当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 基础知识讲解 病毒的IFEO映像劫持技术

安全基础
利用Windows XP组策略加强机密数据安全
了解CPU,关于CPU的基础知识
WinToFlash制作Windows XP安装U盘
Windows 7视频时比较卡删除MMCSS解决
数据恢复:硬盘开盘更换磁头处理
网上邻居里的电脑双击出现密码输入提示
服务器系统默认启用的授权模式造成共享访问故障
Spoolsv.exe木马清除的方法
使用Dropbox免费空间的6个小技巧
163、126信箱POP3和SMTP重新开通
故障实例:USB设备无正确驱动签名
隐藏局域网中联网的计算机又能上网的设置方法
网上偷菜外挂含盗号病毒偷盗游戏账号
在QQ空间中放入土豆网Flash视频
重装系统后防止病毒入侵的5个系统设置技巧
Windows Update系统更新组件
人人桌面帮你在人人网农场游戏快速增长经验值
网络交换机限速 防止BT下载速度过快
Win7下连接无线网络资源管理器挂掉问题
在SNS里利用Flash脚本过滤不严进行挂马

安全基础 中的 基础知识讲解 病毒的IFEO映像劫持技术


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-19   浏览: 119 ::
收藏到网摘: n/a

  由于最近病毒都采用了IFEO映像劫持技术,导致杀软无法运行或提示无法打开文件,最近此类病毒非常流行,病毒清除操作起来相对复杂一些,所以今天特意发帖强调大家注意。

  关于IFEO的介绍网络上有非常多,本文借用的是剑盟skyshine的帖子内容,感谢原作者!重要的是第五步的预防方法,简单有效,可达到防患于未然,避免中毒的苦恼。

  基本症状:可能有朋友遇到过这样的情况,一个正常的程序,无论把他放在哪个位置或者是重新用安装盘修复过的程序,都无法运行或者是比如运行A却成了执行B的程序了,而改名后却可以正常运行。

  既然我们是介绍IFEO技术相关,那我们就先介绍下:

  一、什么是映像胁持(IFEO)?

  所谓的IFEO就是Image File Execution Options是位于注册表的
  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options

  由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改,先看看常规病毒等怎么修改注册表吧。

  那些病毒、蠕虫和,木马等仍然使用众所皆知并且过度使用的注册表键值,如下:

  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs
  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify
  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
  等等……

  二、具体使用资料:

  下面是蓝色寒冰的一段介绍:

  @echo off //关闭命令回显
  echo 此批处理只作技巧介绍,请勿用于非法活动!//显示echo后的文字
  pause //停止
  echo Windows Registry Editor Version 5.00>>ssm.reg
  echo [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssyssafe.EXE] >>ssm.reg
  echo "Debugger"="syssafe.EXE" >>ssm.reg //把echo后的文字导出到SSM.reg中
  regedit /s ssm.reg &del /q ssm.reg //导入ssm.reg并删除
  使SSM失效HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssvchost.exe项下的"Debugger"="abc.exe" 意思是不执行svchost.exe而执行abc.exe。

  可能说了上面那么多,大家还弄不懂是什么意思,没关系,我们大家一起来看网络上另一个朋友做得试验:

病毒的IFEO映像劫持技术_软晨学习网ruanchen.com整理


  如上图了,开始-运行-regedit,展开到:

  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options 然后选上Image File Execution

  Options,新建个项,然后,把这个项(默认在最后面)然后改成123.exe。

病毒的IFEO映像劫持技术_软晨学习网ruanchen.com整理

  选上123.exe这个项,然后默认右边是空白的,我们点右键,新建个“字串符”,然后改名为“Debugger" 这一步要做好,然后回车,就可以。。。再双击该键,修改数据数值(其实就是路径)。

  把它改为 C:windowssystem32CMD.exe
  (PS:C:是系统盘,如果你系统安装在D则改为D:如果是NT或2K的系统的话,把Windows改成Winnt,下面如有再T起,类推。)

