引用 教你 如何映像劫持杀毒软件
2009-09-13 06:47
399 查看
映像劫持高明之处
(注意,如果你需要尝试,文本中的\需替换为半角的斜线)
其实映像劫持是系统自带的功能,病毒通过修改注册表来实现对杀软的劫持,当你运行杀软的时候,他就会自动把目标指向病毒的路径,
从而来运行病毒,下面说一下镜像劫持的原理吧,下面是从网上收集的资料!!!
系统在试图执行一个从命令行调用的可执行文件运行请求时,会先检查运行程序是不是可执行文件,
如果是的话,才会再检查格式的,最后才会检查是否存在。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确“等错误。把这些键删除后,程序就可以正常运行了。
虽然映像劫持是系统自带的功能,对我们一般用户来说根本没什么用的必要,但是就有一些病毒通过映像劫持来做文章,表面上看起来是运行了一个程序,实际上病毒已经在后台运行了。
大部分的病毒和木马都是通过加载系统启动项来运行的,也有一些是注册成为系统服务来启动,他们主要通过修改注册表来实现这个目的,主要有以下几个方面:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
但是与一般的木马、病毒不同的是,就有一些病毒偏偏不通过这些来加载自己,不随着系统的启动运行,而是等到用户运行某个特定的程序的时候运行,这也抓住了一些用户的心理。
映像劫持的原理
一般的用户,只要发觉自己的机子中了病毒,首先要察看的就是系统的加载项,很少有人会想到映像劫持,这也是这种病毒高明的地方。
映像劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Executionoptions 项来劫持正常的程序,比如有一个病毒bingdu.exe要劫持QQ程序,它会在上面注册表的位置新建一个QQ.exe项,在这个项下面新建一个字符串的键值“debugger”内容是:C:\WINDOWS\SYSTEM32\bingdu.exe即可。当然如果你把该字符串值改为任意的其他值的话,系统就会提示找不到该文件。
最近我的电脑老是被舍友侵占,每时每刻都在玩网游,所以这几天很少上网,所以到今天才能把剩余的那十几个贴的任务发完。
因为电脑经常被别人玩,如果经常叫他不要玩的话,又不太好意思所以我想到用镜像劫持来劫持了那个网游的程序,具体请看说明 ,注:舍友玩的是神泣首先找到网游的进程名称,运行网游,发现进程是Updater.exe 更新的意思,大概是每运行游戏都要自动下载更新把然后定位到注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution在左边新建一个项updater.exe,然后在右边新建一个debugger的字符串值,其数据内容就是我想指向的程序路径,比如我把它指向到QQ的运行路径(或者随便输入,指定一个空路径也行)。
这样的话,舍友运行游戏的时候就会打开QQ,感觉这样太明显了,想到用一个恶作剧小程序,比如运行之后就会弹出内存不能“read”之类的,网上搜了很久也没找到想用VB编一个,现在还没时间,有空再说了现在我只是指向一个空路径,它运行游戏的时候就什么也没运行。
映像劫持杀毒软件
原理就这样了
下面是我做的注册表导入命令,把下面的命令粘贴到新的TXT文档中,另存为.REG后缀就行了,双击导入就行了
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\updater.exe]
"Debugger"="125.exe"
如果要恢复的话,就导入下面的命令就行
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\updater.exe]
"Debugger"="125.exe"
就多一个减号
其实要反病毒的镜像劫持的话,原理跟上面一样的
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\杀软的进程]
"Debugger"="125.exe"
举一反三就行了!
(注意,如果你需要尝试,文本中的\需替换为半角的斜线)
其实映像劫持是系统自带的功能,病毒通过修改注册表来实现对杀软的劫持,当你运行杀软的时候,他就会自动把目标指向病毒的路径,
从而来运行病毒,下面说一下镜像劫持的原理吧,下面是从网上收集的资料!!!
