你是否遇到过公司网管或其他人员在你的机器上安装了所谓的“管理软件”而让自己一举一动隐私全部泄露呢?你是否发现自己的杀毒软件和安全工具无法顺利启动呢?你又是否为某个非法程序随机启动运行而发愁呢?这些麻烦充斥在我们的日常生活和工作中,查杀病毒关闭进程的工作是烦琐和复杂的,而且往往不太有效。那么遇到这些问题时难道只能够通过重新安装系统彻底解决吗?答案是否定的,今天就让各位IT168的读者跟随笔者一起双管齐下阻挠非法程序运行。
一,深入浅出了解映像劫持:
在了解具体防范方法前我们需要知道以上种种麻烦都是由于非法程序进行了映像劫持的结果。“映像劫持”,也被称为“IFEO”(Image File Execution Options,也可以叫作“Image Hijack”),它的存在是必然的,在Windows NT时代,系统使用一种早期的堆栈管理方式,由应用程序管理的内存区域)管理机制,使得一些程序的运行机制与现在的不同,而后随着系统更新换代,厂商修改了系统的堆栈管理机制,但是这些改动却导致了一些程序从此再也无法运作,为了兼顾这些出问题的程序,微软以“从长计议”的态度专门设计了“IFEO”技术。
那么IFEO到底是怎么样发挥作用的呢?例如有一个程序文件名为“softer.exe”,由于使用了旧的堆栈管理机制,它在新系统里无法正常运行甚至出现非法操作,为了让系统为其提供旧的堆栈管理机制,我们需要IFEO来介入,则需执行以下步骤.
第一步:确保在管理员状态下执行regedit.exe,定位到以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\MicROSoft\Windows NT\CurrentVersion\Image File Execution Options。(如图1)
第二步:在“Image File Execution Options”下建立一个子键,名为“softer.exe”,不区分大小写。现在确保位于HKEY_LOCAL_MACHINE\SOFTWARE\ MicROSoft\Windows NT\CurrentVersion\Image File Execution Options\softer.exe\下,建立一个字符串类型的注册表项,名为“DisableHeapLookAside”,值为“1”。
第三步:再次运行softer.exe查看运行情况,如果真的是由于堆栈管理机制引发的问题,则程序得以正常运行,否则该程序问题不属于IFEO能够干涉的范围,或者需要尝试搭配其他的参数使用。
小提示:
IFEO使用忽略路径的方式来匹配它所要控制的程序文件名,例如IFEO指定了对一个名为“softer.exe”的可执行程序文件进行控制,那么无论它在哪个目录下,只要它名字还叫“softer.exe”,他就可以运行。
前面我们了解了基本理论,那么病毒或非法程序是如何实现映像劫持的呢?罪魁祸首就是IFEO下属的Debugger参数,该参数具备特殊性,它又被称为“重定向”(Redirection),利用它进行攻击又被称为“重定向劫持” (Redirection Hijack)。遭遇流行“映像劫持”病毒的系统表现为常见的杀毒软件、防火墙、安全检测工具等均提示“找不到文件”或执行了没有反应,用户只能够通过重新安装系统去解决问题,不过当我们将这个程序改了个名字就发现它又能正常运行了,这就是最典型的重定向劫持,说明IFEO被人为设置了针对这些流行工具的可执行文件名的列表,而且Debugger参数指向不存在的文件甚至病毒本身。
[1] [2] [3] [4] [5] 下一页