  好了,实验一下。

  然后找个扩展名为EXE的,(我这里拿IcesWord.exe做实验),改名为123.exe。

  然后运行之,嘿嘿,出现了DOS操作框,不知情的看着一闪闪的光标,肯定觉得特鬼异~^_^。。

  一次简单的恶作剧就成咧……

  同理,病毒等也可以利用这样的方法,把杀软、安全工具等名字再进行重定向,指向病毒路径。如果你把病毒清理掉后,重定向项没有清理的

  话,由于IFEO的作用,没被损坏的程序一样运行不了!

  三、映像胁持的基本原理:   

  NT系统在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是的话,再检查格式的,然后就会检查是否存在。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确等等。当然,把这些键删除后,程序就可以运行!

  四、映像胁持的具体案例:

  引用JM的jzb770325001版主的一个分析案例,蔚为壮观的IFEO,稍微有些名气的都挂了:

  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsavp.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAgentSvr.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsCCenter.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRav.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRavMonD.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRavStub.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRavTask.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options fwcfg.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options fwsrv.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRsAgent.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRsaupd.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options uniep.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsSmartUp.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsFileDsty.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRegClean.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsðtray.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsðSafe.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsðrpt.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskabaload.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssafelive.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRas.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKASMain.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKASTask.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKAV32.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKAVDX.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKAVStart.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKISLnchr.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKMailMon.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKMFilter.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKPFW32.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKPFW32X.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKPFWSvc.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKWatch9x.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKWatch.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKWatchX.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsTrojanDetector.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsUpLive.EXE.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKVSrvXP.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKvDetect.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKRegEx.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskvol.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskvolself.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskvupload.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskvwsc.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsUIHost.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsIceSword.exe

  选上123.exe这个项,然后默认右边是空白的,我们点右键,新建个“字串符”,然后改名为“Debugger" 这一步要做好,然后回车,就可以。。。再双击该键,修改数据数值(其实就是路径)。

  把它改为 C:windowssystem32CMD.exe
  (PS:C:是系统盘,如果你系统安装在D则改为D:如果是NT或2K的系统的话,把Windows改成Winnt,下面如有再T起,类推。)

  好了,实验一下。

  然后找个扩展名为EXE的,(我这里拿IcesWord.exe做实验),改名为123.exe。

  然后运行之,嘿嘿,出现了DOS操作框,不知情的看着一闪闪的光标,肯定觉得特鬼异~^_^。

  一次简单的恶作剧就成咧……

  同理,病毒等也可以利用这样的方法,把杀软、安全工具等名字再进行重定向,指向病毒路径。如果你把病毒清理掉后,重定向项没有清理的

  话,由于IFEO的作用,没被损坏的程序一样运行不了!

  三、映像胁持的基本原理:   

  NT系统在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是的话,再检查格式的,然后就会检查是否存在。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确等等。当然,把这些键删除后,程序就可以运行!

  四、映像胁持的具体案例:

  引用JM的jzb770325001版主的一个分析案例,蔚为壮观的IFEO,稍微有些名气的都挂了:

  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsavp.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAgentSvr.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsCCenter.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRav.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRavMonD.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRavStub.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRavTask.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options fwcfg.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options fwsrv.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRsAgent.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRsaupd.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options uniep.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsSmartUp.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsFileDsty.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRegClean.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsðtray.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsðSafe.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsðrpt.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskabaload.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssafelive.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRas.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKASMain.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKASTask.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKAV32.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKAVDX.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKAVStart.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKISLnchr.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKMailMon.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKMFilter.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKPFW32.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKPFW32X.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKPFWSvc.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKWatch9x.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKWatch.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKWatchX.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsTrojanDetector.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsUpLive.EXE.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKVSrvXP.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKvDetect.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKRegEx.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskvol.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskvolself.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskvupload.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskvwsc.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsUIHost.exe
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsIceSword.exe