電腦中病毒映像劫持

電腦中病毒映像劫持

　　所謂的電腦病毒映像劫持IFEO就是Image File Execution Options，下面由學習啦小編給你做出詳細的電腦病毒映像劫持介紹!希望對你有幫助!

　　電腦病毒映像劫持：

　　(其實應該稱為“Image Hijack”。)

　　它是位于注冊表的

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

　　IFEO的本意是為一些在默認系統(tǒng)環(huán)境中運行時可能引發(fā)錯誤的程序執(zhí)行體提供特殊的環(huán)境設定。由于這個項主要是用來調(diào)試程序用的，對一般用戶意義不大。默認是只有管理員和local system有權讀寫修改。

　　當一個可執(zhí)行程序位于IFEO的控制中時，它的內(nèi)存分配則根據(jù)該程序的參數(shù)來設定，而WindowsN T架構的系統(tǒng)能通過這個注冊表項使用與可執(zhí)行程序文件名匹配的項目作為程序載入時的控制依據(jù)，最終得以設定一個程序的堆管理機制和一些輔助機制等。出于簡化原因，IFEO使用忽略路徑的方式來匹配它所要控制的程序文件名，所以程序無論放在哪個路徑，只要名字沒有變化，它就運行出問題。

　　先看看常規(guī)病毒等怎么修改注冊表來達到隨機啟動吧。

　　病毒、蠕蟲和，木馬等仍然使用眾所皆知并且過度使用的注冊表鍵值，如下：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

　　等等。

　　2.另外一種劫持的方法是:在目標程序目錄下建立與系統(tǒng)DLL相同的導出函數(shù),執(zhí)行內(nèi)容為

　　f=LoadLibrary(byref "c:\windows\system32\"+dllname)

　　f=GetProcAddress(byval f,byref procname)

　　!jmp f

　　'(PowerBasic)

　　,在DLL初始化的時候可以干一些壞事,以此來達到改變原應用程序的目的1. 生成很多8位數(shù)字或字母隨機命名的病毒程序文件，并在電腦開機時自動運行。

　　·2. 綁架安全軟件，中毒后會發(fā)現(xiàn)幾乎所有殺毒軟件，系統(tǒng)管理工具，反間諜軟件不能正常啟動。即使手動刪除了病毒程序，下次啟動這些軟件時，還會報錯。

　　·3. 不能正常顯示隱藏文件，其目的是更好的隱藏自身不被發(fā)現(xiàn)。

　　·4. 禁用windows自動更新和Windows防火墻，這樣木馬下載器工作時，就不會有任何提示窗口彈出來。為該病毒的下一步破壞打開方便之門。

　　·5. 破壞系統(tǒng)安全模式，使得用戶不能啟動系統(tǒng)到安全模式來維護和修復。

　　·6. 當前活動窗口中有殺毒、安全、社區(qū)相關的關鍵字時，病毒會關閉這些窗口。假如你想通過瀏覽器搜索有關病毒的關鍵字，瀏覽器窗口會自動關閉。

　　·7. 在本地硬盤、U盤或移動硬盤生成autorun.inf和相應的病毒程序文件，通過自動播放功能進行傳播。這里要注意的是，很多用戶格式化系統(tǒng)分區(qū)后重裝，訪問其它磁盤，立即再次中毒，用戶會感覺這病毒格式化也不管用。

　　·8. 病毒程序的最終目的是下載更多木馬、后門程序。用戶最后受損失的情況取決于這些木馬和后門程序。
看過“電腦中病毒映像劫持 ”人還看了：

1.電腦頑固病毒怎么辦

2.電腦中了病毒輸入法不能使用怎么辦

3.dl1.exe病毒怎么刪除

4.系統(tǒng)自帶的最不起眼 又是最強的殺毒工具