Oct
18
簡單說.......就是程式導向,有些病毒會用這種手法讓你的防毒軟體不能啟動
引用
映像劫持的定义
所谓的映像劫持(IFEO)就是Image File Execution Options,位于注册表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改。
通俗一点来说,就是比如我想运行QQ.exe,结果运行的却是FlashGet.exe,也就是说在这种情况下,QQ程序被FLASHGET给劫持了,即你想运行的程序被另外一个程序代替了。
映像劫持病毒
虽然映像劫持是系统自带的功能,对我们一般用户来说根本没什么用的必要,但是就有一些病毒通过映像劫持来做文章,表面上看起来是运行了一个程序,实际上病毒已经在后台运行了。
大部分的病毒和木马都是通过加载系统启动项来运行的,也有一些是注册成为系统服务来启动,他们主要通过修改注册表来实现这个目的,主要有以下几个方面:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
更多启动项请参考:系统启动时所有可能加载启动程序的方式&&&系统加载方式一文。 但是与一般的木马,病毒不同的是,就有一些病毒偏偏不通过这些来加载自己,不随着系统的启动运行,而是等到你运行某个特定的程序的时候运行,这也抓住了一些用户的心理,一般的用户,只要发觉自己的机子中了病毒,首先要察看的就是系统的加载项,很少有人会想到映像劫持,这也是这种病毒高明的地方。
映像劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 项来劫持正常的程序,比如有一个病毒 vires.exe 要劫持 qq 程序,它会在上面注册表的位置新建一个qq.exe项,再这个项下面新建一个字符串的键值 debugger 内容是:C:\WINDOWS\SYSTEM32\VIRES.EXE(这里是病毒藏身的目录)即可。当然如果你把该字符串值改为任意的其他值的话,系统就会提示找不到该文件。
映像胁持的基本原理
windowsNT系统在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是的话,再检查格式的,然后就会检查是否存在。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确等等。把这些键删除后,程序就可以运行!
映像劫持的应用
★ 禁止某些程序的运行;
先看一段代码:
====================================================================================
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qq.exe]
"Debugger"="123.exe"
====================================================================================
把它保存为 norun_qq.reg,双击导入注册表,打开你的QQ看一下效果咯! 这段代码的作用是禁止QQ运行,每次双击运行QQ的时候,系统都会弹出一个框提示说找不到QQ,原因就是QQ被重定向了。如果要让QQ继续运行的话,把123.exe改为其安装目录就可以了。
★ 偷梁换柱恶作剧;
每次我们按下CTRL+ALT+DEL键时,都会弹出任务管理器,想不想在我们按下这些键的时候让它弹出命令提示符窗口,下面就教你怎么玩:
====================================================================================
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
"Debugger"="C:\\WINDOWS\\pchealth\\helpctr\\binaries\\msconfig.exe"
====================================================================================
将上面的代码另存为 task_cmd.reg,双击导入注册表。按下那三个键看是什么效果,不用我说了吧,是不是很惊讶啊!精彩的还在后头呢?
★ 让病毒迷失自我;
同上面的道理一样,如果我们把病毒程序给重定向了,是不是病毒就不能运行了,答案是肯定的!下面就自己试着玩吧!
====================================================================================
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sppoolsv.exe]
"Debugger"="123.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\logo_1.exe]
"Debugger"="123.exe"
====================================================================================
上面的代码是以金猪报喜病毒和威金病毒为例,这样即使这些病毒在系统启动项里面,即使随系统运行了,但是由于映象劫持的重定向作用,还是会被系统提示无法找到病毒文件(这里是logo_1.exe和sppoolsv.exe)。是不是很过瘾啊,想不到病毒也有今天,嘎嘎~~
当然你也可以把病毒程序重定向到你要启动的程序中去,如果你想让QQ开机自启动,你可以把上面的123.exe改为你QQ的安装路径即可,但是前提是这些病毒必须是随系统的启动而启动的。
映像劫持的应用也讲了不少了,下面就给大家介绍一下如何防止映象劫持吧!
