電腦中病毒映像劫持

　　所謂的電腦病毒映像劫持IFEO就是Image File Execution Options，下面由學(xué)習(xí)啦小編給你做出詳細(xì)的電腦病毒映像劫持介紹!希望對(duì)你有幫助!

　　電腦病毒映像劫持：

　　(其實(shí)應(yīng)該稱為“Image Hijack”。)

　　它是位于注冊(cè)表的

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

　　IFEO的本意是為一些在默認(rèn)系統(tǒng)環(huán)境中運(yùn)行時(shí)可能引發(fā)錯(cuò)誤的程序執(zhí)行體提供特殊的環(huán)境設(shè)定。由于這個(gè)項(xiàng)主要是用來調(diào)試程序用的，對(duì)一般用戶意義不大。默認(rèn)是只有管理員和local system有權(quán)讀寫修改。

　　當(dāng)一個(gè)可執(zhí)行程序位于IFEO的控制中時(shí)，它的內(nèi)存分配則根據(jù)該程序的參數(shù)來設(shè)定，而WindowsN T架構(gòu)的系統(tǒng)能通過這個(gè)注冊(cè)表項(xiàng)使用與可執(zhí)行程序文件名匹配的項(xiàng)目作為程序載入時(shí)的控制依據(jù)，最終得以設(shè)定一個(gè)程序的堆管理機(jī)制和一些輔助機(jī)制等。出于簡化原因，IFEO使用忽略路徑的方式來匹配它所要控制的程序文件名，所以程序無論放在哪個(gè)路徑，只要名字沒有變化，它就運(yùn)行出問題。

　　先看看常規(guī)病毒等怎么修改注冊(cè)表來達(dá)到隨機(jī)啟動(dòng)吧。

　　病毒、蠕蟲和，木馬等仍然使用眾所皆知并且過度使用的注冊(cè)表鍵值，如下：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

　　等等。

　　2.另外一種劫持的方法是:在目標(biāo)程序目錄下建立與系統(tǒng)DLL相同的導(dǎo)出函數(shù),執(zhí)行內(nèi)容為

　　f=LoadLibrary(byref "c:\windows\system32\"+dllname)

　　f=GetProcAddress(byval f,byref procname)

　　!jmp f

　　'(PowerBasic)

　　,在DLL初始化的時(shí)候可以干一些壞事,以此來達(dá)到改變?cè)瓚?yīng)用程序的目的1. 生成很多8位數(shù)字或字母隨機(jī)命名的病毒程序文件，并在電腦開機(jī)時(shí)自動(dòng)運(yùn)行。

　　·2. 綁架安全軟件，中毒后會(huì)發(fā)現(xiàn)幾乎所有殺毒軟件，系統(tǒng)管理工具，反間諜軟件不能正常啟動(dòng)。即使手動(dòng)刪除了病毒程序，下次啟動(dòng)這些軟件時(shí)，還會(huì)報(bào)錯(cuò)。

　　·3. 不能正常顯示隱藏文件，其目的是更好的隱藏自身不被發(fā)現(xiàn)。

　　·4. 禁用windows自動(dòng)更新和Windows防火墻，這樣木馬下載器工作時(shí)，就不會(huì)有任何提示窗口彈出來。為該病毒的下一步破壞打開方便之門。

　　·5. 破壞系統(tǒng)安全模式，使得用戶不能啟動(dòng)系統(tǒng)到安全模式來維護(hù)和修復(fù)。

　　·6. 當(dāng)前活動(dòng)窗口中有殺毒、安全、社區(qū)相關(guān)的關(guān)鍵字時(shí)，病毒會(huì)關(guān)閉這些窗口。假如你想通過瀏覽器搜索有關(guān)病毒的關(guān)鍵字，瀏覽器窗口會(huì)自動(dòng)關(guān)閉。

　　·7. 在本地硬盤、U盤或移動(dòng)硬盤生成autorun.inf和相應(yīng)的病毒程序文件，通過自動(dòng)播放功能進(jìn)行傳播。這里要注意的是，很多用戶格式化系統(tǒng)分區(qū)后重裝，訪問其它磁盤，立即再次中毒，用戶會(huì)感覺這病毒格式化也不管用。

　　·8. 病毒程序的最終目的是下載更多木馬、后門程序。用戶最后受損失的情況取決于這些木馬和后門程序。
看過“電腦中病毒映像劫持 ”人還看了：

1.電腦頑固病毒怎么辦

2.電腦中了病毒輸入法不能使用怎么辦

3.dl1.exe病毒怎么刪除

4.系統(tǒng)自帶的最不起眼 又是最強(qiáng)的殺毒工具