系统在试图执行一个从命令行调用的可执行文件运行请求时,会先检查运行程序是不是可执行文件,
如果是的话,才会再检查格式的,最后才会检查是否存在。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确“等错误。把这些键删除后,程序就可以正常运行了。
虽然映像劫持是系统自带的功能,对我们一般用户来说根本没什么用的必要,但是就有一些病毒通过映像劫持来做文章,表面上看起来是运行了一个程序,实际上病毒已经在后台运行了。
大部分的病毒和木马都是通过加载系统启动项来运行的,也有一些是注册成为系统服务来启动,他们主要通过修改注册表来实现这个目的,主要有以下几个方面:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
但是与一般的木马、病毒不同的是,就有一些病毒偏偏不通过这些来加载自己,不随着系统的启动运行,而是等到用户运行某个特定的程序的时候运行,这也抓住了一些用户的心理。
映像劫持的原理
一般的用户,只要发觉自己的机子中了病毒,首先要察看的就是系统的加载项,很少有人会想到映像劫持,这也是这种病毒高明的地方。
映像劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Executionoptions 项来劫持正常的程序,比如有一个病毒bingdu.exe要劫持QQ程序,它会在上面注册表的位置新建一个QQ.exe项,在这个项下面新建一个字符串的键值“debugger”内容是:C:\WINDOWS\SYSTEM32\bingdu.exe即可。当然如果你把该字符串值改为任意的其他值的话,系统就会提示找不到该文件。
最近我的电脑老是被舍友侵占,每时每刻都在玩网游,所以这几天很少上网,所以到今天才能把剩余的那十几个贴的任务发完。
因为电脑经常被别人玩,如果经常叫他不要玩的话,又不太好意思所以我想到用镜像劫持来劫持了那个网游的程序,具体请看说明 ,注:舍友玩的是神泣首先找到网游的进程名称,运行网游,发现进程是Updater.exe 更新的意思,大概是每运行游戏都要自动下载更新把然后定位到注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution在左边新建一个项updater.exe,然后在右边新建一个debugger的字符串值,其数据内容就是我想指向的程序路径,比如我把它指向到QQ的运行路径(或者随便输入,指定一个空路径也行)。
这样的话,舍友运行游戏的时候就会打开QQ,感觉这样太明显了,想到用一个恶作剧小程序,比如运行之后就会弹出内存不能“read”之类的,网上搜了很久也没找到想用VB编一个,现在还没时间,有空再说了现在我只是指向一个空路径,它运行游戏的时候就什么也没运行。
映像劫持杀毒软件
原理就这样了
下面是我做的注册表导入命令,把下面的命令粘贴到新的TXT文档中,另存为.REG后缀就行了,双击导入就行了
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\updater.exe]
"Debugger"="125.exe"
如果要恢复的话,就导入下面的命令就行
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\updater.exe]
"Debugger"="125.exe"
就多一个减号
其实要反病毒的镜像劫持的话,原理跟上面一样的
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\杀软的进程]
"Debugger"="125.exe"
举一反三就行了!
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 杀毒软件如何提前“过年”?
- AVPass技术分析:银行劫持类病毒鼻祖BankBot再度来袭,如何绕过谷歌play的杀毒引擎?
- 开源PLM软件Aras详解七 在Aras的Method中如何引用外部DLL
- 如何检测当前已安装的杀毒软件和软件更新时间,就像XP的安全中心那样
- 如何在 Linux 上安装和使用恶意软件检测工具 LMD 及杀毒引擎 ClamAV
- 开源PLM软件Aras详解七 在Aras的Method中如何引用外部DLL
- 杀毒软件是如何工作的
- 如何劫持软件更新来安装 Rootkit 的后门访问
- SREng 使用实例(一)如何禁用360杀毒软件
- AVPass技术分析:银行劫持类病毒鼻祖BankBot再度来袭,如何绕过谷歌play的杀毒引擎?
- 安全手册:学习如何选择合适的杀毒软件
- 如何在 Linux 上安装和使用恶意软件检测工具 LMD 及杀毒引擎 ClamAV
- 免费杀毒软件如何生存?
- 开源PLM软件Aras详解七 在Aras的Method中如何引用外部DLL
- 如何劫持软件更新来安装 Rootkit 的后门访问
- 如何利用十行代码,绕过杀毒软件实现免杀?
- 杀毒软件被劫持后~~~
- 如何卸载NORTON杀毒软件-MITAC企业版
- 如何在 Linux 上安装和使用恶意软件检测工具 LMD 及杀毒引擎 ClamAV
- 如何设置Win10自带杀毒软件排除白名单