您现在的位置: 天下网吧 >> 网吧焦点 >> 网吧技术 >> 网管 >> 正文

网管必读:双管齐下阻挠非法程序运行

[作者:中国IT实验室收集整… 来源:佚名 时间:2012-11-17我来说两句

   你是否遇到过公司网管或其他人员在你的机器上安装了所谓的“管理软件”而让自己一举一动隐私全部泄露呢?你是否发现自己的杀毒软件和安全工具无法顺利启动呢?你又是否为某个非法程序随机启动运行而发愁呢?这些麻烦充斥在我们的日常生活和工作中,查杀病毒关闭进程的工作是烦琐和复杂的,而且往往不太有效。那么遇到这些问题时难道只能够通过重新安装系统彻底解决吗?答案是否定的,今天就让各位IT168的读者跟随笔者一起双管齐下阻挠非法程序运行。

  一,深入浅出了解映像劫持:

  在了解具体防范方法前我们需要知道以上种种麻烦都是由于非法程序进行了映像劫持的结果。“映像劫持”,也被称为“IFEO”(Image File Execution Options,也可以叫作“Image Hijack”),它的存在是必然的,在Windows NT时代,系统使用一种早期的堆栈管理方式,由应用程序管理的内存区域)管理机制,使得一些程序的运行机制与现在的不同,而后随着系统更新换代,厂商修改了系统的堆栈管理机制,但是这些改动却导致了一些程序从此再也无法运作,为了兼顾这些出问题的程序,微软以“从长计议”的态度专门设计了“IFEO”技术。

  那么IFEO到底是怎么样发挥作用的呢?例如有一个程序文件名为“softer.exe”,由于使用了旧的堆栈管理机制,它在新系统里无法正常运行甚至出现非法操作,为了让系统为其提供旧的堆栈管理机制,我们需要IFEO来介入,则需执行以下步骤.

  第一步:确保在管理员状态下执行regedit.exe,定位到以下注册表项:

  HKEY_LOCAL_MACHINE\SOFTWARE\MicROSoft\Windows NT\CurrentVersion\Image File Execution Options。(如图1)

   


    
    第二步:在“Image File Execution Options”下建立一个子键,名为“softer.exe”,不区分大小写。现在确保位于HKEY_LOCAL_MACHINE\SOFTWARE\ MicROSoft\Windows NT\CurrentVersion\Image File Execution Options\softer.exe\下,建立一个字符串类型的注册表项,名为“DisableHeapLookAside”,值为“1”。

  第三步:再次运行softer.exe查看运行情况,如果真的是由于堆栈管理机制引发的问题,则程序得以正常运行,否则该程序问题不属于IFEO能够干涉的范围,或者需要尝试搭配其他的参数使用。

  小提示:

  IFEO使用忽略路径的方式来匹配它所要控制的程序文件名,例如IFEO指定了对一个名为“softer.exe”的可执行程序文件进行控制,那么无论它在哪个目录下,只要它名字还叫“softer.exe”,他就可以运行。

  前面我们了解了基本理论,那么病毒或非法程序是如何实现映像劫持的呢?罪魁祸首就是IFEO下属的Debugger参数,该参数具备特殊性,它又被称为“重定向”(Redirection),利用它进行攻击又被称为“重定向劫持” (Redirection Hijack)。遭遇流行“映像劫持”病毒的系统表现为常见的杀毒软件、防火墙、安全检测工具等均提示“找不到文件”或执行了没有反应,用户只能够通过重新安装系统去解决问题,不过当我们将这个程序改了个名字就发现它又能正常运行了,这就是最典型的重定向劫持,说明IFEO被人为设置了针对这些流行工具的可执行文件名的列表,而且Debugger参数指向不存在的文件甚至病毒本身。 

[1] [2] [3] [4] [5] 下一页

本文来源:佚名 作者:中国IT实验室收集整…
我来说两句(请遵守法律法规)
 网吧精品   网络布线   热门专题   推荐配置   网络安全   路由专题   网吧游戏更新   网吧QQ关   网吧注册表   网吧新手   网吧优化   网吧无盘优化   网吧系统优化   迅闪2008   网吧三层更新   无盘服务器   MaxDos   Win2008   网吧虚拟磁盘   星际争霸II   锐起无盘   网维大师   网吧游戏菜单   网吧活动   迅闪2009   网吧母盘   万象   网吧真实生活   迅闪2010   信佑2010   Windows8   信佑   迅闪   易游   顺网无盘   连锁网吧   黑网吧   网吧新闻   网吧闲聊   网吧游戏   互联网类软件   增值联盟   网吧广告联盟   有道搜索联盟   淘123联盟   网吧广告   深度无盘   信佑无盘   网众无盘   MZD无盘   网吧软件故障解决   网吧硬件故障大全   海蜘蛛   ROS   磁盘缓存   网吧GHOST   快吧无盘   快吧教程   网吧防盗   2011网吧政策   绿色网吧   网吧禁烟   万象2004   雪花病毒   网吧电影   网吧达人   QQ网吧   SuperCache|SuperSpeed   CCDISK   网吧远程控制   网吧配置   万象密码   迅闪无盘   网吧系统下载   网吧管理系统   网吧键盘   网吧鼠标   WIN8专题   网吧最新新闻   网吧路由   锐起无盘补丁   WayOs   网吧显示器   液晶   万能包   网吧消防   显卡   SSD   网卡   网吧源码   主板   云海   I8无盘   网卡汇聚   网吧DDOS

更多专题

声明
本文来源地址:http://cisco.chinaitlab.com/List_137.html
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系邮箱:support@txwb.com.
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行