启动程序的请求),可是系统在帮用户装了一盘子食物并打算回来时却发现另一桌上有个客人(Debugger参数指定的程序文件)居然是自己小学里的暗恋对象!于是系统直接端着原本要拿给用户的食物放到那桌客人那里共同回忆往事去了(将启动程序请求的执行文件映像名和最初参数组合转换成新的命令行参数……),最终吃到食物的自然就是Debugger客人(获得命令行参数),至此系统就忙着执行Debugger客人的启动程序请求而把发出最初始启动程序请求的用户和那盘食物(都送给Debugger客人做命令行参数了)给遗忘了。在系统执行的逻辑里这就意味着,当一个设置了IFEO项Debugger参数指定为“notepad.exe”的“iexplore.exe”被用户以命令行参数“-nohome bbset”请求执行时,系统实际上到了IFEO那里就跑去执行notepad.exe了,而原来收到的执行请求的文件名和参数则被转化为整个命令行参数“C:\Program Files\Internet Explorer\IEXPLORE.EXE - nohome ”来提交给notepad.exe执行,所以最终执行的是“notepad.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE - nohome bbs.即用户原来要执行的程序文件名iexplore.exe被替换为notepad.exe,而原来的整串命令行加上iexplore.exe自身,都被作为新的命令行参数发送到notepad.exe去执行了,所以用户最终看到的是记事本的界面,并可能出现两种情况,一是记事本把整个iexplore.exe都作为文本读了出来,二是记事本弹出错误信息报告“文件名不正确”,这取决于iexplore.exe原来是作为光杆司令状态请求执行(无附带运行命令行参数)的还是带命令行参数执行的。

Debugger参数存在的本意是为了让程序员能够通过双击程序文件直接进入调试器里调试自己的程序,曾经调试过程序的朋友也许会有一个疑问,既然程序启动时都要经过IFEO这一步,那么在调试器里点击启动刚被Debugger参数送进来的程序时岂不是又会因为这个法则的存在而导致再次产生一个调试器进程?微软并不是傻子,他们理所当然的考虑到了这一点,因此一个程序启动时是否会调用到IFEO规则取决于它是否“从命令行调用”的,那么“从命令行调用”该怎么理解呢?例如我们在命令提示符里执行taskmgr.exe,这就是一个典型的“从命令行调用”的执行请求,而我们在点击桌面上、普通应用程序菜单里的taskmgr.exe时,系统都会将其视为由外壳程序Explorer.exe传递过来的执行请求,这样一来,它也属于“从命令行调用”的范围而触发IFEO规则了。为了与用户操作区分开来,系统自身加载的程序、调试器里启动的程序,它们就不属于“从命令行调用”的范围,从而绕开了IFEO,避免了这个加载过程无休止的循环下去。

由于Debugger参数的这种特殊作用,它又被称为“重定向”(Redirection),而利用它进行的攻击,又被称为“重定向劫持”(Redirection Hijack),它和“映像劫持”(Image Hijack,或IFEO Hijack)只是称呼不同,实际上都是一样的技术手段。实质问题讲解完Debugger参数的作用,我们来看看“映像劫持”到底是怎么一回事,遭遇流行“映像劫持”病毒的系统表现为常见的杀毒软件、防火墙、安全检测工具等均提示“找不到文件”或执行了没有反应,于是大部分用户只能去重装系统了,但是有经验或者歪打正着的用户将这个程序改了个名字,就发现它又能正常运行了,这是为什么?答案就是IFEO被人为设置了针对这些流行工具的可执行文件名的列表了,而且Debugger参数指向不存在的文件甚至病毒本身!举例以超级巡警的主要执行文件AST.exe为例,首先,有个文件名为kkk.exe的恶意程序向IFEO列表里写入AST.exe项,并设置其Debugger指向kkk。

6.映像劫持的解决措施

权限杜绝

网上流传着一个让初级用户看不懂的做法,那就是关闭IFEO列表的写入权限,具体操作如下:

执行32位注册表编辑器regedt32.exe

定位到HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options;

确保焦点在Image File Execution Options上,选择“安全”—“权限”;

将出现的用户列表内所有带有“写入”的权限去掉,确定退出。

这样一来,任何对IFEO的写入操作都失效了,也就起了免疫效果。这个方法对一般而言还是不错的,除非遭遇到一些特殊的需要往里面写入堆管理参数的程序。建议一般用户还是禁止此项,从而杜绝一切IFEO类病毒来袭。

快刀斩乱麻法

打开注册表编辑器,定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\,把“”项删除即可。

利用Microsoft Sysinternals Suite

更简单的方法,是使用Sysinternals Suite(一个微软的工具集合)中的Autoruns,点击它的“Image Hijacks”选项卡,即可看到被劫持的程序项了。

镜像劫持毕业论文

转载请注明出处众文网 » 镜像劫持毕业论文(什么是镜像劫持?)

资讯

长春工业大学毕业设计论文格式(论文格式是怎样的?)

阅读(82)

本文主要为您介绍长春工业大学毕业设计论文格式,内容包括论文格式是怎样的?,论文的标准格式是怎样的?,毕业论文的格式是什么。毕业论文撰写是本科生培养过程的基本训练之一,必须严格按照确定的规范认真执行。指导教师应加强指导,严格把关。1.

