Red de conocimiento informático - Conocimiento del nombre de dominio - Urgente, ¿qué significa secuestro de archivos del sistema? ¿Alguien puede explicar esto en detalle y decirme dónde puedo ver los detalles de los archivos secuestrados?

Urgente, ¿qué significa secuestro de archivos del sistema? ¿Alguien puede explicar esto en detalle y decirme dónde puedo ver los detalles de los archivos secuestrados?

De hecho, se trata de secuestro de imágenes, opción de ejecución de archivos de imágenes, el llamado secuestro de imágenes IFEO.

Se encuentra en el registro.

HKEY_Local_Machine\Software\Microsoft\Windows NT\Current Version\Image File Execution Options Cuando un programa ejecutable está bajo el control de IFEO, su asignación de memoria se establece de acuerdo con los parámetros del programa. Cuando un sistema basado en Windows NT carga un programa a través de esta clave de registro, puede usar la clave que coincide con el nombre del archivo ejecutable como base de control. Finalmente, puede configurar un mecanismo de administración de montón y algunos mecanismos auxiliares para el programa. . Para simplificar, IFEO coincide con el nombre del archivo del programa que desea controlar ignorando la ruta, por lo que no importa en qué ruta se coloque el programa, mientras el nombre siga siendo el mismo, se ejecutará sin orden.

Echemos un vistazo a cómo los virus normales modifican el registro.

Implementemos un inicio aleatorio.

Los virus, gusanos y troyanos todavía utilizan claves de registro conocidas y usadas en exceso, como las siguientes:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version \Run

HKLM\SOFTWARE\Microsoft\Windows NT\versión actual\Windows\AppInit_dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\versión actual\Winlogon \ Notify

HKEY _ LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\actual version\RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\current version\RunServicesOnce

Espera un momento.

2. Otro método de secuestro es crear una función de exportación que sea la misma que la DLL del sistema en el directorio del programa de destino. El contenido de ejecución es el siguiente

f = LoadLibrary(. ByRef " c:\ windows \ system32 \ " dllname)

f=GetProcAddress(byval f, byref procname)

! jmp f

(PowerBasic)

puede hacer algunas cosas malas durante la inicialización de la DLL, cambiando así la aplicación original. Consulte /view/1008480.htm para obtener más detalles.