转至繁体中文版     | 网站首页 | 图文教程 | 资源下载 | 站长博客 | 图片素材 | 武汉seo | 武汉网站优化 | 
最新公告:     敏韬网|教学资源学习资料永久免费分享站!  [mintao  2008年9月2日]        
您现在的位置: 学习笔记 >> 图文教程 >> 网络应用 >> 网络安全 >> 正文
计算机中病毒不能使用杀毒软件之镜像劫持概述         ★★★★

计算机中病毒不能使用杀毒软件之镜像劫持概述

作者:闵涛 文章来源:闵涛的学习笔记 点击数:917 更新时间:2010/6/23 22:56:06

  为什么计算机中了病毒,有的时候就不能使用杀毒软件了呢?

  原因如下,与镜像劫持有关!

  操作系统本身就自带映像劫持的功能,病毒通过修改注册表来实现对杀毒软件的劫持,当你运行杀软的时候,它就会自动把目标指向病毒的路径,结果,运行的是病毒,而不是杀毒软件。

  一、镜像劫持概述

  系统在试图执行一个从命令行调用可执行文件,运行请求时,会先检查运行程序是不是可执行文件,如果是的话,继续检查格式,最后才会检查文件是否存在。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确“等错误。把注册表中的这些键删除后,程序就可以正常运行了。

  虽然镜像劫持是系统自带的功能,对我们一般用户来说根本没什么用处,但是就有一些病毒通过镜像劫持,却可以实现其目的,表面上看起来是运行了一个程序,实际上病毒已经在后台运行了。

  大部分的病毒和木马都是通过加载系统启动项来运行的,也有一些是注册成为系统服务来启动,它们主要通过修改注册表来实现这个目的,主要有以下几个方面:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

  HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

  但是与一般的木马、病毒不同的是,有一些病毒偏偏不通过这些来加载自己,不随着系统的启动运行,而是等到用户运行某个特定的程序的时候才运行,这正好抓住了一些用户的心理。

  二、镜像劫持原理

  一般的用户,只要发觉自己的机子中了病毒,首先要察看的就是系统的加载项,很少有人会想到镜像劫持劫持,这正是某些病毒高明的地方。

  劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Executionoptions 项来劫持正常的程序,比如有一个病毒bingdu.exe要劫持QQ程序,它会在上面注册表的位置新建一个QQ.exe项,在这个项下面新建一个字符串的键值“debugger”内容是:C:\WINDOWS\SYSTEM32\bingdu.exe。当然,如果你把该字符串值改为任意的其他值的话,系统就会提示找不到该文件。

  三、镜像劫持杀毒软件

  原理如上,下面是关于如何劫持杀毒软件的方法与解除的方法!

  ①劫持方法

  下面是注册表导入命令,把下面的命令粘贴到新的TXT文档中,另存为.REG后缀就行了,双击导入就行了

  Windows Registry Editor Version 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\updater.exe]

  "Debugger"="125.exe"

  ②恢复方法

  Windows Registry Editor Version 5.00

  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\updater.exe]

  "Debugger"="125.exe"

  就多一个减号

  ③其它

  其实要反病毒的镜像劫持的话,原理跟上面一样的

  Windows Registry Editor Version 5.00

  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\杀软的进程]

  "Debugger"="125.exe"


[电脑技术]诠释计算机中F5刷新的作用及含义  
教程录入:mintao    责任编辑:mintao 
  • 上一篇教程:

  • 下一篇教程:
  • 【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
      注:本站部分文章源于互联网,版权归原作者所有!如有侵权,请原作者与本站联系,本站将立即删除! 本站文章除特别注明外均可转载,但需注明出处! [MinTao学以致用网]
      网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)

    同类栏目
    · QQ技巧  · 网络安全
    · 网络技术
    更多内容
    热门推荐 更多内容
  • 没有教程
  • 赞助链接
    更多内容
    闵涛博文 更多关于武汉SEO的内容
    An error occurred on the server when processing the URL. Please contact the system administrator.

    If you are the system administrator please click here to find out more about this error.

    | 设为首页 |加入收藏 | 联系站长 | 友情链接 | 版权申明 | 广告服务
    MinTao学以致用网

    Copyright @ 2007-2012 敏韬网(敏而好学,文韬武略--MinTao.Net)(学习笔记) Inc All Rights Reserved.
    闵涛 投放广告、内容合作请Q我! E_mail:admin@mintao.net(欢迎提供学习资源)

    站长:MinTao 信息产业部ICP备案号:鄂ICP备11006601号

    闵涛站盟:医药大全-武穴网A打造BCD……
    咸宁网络警察报警平台