¿El principio del secuestro de imágenes?

La definición de secuestro de imágenes El llamado secuestro de imágenes (IFEO) son las Opciones de ejecución de archivos de imagen, ubicadas en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options en el registro. . Dado que este elemento se utiliza principalmente para depurar programas, tiene poca importancia para los usuarios normales. De forma predeterminada, sólo los administradores y el sistema local tienen derecho a leer, escribir y modificar. En términos sencillos, por ejemplo, quiero ejecutar QQ.exe, pero el resultado es FlashGet.exe. Es decir, en este caso, FLASHGET secuestra el programa QQ, es decir, el programa que desea ejecutar. secuestrado por otro programa. Virus de secuestro de imágenes Aunque el secuestro de imágenes es una función que viene con el sistema y no es de utilidad para nosotros, los usuarios comunes, hay algunos virus que usan el secuestro de imágenes para armar un escándalo. En la superficie, parece que están ejecutando un programa. De hecho, el virus ya se está ejecutando en segundo plano. La mayoría de los virus y troyanos se ejecutan cargando elementos de inicio del sistema, y ​​algunos se inician registrándose como servicios del sistema. Logran este propósito principalmente modificando el registro, que incluye principalmente los siguientes aspectos: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run　HKLM. \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce　HKEY_LOCAL_MACHINE\Software\ Microsoft \Windows\CurrentVersion\ RunServicesOncePara más elementos de inicio, consulte: Todas las formas posibles de cargar programas de inicio cuando se inicia el sistema&&&Métodos de carga del sistema. Pero lo que se diferencia de los troyanos y virus generales es que algunos virus no se cargan a través de ellos y no se ejecutan cuando se inicia el sistema, sino que esperan hasta que se ejecuta un programa específico. Esto también capta algo de psicología del usuario: siempre y cuando. el usuario promedio descubre que su máquina está infectada con un virus, lo primero que revisa son los complementos del sistema. Pocas personas pensarán en el secuestro de imágenes. Esta es también la astucia de este virus. Los virus de secuestro de imágenes secuestran principalmente programas normales modificando el elemento de opciones de ejecución de archivos HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image en el registro. Por ejemplo, si hay un virus vires.exe que quiere secuestrar el programa qq, lo hace. secuestrará el programa qq en el registro anterior. Cree un nuevo elemento qq.exe en la ubicación y luego cree un depurador de valor clave de cadena en este elemento. El contenido es: C:\WINDOWS\SYSTEM32\VIRES.EXE (este. es el directorio donde se esconde el virus). Por supuesto, si cambia el valor de la cadena a cualquier otro valor, el sistema le indicará que no se puede encontrar el archivo. El principio básico del secuestro de imágenes Cuando el sistema WINDOWS NT intenta ejecutar una solicitud de ejecución de un archivo ejecutable llamada desde la línea de comando, primero verificará si el programa en ejecución es un archivo ejecutable. Si es así, verificará el formato y luego. comprobar si existe. Si no existe, le indicará que el sistema no puede encontrar el archivo o que "la ruta especificada es incorrecta, etc."

¡Después de eliminar estas claves, el programa puede ejecutarse! Aplicación de secuestro de imágenes ★ Para prohibir la ejecución de ciertos programas, primero mire un fragmento de código: Editor del Registro de Windows Versión 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File　Opciones de ejecución\qq.exe]　"Depurador" ="123.exe "Guárdelo como norun_qq.reg, haga doble clic para importarlo al registro, abra su QQ y vea el efecto. La función de este código es prohibir la ejecución de QQ. Cada vez que haga doble clic para ejecutar QQ, el sistema mostrará un cuadro que indica que no se puede encontrar QQ. El motivo es que QQ ha sido redirigido. Si desea que QQ continúe ejecutándose, simplemente cambie 123.exe a su directorio de instalación. ★ Cada vez que presionemos las teclas CTRL+ALT+SUPR, aparecerá el administrador de tareas. ¿Quiere que aparezca la ventana del símbolo del sistema cuando presionemos estas teclas? Aquí se explica cómo ejecutarlo: Editor del Registro de Windows Versión 5.00　[HKEY_LOCAL_MACHINE]. \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File　Opciones de ejecución\taskmgr.exe]　"Debugger"="C:\\WINDOWS\\pchealth\\helpctr\\binaries\\msconfig.exe" Reemplace lo anterior Guarde el código como task_cmd.reg y haga doble clic para importarlo al registro. Pulsa esas tres teclas para ver cuál será el efecto. No hace falta que te lo diga. ¿Lo emocionante aún está por llegar? ★Dejar que el virus se pierda. Igual que arriba, si redirigimos el programa antivirus, ¿el virus no podrá ejecutarse? ¡La respuesta es sí! ¡Pruébelo usted mismo a continuación! Editor del Registro de Windows Versión 5.00　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File　Opciones de ejecución\sppoolsv.exe]　"Debugger"="123.exe"　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File　　Ejecución Options\logo_1.exe]　"Debugger"="123.exe" El código anterior toma como ejemplos el virus Golden Pig Announcement y el virus Weijin, incluso si estos virus están en los elementos de inicio del sistema, incluso si lo están. se ejecutan con el sistema, aún se verán afectados por la imagen. Al igual que la función de redirección del secuestro, el sistema seguirá indicando que no se puede encontrar el archivo de virus (aquí están logo_1.exe y sppoolsv.exe). ¿No es muy divertido? ¡Nunca pensé que existirían virus hoy! Por supuesto, también puede redirigir el programa de virus al programa que desea iniciar. Si desea que QQ se inicie automáticamente después del inicio, puede cambiar el 123.exe anterior a la ruta de instalación de su QQ, pero la premisa es que estos. virus Debe iniciarse cuando se inicia el sistema. Se ha hablado mucho de la aplicación del secuestro de imágenes. ¡Permítanme presentarles cómo prevenir el secuestro de imágenes! En cuanto a la prevención del secuestro de imágenes, se logra principalmente mediante los siguientes métodos: ★Método de restricción de permisos Si el usuario no tiene derecho a acceder a la clave de registro, no podrá modificar estas cosas.

Abra el editor de registro, ingrese HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options, seleccione este elemento, haga clic derecho -> Permisos -> Avanzado y reduzca los permisos del administrador y de los usuarios del sistema (aquí Simplemente cancele la operación de escritura). ★ Una forma rápida de solucionar el problema: abra el editor de registro, ingrese el elemento HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options y elimine directamente el elemento Image File Execution Options para resolver el problema.