注册表映像劫持技术

10/6/2008来源:注册表人气:9859

    通常我们的自启动大多是通过注册表启动项,文件夹启动项,服务启动等,然而还有一种人们所不常见的自启动方法,他不同于文件关联启动,他却能劫持某一特定程序,以下解释来自百度百科:
    “映像劫持”,也被称为“IFEO”(Image File Execution Options,其实应该称为“Image Hijack”,至少也应该称为IFEO Hijack而不是只有“IFEO”自身!),它的存在自然有它的理由,在WindowsNT架构的系统里,IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定,系统厂商之所以会这么做,是有一定历史原因的,在Windows NT时代,系统使用一种早期的堆栈Heap,由应用程序管理的内存区域)管理机制,使得一些程序的运行机制与现在的不同,而后随着系统更新换代,厂商修改了系统的堆栈管理机制,通过引入动态内存分配方案,让程序对内存的占用更为减少,在安全上也保护程序不容易被溢出,但是这些改动却导致了一些程序从此再也无法运作,为了兼顾这些出问题的程序,微软以“从长计议”的态度专门设计了“IFEO”技术,它的原意根本不是“劫持”,而是“映像文件执行参数”!

映像劫持技术是通过修改注册表实现的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

利用方法如下,我通过一个REG文件实现,如果使用编程也是非常简单的,REG文件内容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQ.exe]
"Debugger"="muma.exe"

这段代码表示要劫持的程序为qq.exe,只要运行文件名为qq.exe的,不管在哪个文件夹下都会启动SYSTEM32目录下的muma.exe(当然你可以直接把qq.exe改成你要启动程序的路径 )。
因此,如果您的计算机不慎中毒,除了检查注册表启动项、文件夹启动项、服务外,还要小心检测注册表里容易被映像劫持的Image File Execution Options项。