正与邪的较量无处不在,当然Windows系统也不例外。俗话说:“知己知彼,百战不殆”,要取得这场战斗的胜利就要深入了解对手,然后找准要害一招制敌。当前“映像劫持”和“RootKit”肆虐Windows系统,我们就以此开始正与邪的较量。
一、“映像劫持”愚弄系统
所谓映像劫持(IFEO)就是通过修改注册表“Image File Execution Options”项下的相关键值达到欺骗系统,进而绝杀安全软件接管系统。本来这个注册表项主要是用来调试程序的,对一般用户意义不大,但木马、病毒似乎比较钟情于它往往陷系统于不义。
1、系统、杀软被劫持
大部分的病毒和木马都是通过加载系统启动项来运行的,也有一些是注册成为系统服务来启动,他们主要通过修改注册表来实现这个目的,主要有以下几个键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrent\Version\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrent\Version\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrent\Version\RunServicesOnce
但是与一般的木马,病毒不同的是,就有一些病毒偏偏不通过这些来加载自己,不随着系统的启动运行。木马病毒的作者抓住了一些用户的心理,等到用户运行某个特定的程序的时候它才运行。因为一般的用户,只要发觉自己的机子中了病毒,首先要察看的就是系统的启动项,很少有人会想到映像劫持,这也是这种病毒高明的地方。
映像劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\项来劫持正常的程序,比如有一个病毒vires.exe要劫持qq程序,它会在上面注册表的位置新建一个qq.exe项,再在这个项下面新建一个字符串的键debugger把其值改为C:\WINDOWS\SYSTEM32\VIRES.EXE(这里是病毒藏身的路径)。这样当我们运行QQ程序的时候其实运行的就是该病毒木马。(图1)
当然,映像劫持最可怕的是其对杀毒软件的劫持。一般是先释放一个脚本,该脚本运行后在注册表的Image File Execution Options项下修改或者添加相关的键值劫持杀毒软件的主程序。这样当系统重启后杀毒软件被终结,病毒木马就可以肆虐了。