关于映像劫持的预防,主要通过以下几个方法来实现:
★ 权限限制法;
如果用户无权访问该注册表项了,它也就无法修改这些东西了。打开注册表编辑器,进入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options ,选中该项,右键——>权限——>高级,将 administrator 和 system 用户的权限调低即可(这里只要把写入操作给取消就行了)。
★ 快刀斩乱麻法
打开注册表编辑器,进入把 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 项,直接删掉 Image File Execution Options 项即可解决问题。
★ 软件修复法 软件:SREngLog 1.2 特别版
下载完毕之后解压,打开SREngLog 1.2——>修复指令文件——>映像胁持修复!
所谓的映像劫持(IFEO)就是Image File Execution Options,位于注册表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改。
通俗一点来说,就是比如我想运行QQ.exe,结果运行的却是FlashGet.exe,也就是说在这种情况下,QQ程序被FLASHGET给劫持了,即你想运行的程序被另外一个程序代替了。
映像劫持病毒
虽然映像劫持是系统自带的功能,对我们一般用户来说根本没什么用的必要,但是就有一些病毒通过映像劫持来做文章,表面上看起来是运行了一个程序,实际上病毒已经在后台运行了。
大部分的病毒和木马都是通过加载系统启动项来运行的,也有一些是注册成为系统服务来启动,他们主要通过修改注册表来实现这个目的,主要有以下几个方面:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
更多启动项请参考:系统启动时所有可能加载启动程序的方式&&&系统加载方式一文。 但是与一般的木马,病毒不同的是,就有一些病毒偏偏不通过这些来加载自己,不随着系统的启动运行,而是等到你运行某个特定的程序的时候运行,这也抓住了一些用户的心理,一般的用户,只要发觉自己的机子中了病毒,首先要察看的就是系统的加载项,很少有人会想到映像劫持,这也是这种病毒高明的地方。
映像劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 项来劫持正常的程序,比如有一个病毒 vires.exe 要劫持 qq 程序,它会在上面注册表的位置新建一个qq.exe项,再这个项下面新建一个字符串的键值 debugger 内容是:C:\WINDOWS\SYSTEM32\VIRES.EXE(这里是病毒藏身的目录)即可。当然如果你把该字符串值改为任意的其他值的话,系统就会提示找不到该文件。
映像胁持的基本原理
windowsNT系统在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是的话,再检查格式的,然后就会检查是否存在。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确等等。把这些键删除后,程序就可以运行!
映像劫持的应用
★ 禁止某些程序的运行;
先看一段代码:
====================================================================================
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qq.exe]
"Debugger"="123.exe"
====================================================================================
把它保存为 norun_qq.reg,双击导入注册表,打开你的QQ看一下效果咯! 这段代码的作用是禁止QQ运行,每次双击运行QQ的时候,系统都会弹出一个框提示说找不到QQ,原因就是QQ被重定向了。如果要让QQ继续运行的话,把123.exe改为其安装目录就可以了。
★ 偷梁换柱恶作剧;
每次我们按下CTRL+ALT+DEL键时,都会弹出任务管理器,想不想在我们按下这些键的时候让它弹出命令提示符窗口,下面就教你怎么玩:
====================================================================================
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
"Debugger"="C:\\WINDOWS\\pchealth\\helpctr\\binaries\\msconfig.exe"
====================================================================================
将上面的代码另存为 task_cmd.reg,双击导入注册表。按下那三个键看是什么效果,不用我说了吧,是不是很惊讶啊!精彩的还在后头呢?
★ 让病毒迷失自我;
同上面的道理一样,如果我们把病毒程序给重定向了,是不是病毒就不能运行了,答案是肯定的!下面就自己试着玩吧!
====================================================================================
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sppoolsv.exe]
"Debugger"="123.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\logo_1.exe]
"Debugger"="123.exe"
====================================================================================
上面的代码是以金猪报喜病毒和威金病毒为例,这样即使这些病毒在系统启动项里面,即使随系统运行了,但是由于映象劫持的重定向作用,还是会被系统提示无法找到病毒文件(这里是logo_1.exe和sppoolsv.exe)。是不是很过瘾啊,想不到病毒也有今天,嘎嘎~~
当然你也可以把病毒程序重定向到你要启动的程序中去,如果你想让QQ开机自启动,你可以把上面的123.exe改为你QQ的安装路径即可,但是前提是这些病毒必须是随系统的启动而启动的。
映像劫持的应用也讲了不少了,下面就给大家介绍一下如何防止映象劫持吧!
