미러 하이재킹 기술

< /p>

다른 사람의 것이지만, 보고 소개하면 아주 명확하다. 。 。 < /p>

1, 원칙 < /p>

이른바 이미지 납치 (IFEO) 는 레지스트리의

에 위치한 ImageFileExecutionOptions 입니다 이 항목은 주로 프로그램 디버깅에 사용되기 때문에 일반 사용자에게는 별로 의미가 없습니다. 기본적으로 관리자와 localsystem 만 읽기 및 쓰기 수정 권한이 있습니다. < /p>

예를 들어 QQ.exe 를 실행하려고 하는데 FlashGet.exe 를 실행했습니다. 이 경우 QQ 프로그램은 FLASHGET 에 의해 납치되었습니다. 즉, 실행하려는 프로그램이 다른 프로그램으로 대체되었습니다. < /p>

2, 납치 < /p>

이미지 납치는 시스템에 포함된 기능이지만 일반 사용자에게는 전혀 쓸모가 없지만, 이미지 납치를 통해 글을 쓰는 바이러스도 있다. 겉으로는 정상적인 프로그램을 실행하는 것처럼 보이지만 실제로는 바이러스가 이미 백그라운드에서 실행되고 있다. < /p>

대부분의 바이러스와 트로이 목마는 시스템 부팅 항목을 로드하여 실행되거나, 일부는 시스템 서비스로 등록하여 시작되며, 주로 레지스트리를 수정하여 이를 수행합니다.

HKEY _ local _ mm 실행

HKEY _ local _ machine \ software \ Microsoft \ windows nt \ currentversion \ wis 현재 버전 \ winlogon \ notify

HKEY _ local _ machine \ software \ Microsoft \; Windows current \ version \ runservices once

하지만 일반 트로이 목마와는 달리, 일부 바이러스는 하필 이를 통해 자신을 로드하지 않고 시스템 부팅과 함께 실행되지 않습니다. 트로이 목마 바이러스의 저자는 일부 사용자의 심리를 파악해 사용자가 특정 프로그램을 실행할 때까지 운행하지 않는다. 일반 사용자가 자신의 기계가 바이러스에 걸렸다는 것을 알아차리면 가장 먼저 살펴보아야 할 것은 시스템의 추가 항목입니다. 이미지 납치를 생각하는 사람은 거의 없습니다. 이것도 이 바이러스가 뛰어난 곳입니다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), 성공명언) < /p>

이미지 하이재킹 바이러스는 주로 레지스트리에서 HKEY _ local _ machine \ software \ Microsoft \ windows nt \ current version \ 위 레지스트리 위치에 qq.exe 항목을 새로 만들고 이 항목 아래에 문자열을 새로 만드는 키인 debugger 를 C: \ Windows C：\WINDOWS\SYSTEM32\VIRES.EXE (이 경우 바이러스가 숨은 디렉토리) 로 변경하면 됩니다.

< /p>

3, 납치 < /p>

1, 특정 프로그램 실행 금지

windowsregistryeditorversion 5.00

debugger = 123.exe

위 코드를 norun 으로 저장합니다 QQ 가 계속 실행되도록 하려면 123.exe 를 설치 디렉토리로 변경하면 됩니다. < /p>

2, 빔 교체 못된장난 < /p>

CTRL+ALT+DEL 키를 누를 때마다 작업 관리자가 팝업됩니다. 이 키를 누를 때 명령 프롬프트 창을 꺼내시겠습니까?

windowsregistryeditorversion 5.00

[HKEY _ local _ machine \ son Taskmgr.exe]

debugger = d: \ windows \ pchealth \ helpctr \ binaries \ mconfig 세 개의 키를 눌러 시스템 구성 유틸리티를 엽니다. < /p>

3, 바이러스를 잃어버리는 것 < /p>

위와 마찬가지로, 우리가 바이러스 프로그램을 리디렉션하면 바이러스가 작동하지 않는 것이 아니냐는 대답은' 예' 입니다.

windowsregistryeditorversion 5.00

[HKEY _ local _ machine \ software \ Sppoolsv.exe]

debugger = 123.exe

[HKEY _ local _ machine \; Logo_1.exe]

debugger = 123.exe

위의 코드는 김돼지 바이러스와 위금 바이러스를 예로 들어 시스템 부팅 항목에 있는 경우에도 마찬가지입니다. < /p>

4, 납치 방지 < /p>

1, 권한 제한법 < /p>

레지스트리 편집기를 열고

[HKEY > 로 이동합니다

< /p>

2, 엉망진창 < /p>

레지스트리 편집기를 열고 [HKEY _ local _ machine \ software \ Microsoft 로 이동합니다 < /p>

요약: 위에서 언급한 이미지 납치에 대한 분석과 활용은 트로이 목마 바이러스를 조사하는 데 도움이 될 뿐만 아니라 더 실용적인 기능을 발굴할 수 있기를 바랍니다. < /p >