映像劫持

问：什么是映像劫持？

答：我查找了许多资料但是没有太明确的解释，大概的解释是用XXX.exe程序用另一个程序调试启动，但是如果XXX.exe指向的程序不存在时或为无效路径时，该程序就不能启动，现在有的病毒就是利用了这个原理，全面地封杀对付它的工具，病毒的映像劫持会把劫持的文件指向到病毒文件，这样当我们双击.exe文件时，实际就是激活病毒！！包括“冰刀”等杀毒高手，一些主流的杀软无一幸免！！为了更好的让大家理解，我在电脑上做了一个映像劫持“安全卫士360”的操作，通过修改注册表项达到360不能启动的目的： [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/360Safe.exe]

第一步：打开注册表：在注册表编辑器中找到“Image File Execution Options”后，鼠标右键建立一个“项”

 

第二步：命名为“360Safe.exe”就是我们要封杀的项目。

 

第三步：在注册表的右边点鼠标右键建立一个新的“字符串值”命名为

“Debugger”并修改参数为"Debugger"="abcd.exe"意思就是用abcd.exe调试启动（abcd.exe并不存在，必定失败！)

 

 

第四步：退出注册表编辑器，双击打开“安全卫士360”，出现了如下的提示。

提示：也可以用它指定打开其它程序：

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/360Safe.exe]

"Debugger"="C://WINDOWS//pchealth//helpctr//binaries//msconfig.exe"

点击360打开了“系统配制实用程序”结果是不是可以让你疯掉！！你可以试验一下！！

 

问：如何保护我们不被病毒映像劫持呢？

答：我们要具备一些安全防范意识：具体方法就是以权限的方式拒绝修改注册表此项目。如图：

 

问：如果我们知道了病毒的主文件的名字，是不是也可以反杀病毒？

答：杀毒是不可以的，但是应该是可以控制病毒启动不了，按图解的方式操作，利用此方法停止病毒运行！（前提是可以修改注册表，如果打不开注册表可以使用Autoruns这个小程序帮助打开注册表,改好后重启电脑生效，可能会弹出提示框，忽略它）再利用我们的杀毒软件删除或手动删除。

给朋友们找到一个批处理命令，有兴趣的朋友可以试验一下。

@echo off

echo 《毒不天下》提示：此批处理只作技巧介绍,请勿用于非法活动!

pause

echo Windows Registry Editor Version 5.00>> kill.reg

echo [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/病毒名.EXE] >>kill.reg

echo "Debugger"="病毒名.EXE" >>kill.reg

regedit /s kill.reg &del /q kill.reg

修改“病毒名.exe”为你想禁止的病毒的文件名(如：威金的logo1_.exe,熊猫烧香的FuckJacks.exe)。把以上内容保存为kill.bat，双击运行。

这样用这些文件名的病毒就不能在你的系统中运行了。