4、这一步要做好,然后回车,就可以 。。。再双击该键,修改数据数值(其实就是路径) 。。
5、把它改为 C:windowssystem32CMD.exe
注:C:是系统盘,如果你系统安装在D则改为D:如果是NT或2K的系统的话,把Windows改成Winnt,下面如有再提起,类推 。
好了,实验下 。
6、然后找个扩展名为EXE的,(我这里拿IcesWord.exe做实验),改名为123.exe 。
7、然后运行 。出现了DOS操作框,不知情的看着一闪闪的光标,肯定觉得特诡异 。
8、一次简单的恶作剧就成咧 。
同理,病毒等也可以利用这样的方法,把杀软、安全工具等名字再进行重定向,指向病毒路径 。所以,如果你把病毒清理掉后,重定向项没有清理的话,由于IFEO的作用,没被损坏的程序一样运行不了!
让病毒迷失自我:
1、同上面的道理一样,如果我们把病毒程序给重定向了,是不是病毒就不能运行了,答案是肯定的 。
WindowsRegistryEditorVersion5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptionssppoolsv.exe]
Debugger=123.exe
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptionslogo_1.exe]
Debugger=123.exe
2、将上面的代码保存为后缀.reg的文件,双击它,是以金猪病毒和威金病毒为例,这样即使这些病毒在系统启动项里面,即使随系统运行了,但是由于映象劫持的
3、重定向作用,还是会被系统提示无法找到病毒文件(这里是logo_1.exe和sppoolsv.exe) 。
三、映像胁持的基本原理:
NT系统在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是的话,再检查格式的,然后就会检查是否存在 。。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确等等 。。
当然,把这些键删除后,程序就可以运行!
四、映像胁持的具体案例:
蔚为壮观的IFEO,稍微有些名气的都挂了:
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsavp.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAgentSvr.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsCCenter.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRav.exe
从这个案例,我们可以看到这个技术的强大之处!很多的杀软进程和一些辅助杀软或工具,全部被胁持,导致你遇到的所有杀软都无法运行!试想如果更多病毒,利用于此,将是多么可怕的事情!
五、如何解决并预防IFEO?
方法一: 限制法
它要修改Image File Execution Options,所先要有权限,才可读,于是,一条思路就成了 。
打开注册表编辑器,定位到[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptions,选中该项,右键→权限→高级,取消administrator和system用户的写权限即可 。
方法二、快刀斩乱麻法
打开注册表编辑器,定位到[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersion,把“ImageFileExecutionOptions”项删除即可 。
到此,本文给大家介绍了什么是镜像劫持,同时还给大家介绍了如何修复镜像劫持以及防护的方法,如果用户的电脑在不经意间被镜像劫持了,就用上面的方法来解决 。
推荐阅读
- 剑网三如何将装备升到8级
- win11窗口颜色更改教程
- 皂角米的保存方法
- iqoo neo6参数配置详情
- 陈皮香烟有哪些
- 按摩霜和润唇膏有什么区别
- 几何多光束和矩阵式大灯区别
- 哥们依旧稳定发力什么意思
- Win8删除文件提示你需要来自TrustedInstaller权限怎么解决?