关于映像劫持的预防,主要通过以下几个方法来实现:
★ 权限限制法;
如果用户无权访问该注册表项了,它也就无法修改这些东西了。打开注册表编辑器,进入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options ,选中该项,右键——>权限——>高级,将 administrator 和 system 用户的权限调低即可(这里只要把写入操作给取消就行了)。
★ 快刀斩乱麻法
打开注册表编辑器,进入把 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 项,直接删掉 Image File Execution Options 项即可解决问题。
★ 软件修复法 软件:SREngLog 1.2 特别版
下载完毕之后解压,打开SREngLog 1.2——>修复指令文件——>映像胁持修复!
May
22
( 1 )AntiVir PersonalEdition
http://www.free-av.com/
( 2 )avast! Virus Cleaner
http://www.avast.com...g/avast_cleaner.html
( 3 )BitDefender可解病毒
http://www.bitdefender.com/scan8/ie.html
( 4 )eTrust Antivirus 網路掃描程式可解病毒和掃毒能力滿強
http://www3.ca.com/s.../virusinfo/scan.aspx
( 5 )ewido - anti-spyware 可解毒、掃木馬
http://www.ewido.net/en/onlinescan/
( 6 )F-Secure (只能掃病毒不能解病毒,但掃毒能力奇高)
http://support.f-sec...e.com/ols/start.html
( 7 )Kaspersky On-line Scanner
http://www.kaspersky.com/virusscanner
( 8 )malware
scan一次只能掃毒一個檔案,但一次掃毒由十四個掃毒網站同時進行
http://virusscan.jotti.org/
( 9 )McAfee Anti-Virus
http://us.mcafee.com...ication.asp?appid=73
( 10 )Panda Activescan 5.54.00可解病毒
http://www.pandasoft...tivescan/ascan_2.asp
( 11 )Symantec Security
http://security.syma...ROCYAREWTXLGI&bhcp=1
( 12 )Trend Micro 可解病毒和掃木馬,最近網站換了新的引擎在掃瞄速度極快
http://origin-hc.tre....com/en/hc-legal.asp
( 13 )趨勢Trend Micro HouseCall免費網路掃毒
http://housecall60.t...usecall/en/index.htm
( 14 )Trojan Scanner -WindowSecurity
http://www.windowsec...nscan/trojanscan.asp
( 15 ) Windows Live Safety Center 微軟的;可掃病毒和木馬
http://safety.live.c...te/en-US/default.htm
( 16 )費爾個人防火牆 - 免費防火牆下載個人防火牆
http://www.filseclab...roducts/firewall.htm
( 17 )線上安全達人:打擊病毒、蠕蟲、木馬,讓你
http://tw.secure.gam...a.com/free_scan.aspx
( 18 )掃間諜廣告軟體:
http://www.spywarein...p;
http://www.free-av.com/
( 2 )avast! Virus Cleaner
http://www.avast.com...g/avast_cleaner.html
( 3 )BitDefender可解病毒
http://www.bitdefender.com/scan8/ie.html
( 4 )eTrust Antivirus 網路掃描程式可解病毒和掃毒能力滿強
http://www3.ca.com/s.../virusinfo/scan.aspx
( 5 )ewido - anti-spyware 可解毒、掃木馬
http://www.ewido.net/en/onlinescan/
( 6 )F-Secure (只能掃病毒不能解病毒,但掃毒能力奇高)
http://support.f-sec...e.com/ols/start.html
( 7 )Kaspersky On-line Scanner
http://www.kaspersky.com/virusscanner
( 8 )malware
scan一次只能掃毒一個檔案,但一次掃毒由十四個掃毒網站同時進行
