Secuestro de imágenes
Tecnología de secuestro de imágenes de Windows (IFEO)
Síntomas básicos: Es posible que algunos amigos se hayan encontrado con esta situación. Un programa normal, sin importar dónde esté ubicado, o un programa que haya sido reparado usando el disco de instalación, no podrá ejecutarse o, por ejemplo, ejecutar A se convertirá en ejecutar B, pero puede ejecutarse normalmente después de cambiar su nombre.
Dado que estamos introduciendo la tecnología IFEO, presentémosla primero:
1. ¿Qué es el secuestro de imágenes (IFEO)?
El llamado IFEO es Opciones de ejecución de archivos de imagen
Se encuentra en el registro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Opciones de ejecución
Dado que este elemento se utiliza principalmente para depurar programas, tiene poca importancia para los usuarios normales. De forma predeterminada, sólo los administradores y el sistema local tienen derecho a leer, escribir y modificar
Veamos primero cómo los virus normales modifican el registro. .
Los virus, gusanos y troyanos todavía utilizan claves de registro conocidas y usadas en exceso, como:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows \CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
Y así sucesivamente. . . . . . . . . . . . . . .
En segundo lugar, información de uso específica:
CITA:
La siguiente es una introducción a Blue Ice:
@echo off / / Cerrar comando echo
echo Este procesamiento por lotes es solo para la introducción a las habilidades, ¡no lo utilice para actividades ilegales! //Mostrar el texto después de echo
pausa //Detener
echo Editor del Registro de Windows Versión 5.00gt; ssm.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE; \Microsoft\Windows NT\CurrentVersion\Image File Execution Options\syssafe.EXE] gt; ssm.reg
echo "Debugger"="syssafe.EXE" gt; Exportar el texto después del eco a SSM.reg
regedit /s ssm.reg amp; del /q ssm.reg //Importar ssm.reg y eliminarlo
Invalidar SSM "Debugger" "="abc.exe" en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\svchost.exe significa ejecutar abc.exe en lugar de svchost.exe
CITA:
Quizás después de decir todo lo anterior, todavía no entiendes lo que significa. No importa, echemos un vistazo al experimento de otro amigo en Internet:
Como se muestra arriba. , iniciar-ejecutar-regedit, expandir a:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Luego seleccione Image File Execution Options y cree uno nuevo. elemento, luego cambie este elemento (el valor predeterminado está al final) a 123.exe
Seleccione el elemento 123.exe, y luego el lado derecho estará en blanco de forma predeterminada. Hacemos clic derecho y creamos un nuevo ". String" "Character", y luego cambie el nombre a "Debugger"
Este paso debe realizarse bien y luego presione Enter. . . Haga doble clic en la clave nuevamente para modificar el valor de los datos (en realidad, la ruta). .
Cámbielo a C:\windows\system32\CMD.exe
(PD: C: es el disco del sistema, si su sistema está instalado en D, cámbielo a D: Si es para sistemas NT o 2K, cambie Windows a Winnt y luego comience de nuevo)
Bien, experimentemos. ~
Luego busque uno con la extensión EXE (estoy usando IcesWord.exe como experimento aquí) y cambie su nombre a 123.exe. . .
Luego ejecútelo. . . oye oye. . Apareció el cuadro de operación de DOS. Al mirar el cursor parpadeante sin saberlo, debí sentirme muy extraño ~^_^. .
Una simple broma es suficiente. . .
Del mismo modo, los virus también pueden utilizar este método para redirigir los nombres de software antivirus, herramientas de seguridad, etc. para que apunten a la ruta del virus
SO.. Si limpias Después de eliminar el virus, si los elementos de redirección no se limpian, debido al efecto de IFEO, los programas no dañados no podrán ejecutarse.
Dejar que el virus se pierda
De manera similar a lo anterior, si redirigimos el programa del virus, ¿el virus no podrá ejecutarse? La respuesta es sí.
WindowsRegistryEditorVersion5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\sppoolsv.exe]
Debugger=123.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\logo_1.exe]
Debugger=123.exe
El código anterior está basado en el virus Golden Pig y Weijin Tomando los virus como ejemplo, incluso si estos virus están en los elementos de inicio del sistema y se ejecutan con el sistema, debido al efecto de redirección del secuestro de imágenes, el sistema seguirá indicando que no se puede encontrar el archivo de virus (aquí está logo_1 .exe y sppoolsv.exe).
En tercer lugar, el principio básico del secuestro de imágenes:
CITA:
Cuando el sistema NT intenta ejecutar una solicitud de ejecución de archivo ejecutable llamada desde la línea de comando, Primero verificará si el programa en ejecución es un archivo ejecutable. Si es así, verifique el formato y luego verifique si existe. . Si no existe, le indicará que el sistema no puede encontrar el archivo o que "la ruta especificada es incorrecta, etc."
Por supuesto, después de eliminar estas claves, ¡el programa puede ejecutarse!
Cuatro casos específicos de secuestro de imágenes:
Un caso de análisis citado por el moderador jzb770325001 de JM:
CITA:
Wei For the. IFEO espectacular, han muerto todos los un poco famosos:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
HKLM\SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe
HKLM\ SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe
¡En este caso, podemos ver el poder de esta tecnología! Muchos procesos antivirus y algunos programas o herramientas antivirus auxiliares son secuestrados, lo que hace que todo el software antivirus que encuentre no pueda ejecutarse.
¡Imagínate lo terrible que sería si más virus se aprovecharan de esto!
Cinco: ¿Cómo solucionar y prevenir el IFEO?
Método 1: Método de restricción (redireccionado desde la búsqueda en Internet)
Necesita modificar las Opciones de ejecución del archivo de imagen, por lo que debe tener permiso antes de poder leerlo. . Eso es todo. .
Abra el editor de registro, navegue hasta [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\, seleccione el elemento, haga clic derecho → Permisos → Avanzado y cancele los permisos de escritura del administrador y del sistema. usuarios.
2. Una forma rápida de cortar el nudo
Abra el editor de registro, ubique [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\\ y elimine el elemento "ImageFileExecutionOptions".