映像劫持什么叫映像劫持

映像劫持  时间:2021-06-20  阅读:()

什么叫映像劫持?电脑出现该问题该怎么办?

删除就好了,映像劫持就是在注册表 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options 中添加项和键值可以劫持! 使用autonruns软件可以删除掉 autoruns 的下载地址: /soft/17567.html autoruns是非常不错的软件,下载安装该软件后打开软件,有个映像劫持,找到全删掉就好了

映像劫持什么东西 是病毒吗 对电脑有影响吗

打开电脑,在运行框中输入CMD,不是吧,系统居然提示找不到CMD文件,如下图示:点击确定又会弹出另外一个框:原以为是系统变量设置出了问题,直接打开我的电脑,进入C:WINDOWSSYSTEM32目录下,找到CMD.EXE直接运行,也是这样的情况! 马上进入到C:WINDOWSSYSTEM32DLLCATCH目录下,运行CMD.EXE文件,也是同样的提示:运mand命令,虽然能弹出提示符状态,但是几乎所有的命令都不能用。

用 GHOSTEXP.EXE 把原来备份中的CMD.EXE提取出来把 %SYSTEM% 和 %SYSTEM%DLLCATCH 下的CMD.EXE文件覆盖掉,双击运行之后仍然是这样的提示。

准备退出来的时候突然发现在C:WINDOWS下有一个CDE.EXE.EXE莫非这个就是原来的CMD.EXE文件,只是被修改了名字换了个地方,但是双击之后仍旧不能运行。

注:%system%指的是C:WINDOWSSYSTEM32或者是C:WINNTSYSTEM32目录。

更多的请参考:系统变量(%SystemRoot% ,%windir% ,%temp%,%system%)的表示方法一文。

糟了,中毒了,用咔吧查,什么病毒都没查出来,具体的什么病毒都不知道,看来只能自己找资料手动解决这个问题了。

很有可能就是一些病毒修改了注册表,于是在运行框中输入REGEDIT,居然弹出现面的提示:连注册表业打不开了,会不会是系统的EXE文件关联被修改了,这个需要通过修改注册表来恢复。

但是注册表现在又打不开,用记事本编辑注册表文件,再导入不就可以了么? 于是打开记事本文档,在里面输入以下内容(目的是允许当前用户运行cmd命令):============================================Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOTexefileshellmand]@=""%1" %*"============================================保存为cmd.reg(文件名可以任意),运行导入,结果弹出下面提示:看来这个也不能用了,会不会是自己编辑注册表文件的时候输错了呢?带着这个疑问,我打开了另外一个注册表文件,也是同样的提示:看来是病毒的原因了。

想通过批处理命令来对注册表操作,随便找了一个批处理命令双击,也不行:头都有点大了,不知道该这么办了,突然想起来EXE文件虽然不可以运行,但是COM文件中应该可以运行吧!于是进入 C:WINDOWS 把 regedit.exe 改名为 双击运行,即可打开注册表编辑器。

这下就可以修复文件关联了,具体的操作请参考:系统exe文件关联被修改,如何恢复exe文件关联一文。

EXE文件关联修复之后,问题依旧,看来问题没有那么简单,不是EXE文件关联,那能是什么原因呢? 会不会是因为用户权限被修改的原因呢(在注册表中可以设置禁止用户运行批处理文件和CMD),于是打开注册表编辑器,进入HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsSystem新建一个双字节值项DisableCMD(如果没有的话,有的话直接修改其值就可以了,但要注意的是必须是双字节值,不是的话需要删掉重建),将其值设为 0 (这里的作用就是使用户可以运行cmd和批处理文件),当然它也有其它的参数:修改其值为2,则命令解释器和批处理文件都不能够被运行;如果只是禁止命令解释器的运行,而运行批处理文件的运行,则修改DisableCMD的值为1。

这些大家可以自行试试! 当然也可以通过下面的注册表文件导入方法来实现(前提是等到注册表修复之后):============================================Windows Registry Editor Version 5.00[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsSystem]"DisableCMD"=dword:00000000 ============================================ 虽然权限也设置过了,但是问题依旧没有解决。

真的有点不知道该怎么办了?呜呜…………虽然还没找到彻底解决的办法,但是可以先给大家提供一个临时解决的办法,将系统中的CMD.EXE,REGEDIT.EXE,MSCONFIG.EXE文件的扩展名都改为COM基本上就可以暂时使用了!只不过要在运行框中输入命令时要带上COM扩展名。

找了这么久,终于找到原因了,原来是中了映像劫持病毒了,对于这种病毒只需要把映像劫持给关了就行了,可以通过修改注册表来实现:把[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options]项删除即可。

什么叫映像劫持

映像劫持 windows映像劫持技术(IFEO) 基本症状:可能有朋友遇到过这样的情况,一个正常的程序,无论把他放在哪个位置或者是重新用安装盘修复过的程序,都无法运行或者是比如运行A却成了执行B的程序了,而改名后却可以正常运行。



既然我们是介绍IFEO技术相关,那我们就先介绍下: 一,什么是映像胁持(IFEO)? 所谓的IFEO就是Image File Execution Options 在是位于注册表的 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options 由于这个项主要是用来调试程序用的,对一般用户意义不大。

默认是只有管理员和local system有权读写修改 先看看常规病毒等怎么修改注册表吧。



那些病毒、蠕虫和,木马等仍然使用众所皆知并且过度使用的注册表键值,如下: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce 等等。





























