大家对于映像劫持(IFEO)应该都不陌生从2007年开始众多病毒木马就利用映像劫持关闭杀毒软件Software传播自身 　　所谓映像劫持IFEO就是Image File Execution Options(其实应该称为 Image Hijack)它位于注册表

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options

　　IFEO本意是为些在默认系统环境中运行时可能引发执行体提供特殊环境设定由于这个项主要是用来调试用对般用户意义不大默认是只有管理员和Local system有权读写修改

　　当个可执行位于IFEO控制中时它内存分配则根据该参数来设定而WindowsNT架构系统能通过这个注册表项使用和可执行文件名匹配项目作为载入时控制依据最终得以设定个堆管理机制和些辅助机制等出于简化原因IFEO使用忽略路径方式来匹配它所要控制文件名所以无论放在哪个路径只要名字没有变化它就运行出问题

　　映像劫持IFEO例子演示

　　这里我们用个实际例子来演示下映像劫持

　　点击“开始”-“运行”输入“regedit”命令打开注册表编辑器展开到:

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options

　　然后选择Image File Execution Options右键点击新建个项把这个项(默认在最后面)命名为QQ.exe

　　望文知意这次是要用QQ来做试验选中QQ.exe这个项此时右边默认是空白点击鼠标右键新建个“字串符”然后改名为“Debugger”最后步双击该键修改数据数值(其实就是路径)这里是修改为Windows系统“记事本”路径

　　C:WINNTsystem32notepad.exe

　　注:“C:”是系统盘如果你系统安装在D盘则改为“D:”(不包括双引号)这里使用操作系统是Windows2000如果你系统不是Windows2000或WindowsNT话把WINNT改成Windows类似情况同理处理

　　

　　好了实验下看看效果点击QQ.exe看出现了什么

　　

　　QQ主QQ.exe被记事本“劫持”了记事本直接按照.txt文档格式打开了QQ.exe

　　回到注册表删除相应键切又恢复了正常熟悉QQ界面回来了

　　

　　同理病毒等也可以利用这样思路方法把杀毒软件Software、安全工具等名字再进行重定向指向病毒路径所以如果你把病毒清理掉后重定向项没有清理话由于IFEO作用没被损坏样运行不了!

　　映像劫持终极利用——让病毒迷失自我

　　同上面道理样如果我们把病毒给重定向了病毒也就变得“找不到北”无法正常运行了

　　WindowsRegistryEditorVersion5.00

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptionssppoolsv.exe]

　　Debugger=123.exe

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptionslogo_1.exe]

　　Debugger=123.exe

　　将上面代码保存为后缀.reg文件双击执行(这里以金猪病毒和威金病毒为例)这样即使这些病毒在系统启动项里面即使随系统运行了但是由于映象劫持重定向作用还是会被系统提示无法找到病毒文件(这里是logo_1.exe和sppoolsv.exe)

　　现在病毒木马更多是在利用各类移动设施(U盘等)、通过网页挂马进行传播通过模拟用户操作关闭杀毒软件Software但我们仍然可以通过这个映像劫持例子进行深入研究:如何利用病毒自身技术来抵御病毒木马入侵