http://virusscan.jotti.org/
( 9 )McAfee Anti-Virus
http://us.mcafee.com...ication.asp?appid=73
( 10 )Panda Activescan 5.54.00可解病毒
http://www.pandasoft...tivescan/ascan_2.asp
( 11 )Symantec Security
http://security.syma...ROCYAREWTXLGI&bhcp=1
( 12 )Trend Micro 可解病毒和掃木馬,最近網站換了新的引擎在掃瞄速度極快
http://origin-hc.tre....com/en/hc-legal.asp
( 13 )趨勢Trend Micro HouseCall免費網路掃毒
http://housecall60.t...usecall/en/index.htm
( 14 )Trojan Scanner -WindowSecurity
http://www.windowsec...nscan/trojanscan.asp
( 15 ) Windows Live Safety Center 微軟的;可掃病毒和木馬
http://safety.live.c...te/en-US/default.htm
( 16 )費爾個人防火牆 - 免費防火牆下載個人防火牆
http://www.filseclab...roducts/firewall.htm
( 17 )線上安全達人:打擊病毒、蠕蟲、木馬,讓你
http://tw.secure.gam...a.com/free_scan.aspx
( 18 )掃間諜廣告軟體:
http://www.spywarein...p;
Apr
26
我以前就用這種方法過了...只是要安裝舊版的
License KEY可以......從新版抓出來 檔案是 hbedv.key
下面是舊版本的小紅傘
引用
第一种方法:下载 AntiVir Personal Edition 老版-07年以前的版本,安装后,下载 AntiVir Personal Edition 最新版本(Avira AntiVir PersonalEdition Classic Windows 2000 / XP / Vista 32 Bit and 64 Bit),覆盖安装即可。
第二种方法:下载AntiVir Personal Edition 老版,安装后到这里下载License file(授权文件)-这是小红伞的官方网站。下载后可将该文件直接放到Avira Antivir 的安装目录下。重新启动,升级病毒库后,你就会发现你的小红伞已经更新到最新版了。
第二种方法:下载AntiVir Personal Edition 老版,安装后到这里下载License file(授权文件)-这是小红伞的官方网站。下载后可将该文件直接放到Avira Antivir 的安装目录下。重新启动,升级病毒库后,你就会发现你的小红伞已经更新到最新版了。
下面是舊版本的小紅傘
下載檔案
Mar
1
沒試過....試過再回報
->>已測試方法B,這兩天看了之後還是會有,它會下載新的檔案..所以要用方法A
->>已測試方法B,這兩天看了之後還是會有,它會下載新的檔案..所以要用方法A
引用
[Tips] AntiVir PersonalEdition Classic 病毒碼升級時停止彈出廣告
A.
1. 點選 [開始]->[設定]->[控制台]->[系統管理工具]->[本機安全性原則]
2. 點選 [軟體限制原則]->[建立新原則]
3. 點選 [其他原則] 右邊空白處點滑鼠右鍵選擇 [新增路徑規則]
4. 路徑選擇 C:\Program Files\AntiVir PersonalEdition Classic 資料夾中的 [avnotify.exe] 檔案
5. 安全性等級選擇→[不允許]
6. 如此當 AntiVir PersonalEdition Classic 病毒碼升級時廣告即不會再出現了。
B.
刪除(或更名) C:\Program Files\AntiVir PersonalEdition Classic 資料夾內的 [avnotify.exe] 檔案也可以讓病毒碼升級時廣告不會出現。
A.
1. 點選 [開始]->[設定]->[控制台]->[系統管理工具]->[本機安全性原則]
2. 點選 [軟體限制原則]->[建立新原則]
3. 點選 [其他原則] 右邊空白處點滑鼠右鍵選擇 [新增路徑規則]
4. 路徑選擇 C:\Program Files\AntiVir PersonalEdition Classic 資料夾中的 [avnotify.exe] 檔案
5. 安全性等級選擇→[不允許]
6. 如此當 AntiVir PersonalEdition Classic 病毒碼升級時廣告即不會再出現了。
B.
刪除(或更名) C:\Program Files\AntiVir PersonalEdition Classic 資料夾內的 [avnotify.exe] 檔案也可以讓病毒碼升級時廣告不會出現。