二,具体使用资料: QUOTE: 下面是蓝色寒冰的一段介绍: @echo off //关闭命令回显 echo 此批处理只作技巧介绍,请勿用于非法活动!//显示echo后的文字 pause //停止 echo Windows Registry Editor Version 5.00>>ssm.reg echo [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssyssafe.EXE] >>ssm.reg echo "Debugger"="syssafe.EXE" >>ssm.reg //把echo后的文字导出到SSM.reg中 regedit /s ssm.reg &del /q ssm.reg //导入ssm.reg并删除 使SSM失效HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssvchost.exe项下的"Debugger"="abc.exe" 意思是不执行svchost.exe而执行abc.exe QUOTE: 可能说了上面那么多,大家还弄不懂是什么意思,没关系,我们大家一起来看网络上另一个朋友做得试验: 如上图了,开始-运行-regedit,展开到: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options 然后选上Image File Execution Options,新建个项,然后,把这个项(默认在最后面)然后改成123.exe 选上123.exe这个项,然后默认右边是空白的,我们点右键,新建个“字串符”,然后改名为“Debugger" 这一步要做好,然后回车,就可以。





再双击该键,修改数据数值(其实就是路径)。



把它改为 C:windowssystem32CMD.exe (PS:C:是系统盘,如果你系统安装在D则改为D:如果是NT或2K的系统的话,把Windows改成Winnt,下面如有再T起,类推。





) 好了,实验下。

~ . 然后找个扩展名为EXE的,(我这里拿IcesWord.exe做实验),改名为123.exe。





然后运行之。





嘿嘿。



出现了DOS操作框,不知情的看着一闪闪的光标,肯定觉得特鬼异~^_^。



一次简单的恶作剧就成咧。





同理,病毒等也可以利用这样的方法,把杀软、安全工具等名字再进行重定向,指向病毒路径 SO..如果你把病毒清理掉后,重定向项没有清理的话,由于IFEO的作用,没被损坏的程序一样运行不了! 三,映像胁持的基本原理: QUOTE: NT系统在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是的话,再检查格式的,然后就会检查是否存在。



如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确等等。



当然,把这些键删除后,程序就可以运行! 四,映像胁持的具体案例: 引用JM的jzb770325001版主的一个分析案例: QUOTE: 蔚为壮观的IFEO,稍微有些名气的都挂了: HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsavp.exe HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAgentSvr.exe HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsCCenter.exe HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRav.exe 从这个案例,我们可以看到这个技术的强大之处!很多的杀软进程和一些辅助杀软或工具,全部被胁持,导致你遇到的所有杀软都无法运行! 试想如果更多病毒,利用于此,将是多么可怕的事情! 五:如何解决并预防IFEO? 方法一: 限制法(转自网络搜索) 它要修改Image File Execution Options,所先要有权限,才可读,于是。



一条思路就成了。



开始-运行-regedt32 (这个是系统的32位注册表,和注册表操作方法差不多) 然后还是展开到: ) HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options 方法二: 把[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options]项删除即可

npidc:9元/月,cn2线路(不限流量)云服务器,金盾+天机+傲盾防御CC攻击,美国/香港/韩国

npidc全称No Problem Network Co.,Limited(冇問題(香港)科技有限公司,今年4月注册的)正在搞云服务器和独立服务器促销,数据中心有香港、美国、韩国,走CN2+BGP线路无视高峰堵塞,而且不限制流量,支持自定义内存、CPU、硬盘、带宽等,采用金盾+天机+傲盾防御系统拦截CC攻击,非常适合建站等用途。活动链接:https://www.npidc.com/act.html...

易探云:香港大带宽/大内存物理机服务器550元;20Mbps带宽!三网BGP线路

易探云怎么样?易探云隶属于纯乐电商旗下网络服务品牌,香港NTT Communications合作伙伴,YiTanCloud Limited旗下合作云计算品牌,数十年云计算行业经验。发展至今,我们已凝聚起港内领先的开发和运维团队,积累起4年市场服务经验,提供电话热线/在线咨询/服务单系统等多种沟通渠道,7*24不间断服务,3分钟快速响应。目前,易探云提供香港大带宽20Mbps、16G DDR3内存、...

vpsdime:VPS内存/2核/VPS,4G内存/2核/50gSSD/2T流量/达拉斯机房达拉斯机房,新产品系列-Windows VPS

vpsdime上了新产品系列-Windows VPS,配置依旧很高但是价格依旧是走低端线路。或许vpsdime的母公司Nodisto IT想把核心产品集中到vpsdime上吧,当然这只是站长个人的猜测,毕竟winity.io也是专业卖Windows vps的,而且也是他们自己的品牌。vpsdime是一家新上来不久的奇葩VPS提供商,实际是和backupspy以及crowncloud等都是同一家公司...

映像劫持为你推荐
手机软件开发工具如何自己开发一个app软件selectintoACCESS中提示“不允许在select into语句中使用多值字段”微信网页版登陆首页微信网页版怎么用?微信网页版怎么登陆?在线沟通网络沟通的问题有哪些idataparameterweighting parameter是什么意思pass是什么锒行卡上的闪付pass是什么意思?distinct是什么意思SQL数据库DISTINCT是什么意思网页背景音乐代码有没有网页背景音乐播放器代码??网页背景音乐代码网页背景音乐代码,我要哪怕转换网页都不间断的那种driversbackup为什么电脑开机时一直进backup system
中国互联网域名注册 域名是什么 vps服务器 电信测速器 京东云擎 轻博 服务器怎么绑定域名 地址大全 qq数据库 135邮箱 环聊 宏讯 主机管理系统 什么是web服务器 阿里云手机官网 免费php空间 国外网页代理 云服务是什么意思 apnic 阿里云个人邮箱 更多