大众计算机学习网欢迎诸位!收藏本站注 册登 陆
常用教程:基础知识网络知识操作系统WPS网页制作数据库算法网页成功之路网络安全最新技术古典mid流行midmid背景下载中心
您现在的位置:首页 > 教程 > 文章页

计算机中病毒不能使用杀毒软件之镜像劫持概述

Admin | 2009-4-14 12:20:37 | ReadNums | 6804 | 标签 计算机网络安全 | 打印本页
     

  为什么计算机中了病毒,有的时候就不能使用杀毒软件了呢?

  原因如下,与镜像劫持有关!

  操作系统本身就自带映像劫持的功能,病毒通过修改注册表来实现对杀毒软件的劫持,当你运行杀软的时候,它就会自动把目标指向病毒的路径,结果,运行的是病毒,而不是杀毒软件。

  一、镜像劫持概述

  系统在试图执行一个从命令行调用可执行文件,运行请求时,会先检查运行程序是不是可执行文件,如果是的话,继续检查格式,最后才会检查文件是否存在。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确“等错误。把注册表中的这些键删除后,程序就可以正常运行了。

  虽然镜像劫持是系统自带的功能,对我们一般用户来说根本没什么用处,但是就有一些病毒通过镜像劫持,却可以实现其目的,表面上看起来是运行了一个程序,实际上病毒已经在后台运行了。

  大部分的病毒和木马都是通过加载系统启动项来运行的,也有一些是注册成为系统服务来启动,它们主要通过修改注册表来实现这个目的,主要有以下几个方面:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

  HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

  但是与一般的木马、病毒不同的是,有一些病毒偏偏不通过这些来加载自己,不随着系统的启动运行,而是等到用户运行某个特定的程序的时候才运行,这正好抓住了一些用户的心理。

  二、镜像劫持原理

  一般的用户,只要发觉自己的机子中了病毒,首先要察看的就是系统的加载项,很少有人会想到镜像劫持劫持,这正是某些病毒高明的地方。

  劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Executionoptions 项来劫持正常的程序,比如有一个病毒bingdu.exe要劫持QQ程序,它会在上面注册表的位置新建一个QQ.exe项,在这个项下面新建一个字符串的键值“debugger”内容是:C:\WINDOWS\SYSTEM32\bingdu.exe。当然,如果你把该字符串值改为任意的其他值的话,系统就会提示找不到该文件。

  三、镜像劫持杀毒软件

  原理如上,下面是关于如何劫持杀毒软件的方法与解除的方法!

  ①劫持方法

  下面是注册表导入命令,把下面的命令粘贴到新的TXT文档中,另存为.REG后缀就行了,双击导入就行了

  Windows Registry Editor Version 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\updater.exe]

  "Debugger"="125.exe"

  ②恢复方法

  Windows Registry Editor Version 5.00

  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\updater.exe]

  "Debugger"="125.exe"

  就多一个减号

  ③其它

  其实要反病毒的镜像劫持的话,原理跟上面一样的

  Windows Registry Editor Version 5.00

  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\杀软的进程]

  "Debugger"="125.exe"


问题未解决:在线咨询我要在线咨询问题

网友评论

(访客)
内容实用原创,讲得很好。
20xx年x月x日
(站长)
有问题请在线咨询。
20xx年x月x日