资讯

安卓平台毕业论文(关于android毕业设计论文有哪些)

阅读(95)

本文主要为您介绍安卓平台毕业论文,内容包括关于android毕业设计论文,毕业论文android的现状与前景,基于android系统的apk技术论文怎么写。1.撰写毕业论文是检验学生在校学习成果的重要措施,也是提高教学质量的重要环节。大学生在毕业前都必

资讯

毕业论文指导老师任务书(论文任务书的指导老师意见怎么写)

阅读(81)

本文主要为您介绍毕业论文指导老师任务书,内容包括论文任务书的指导老师意见怎么写,毕业设计论文的指导教师,毕业论文任务书怎么写。论文格式是否符合规范的要求,有没有达到这次论文写作中的要求;2、论文的内容是否满足要求,有没有抄袭;3、论文

资讯

本科毕业论文的基本框架(毕业论文基本结构)

阅读(73)

本文主要为您介绍本科毕业论文的基本框架,内容包括毕业论文基本结构,论文的框架是什么,论文的基本写作框架是怎样的。毕业论文基本结构如下:标题:文章的大纲。每一种文章的标题、风格都是多样的,但无论是哪种形式,都应始终体现作者写作的意图,文

资讯

关于毕业后就业议论文(大学生就业问题议论文)

阅读(66)

本文主要为您介绍关于毕业后就业议论文,内容包括大学生就业问题议论文,以就业为话题作文(800字),大学生就业问题议论文。目前,由美国次贷危机引发的金融危机愈演愈烈,逐步呈现出从虚拟经济向实体经济转移、由一国向全球蔓延、从经济领域向社

资讯

公司市场营销现状分析毕业论文(市场营销的毕业论文)

阅读(75)

本文主要为您介绍公司市场营销现状分析毕业论文,内容包括市场营销的毕业论文,市场营销学的论文,市场营销论文1500字。在市场经济日益发展和市场竞争日益激烈的今天,市场营销学(Marketing)作为一门应用学科,甚或一门艺术,已越来越多地引起商界人

资讯

上海大学毕业论文字体(大学毕业论文字体的格式都是什么?)

阅读(103)

本文主要为您介绍上海大学毕业论文字体,内容包括大学毕业论文字体的格式都是什么?,毕业论文的所有的字号要求是什么?,毕业论文的字体要求??????。1毕业论文格式的写作顺序是:标题、作者班级、作者姓名、指导教师姓名、中文摘要及关键词、英

资讯

中医毕业论文命题(中药论文题目选题参考)

阅读(82)

本文主要为您介绍中医毕业论文命题,内容包括中药论文题目选题参考,中药学写论文用什么题目比较容易发表?,医学论文标题需要些什么技巧呢。去百度文库,查看完整内容>内容来自用户:四库网中药论文题目最新中药论文选题参考中药黄芪当归合剂对肾

资讯

吉林大学药学几能毕业论文(吉林大学药学院的学分制具体情况)

阅读(108)

本文主要为您介绍吉林大学药学几能毕业论文,内容包括吉林大学药学院的学分制具体情况,吉林大学药学是几年,化工与制药类..。根据国务院学位办[2004]41号文件精神,经教育部批准,吉林大学药学院现面向全国招收在职人员攻读生物工程硕士、制药工

资讯

安卓平台毕业论文(关于android毕业设计论文有哪些)

阅读(95)

本文主要为您介绍安卓平台毕业论文,内容包括关于android毕业设计论文,毕业论文android的现状与前景,基于android系统的apk技术论文怎么写。1.撰写毕业论文是检验学生在校学习成果的重要措施,也是提高教学质量的重要环节。大学生在毕业前都必

资讯

毕业论文指导老师任务书(论文任务书的指导老师意见怎么写)

阅读(81)

本文主要为您介绍毕业论文指导老师任务书,内容包括论文任务书的指导老师意见怎么写,毕业设计论文的指导教师,毕业论文任务书怎么写。论文格式是否符合规范的要求,有没有达到这次论文写作中的要求;2、论文的内容是否满足要求,有没有抄袭;3、论文

资讯

本科毕业论文的基本框架(毕业论文基本结构)

阅读(73)

本文主要为您介绍本科毕业论文的基本框架,内容包括毕业论文基本结构,论文的框架是什么,论文的基本写作框架是怎样的。毕业论文基本结构如下:标题:文章的大纲。每一种文章的标题、风格都是多样的,但无论是哪种形式,都应始终体现作者写作的意图,文

资讯

毕业论文题目横线怎么弄的(毕业论文填写题目时横线怎么打)

阅读(79)

本文主要为您介绍毕业论文题目横线怎么弄的,内容包括毕业论文填写题目时横线怎么打,论文怎么划下横线,word里论文下面怎么添加横线。毕业论文封面填写题目上的横线并不是敲打上去的,而是通过设置表格来显示出横线的,具体的设置方法如下:首先,在

资讯

金属安检毕业论文(帮忙找些金属冶炼行业关于安全的论文)

阅读(73)

本文主要为您介绍金属安检毕业论文,内容包括研究性学习防锈论文关于《金属防锈保护》,帮忙找些金属冶炼行业关于安全的论文,<<金属的腐蚀和防护>>论文。从PDF上摘下来的,你自己再整理一下吧 好累·····提高湿法冶炼的安全生产措施分析引