导航: 天下网吧 >> 网吧天地 >> 网吧技术 >> 故障解决 >> 正文

双管齐下阻止非法程序的运行

2008-3-3广东网吧联盟佚名

你是否遇到过公司网管或其他人员在你的机器上安装了所谓的“管理软件”而让自己一举一动隐私全部泄露呢?你是否发现自己的杀毒软件和安全工具无法顺利启动呢?你又是否为某个非法程序随机启动运行而发愁呢?这些麻烦充斥在我们的日常生活和工作中,查杀病毒关闭进程的工作是烦琐和复杂的,而且往往不太有效。那么遇到这些问题时难道只能够通过重新安装系统彻底解决吗?答案是否定的,今天就让各位读者跟随笔者一起双管齐下阻止非法程序的运行。

  一,深入浅出了解映像劫持:

  在了解具体防范方法前我们需要知道以上种种麻烦都是由于非法程序进行了映像劫持的结果。“映像劫持”,也被称为“IFEO”(Image File Execution Options,也可以叫作“Image Hijack”),它的存在是必然的,在Windows NT时代,系统使用一种早期的堆栈管理方式,由应用程序管理的内存区域)管理机制,使得一些程序的运行机制与现在的不同,而后随着系统更新换代,厂商修改了系统的堆栈管理机制,但是这些改动却导致了一些程序从此再也无法运作,为了兼顾这些出问题的程序,微软以“从长计议”的态度专门设计了“IFEO”技术。

  那么IFEO到底是怎么样发挥作用的呢?例如有一个程序文件名为“softer.exe”,由于使用了旧的堆栈管理机制,它在新系统里无法正常运行甚至出现非法操作,为了让系统为其提供旧的堆栈管理机制,我们需要IFEO来介入,则需执行以下步骤.

  第一步:确保在管理员状态下执行regedit.exe,定位到以下注册表项:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options。(如图1)

第二步:在“Image File Execution Options”下建立一个子键,名为“softer.exe”,不区分大小写。现在确保位于HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Image File Execution Options\softer.exe\下,建立一个字符串类型的注册表项,名为“DisableHeapLookAside”,值为“1”。

  第三步:再次运行softer.exe查看运行情况,如果真的是由于堆栈管理机制引发的问题,则程序得以正常运行,否则该程序问题不属于IFEO能够干涉的范围,或者需要尝试搭配其他的参数使用。

  小提示:

  IFEO使用忽略路径的方式来匹配它所要控制的程序文件名,例如IFEO指定了对一个名为“softer.exe”的可执行程序文件进行控制,那么无论它在哪个目录下,只要它名字还叫“softer.exe”,他就可以运行。

  前面我们了解了基本理论,那么病毒或非法程序是如何实现映像劫持的呢?罪魁祸首就是IFEO下属的Debugger参数,该参数具备特殊性,它又被称为“重定向”(Redirection),利用它进行攻击又被称为“重定向劫持” (Redirection Hijack)。遭遇流行“映像劫持”病毒的系统表现为常见的杀毒软件、防火墙、安全检测工具等均提示“找不到文件”或执行了没有反应,用户只能够通过重新安装系统去解决问题,不过当我们将这个程序改了个名字就发现它又能正常运行了,这就是最典型的重定向劫持,说明IFEO被人为设置了针对这些流行工具的可执行文件名的列表,而且Debugger参数指向不存在的文件甚至病毒本身。二,防范“映像劫持”法:

  下面我们就来讲解具体的防范“映像劫持”的方法。

  第一步:判断你的机器是否被劫持,逐个运行你常用的安全工具,检查是否出现“无法找到文件”或者干脆直接没了反应的,当然,执行结果和预期差别太大的也要被怀疑为劫持。另外只要注册表编辑器regedit.exe、regedt32.exe没有被劫持,那我们直接用它进入“HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options”这个注册表项并展开里面的子项列表一个个看下来确认是否出现Debugger参数或其他可能影响程序运行的堆管理参数,便可得知机器是否被劫持。

  小提示:

  如果注册表编辑器被劫持了怎么办?直接将regedit.exe改个名就能够再次使用了。

  第二步:记录好注册表IFEO区Debugger参数下值指向的程序位置,不要试图再执行任何安全工具,首先应该尝试删除受影响的IFEO项,然后刷新注册表看看数据是否马上恢复了,如果马上恢复,则说明后台里有程序正在实时判断和写入IFEO,这时候必须拿出注册表监控工具Regmon或类似工具,设置Filter为你正在尝试删除的安全工具的IFEO项,很快就能发现具体是什么进程在操作注册表了,然后在系统进程列表里将相应进程终止掉。关闭进程后就可以删除对应的注册表键值了。由于没有了映像文件存在,删除工作会很顺利。如果不放心还可以将杀毒软件改名运行查杀下系统硬盘各个目录。

  这样就可以轻松防范和查杀采取“映像劫持”进行攻击的病毒了。

三,自制“映像劫持”阻挠非法程序运行:

  前面我们了解了IFEO的工作原理以及“映像劫持”的具体实施手段,既然病毒可以拿来攻击,我们这些普通用户也就可以通过“映像劫持”来实现阻挠非法程序运行的目的了,例如那些流氓软件,监控软件。下面举例禁止QQ程序的运行。

  第一步:进入到注册表编辑器中找到 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]键值,然后新建一个名为qq.exe的键值。

  第二步:在qq.exe键值下再建立一个新参数项"Debugger"并赋予他的数值为"123.exe"。(如图2)

第三步:这样你再运行qq.exe时就没有之前那么顺利了。当然我们也可以建立一个注册表文件禁止时运行导入注册表,容许时再次运行反注册文件即可。内容如下。
  Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qq.exe]"Debugger"="123.exe"

  这样每次双击运行QQ的时候,系统都会弹出一个框提示说找不到QQ,原因就是QQ被重定向了。如果要让QQ继续运行的话,把123.exe改为QQ程序的安装目录就可以了,当然删除这段添加

[1] [2]  下一页

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛 https://bbs.txwb.com

关注天下网吧微信/下载天下网吧APP/天下网吧小程序,一起来超精彩

本文来源:广东网吧联盟 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系email:support@txwb.com,系统开号,技术支持,服务联系QQ:1175525021本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行