天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

实例讲解 遭遇IFEO(映像劫持)后的故事

2008-2-18赛迪网佚名

昨天遇到个电脑很多exe都打不开,杀毒软件和正常的很多exe都打不开
然后每个盘里都有一个数字加英文的隐藏exe和一个autorun.inf,即使删除也会自动出来,右键磁盘也是正常的。也不能显示所有文件。
然后发现在c:\program files\common files\microsoft shared\MSinfo下看到几个这种相同的数字加英文的exe,昨天是8******.exe,还有dll,也是不能强制删除。而且一些exe都打开一秒钟也不到就关闭。
最后regedit能打开,查找这个文件,发现HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
下找到很多,发现有些是正常的dll,有很多都是exe,包括这些不能用的,选中后发现右边有的是正常的内存数值,而大多数exe都是多了个debugger,然后内容就是指向那个在msinfo下的这个文件的。然后对比自己的注册表,只有较少。发现关键不能运行的原因在这里,于是删除所有有debugger对应那个文件的项,删除后一般就能打开原来不能打开的exe了。
然后那个8*****.dll始终删不掉,想了办法,结果重命名把后缀名去掉了,结果病毒不运行轻易被删除了,然后再到每个分区删除剩余的病毒文件。恢复右键,再装江民删除了感染的一些exe,有的文件图标也从模糊恢复了。
如果先把病毒大佬删除了,打开一些本来打不开的exe就会出现找不到文件情况,同样,在注册表里删除那个项便可。

网上查了查,注册表这个项本来没注意过,这次却发现是这个用途:
zz~
注册表的这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写,一般user只读。Windows NT系统在执行一个从命令行调用的可执行文件运行请求时,首先会检查这是否是一个可执行文件,如果是,又是什么格式的,然后就会检查是否存在:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ImageName]
如果存在,首先会试图读取这个键值:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ImageName]
"Debugger"="debug_prog"
如果存在,就执行“debug_prog ImageName”。
  在我们这台机器中,提示系统找不到文件,这里所谓找不到的其实是那个“adamrf.exe”,那是因为那个adamrf.exe已被杀毒软件删除的缘故。将包含这个键值的所有项目删除,系统恢复正常。

adamrf.exe是另外的情况非正常程序的例子。

******************
原来这是所谓的映像劫持
yyasong说
IFEO hijack(映象劫持)这种方法可以使部分程序不可运行

用类似的方法可以对付某些知道名字的病毒的运行,同时也有可能被病毒利用用autorun软件可以找到。
其实说起映像劫持,就是当系统执行某一个文件时,被映像劫持的系统会自动跳转到另一个程序去,而如果映像为空,也就是没有设置另一个程序,自然,就出现上面的错误提示了,比如:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Exe
cution Options\svchost.exe项下的"Debugger"="abc.exe" 意思是调用 abc.exe 来调试svchost.exe,关键就是 abc.exe 可能不是调试器,所以它不会启动 svchost.exe

又HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\logo_1.exe项下的"Debugger"="logo_1.exe" ,这样当Debugger的值等于本身时,就是调用自身来调试自己,结果自己不是调试器,又来一次,递归了,就进入了死循环,也就不能启动了,从而很多威金免疫程序就是用了这个道理。

例子

对付威金变种测试通过

注册表

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Ex
ecution Options\Logo1_.exe]
"Debugger"="egomoo.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Ex
ecution Options\rundl132.exe]
"Debugger"="egomoo.exe"

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理,安装维护:


本文来源:赛迪网 作者:佚名

声明
本文来源地址:0
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com.,本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行