返回列表 发帖

映像劫持修复工具


偶在网上找到的一点东西!
一,什么是映像劫持(ifeo)
所谓的ifeo就是image file execution options
在是位于注册表的
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options
由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改

先看看常规病毒等怎么修改注册表吧。。
那些病毒、蠕虫和,木马等仍然使用众所皆知并且过度使用的注册表键值,如下:hkey_local_machine\software\microsoft\windows\currentversion\run
hklm\software\microsoft\windows nt\currentversion\windows\appinit_dlls
hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon\notify
hkey_local_machine\software\microsoft\windows\currentversion\runonce
hkey_local_machine\software\microsoft\windows\currentversion\runservicesonce
等等。。。。。。。。。。。。。。。
二,映像胁持的基本原理
nt系统在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是的话,再检查格式的,然后就会检查是否存在。。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确等等。。
三,如何解决并预防ifeo
方法一:  限制法(转自网络搜索)
它要修改image file execution options,所先要有权限,才可读,于是。。一条思路就成了。。
开始-运行-regedt32 (这个是系统的32位注册表,和注册表操作方法差不多)
然后还是展开到:
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options

方法二:
把[hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options]项删除即可
方法三:
使用ifeo映像挟持修复程序修复!

方法四:
使用sreng——>修复指令文件——>映像胁持修复!
方法五:
使用autoruns这个软件  ——>选项——>选中“隐藏微软项目(options-hide microsoft entries)”,然后点工具栏上的“刷新”按钮,再把image hijack(映像胁持)的此时里的所有项目(这时微软项目被隐藏了,可以选择的一般就都是病毒创建的项目了)删除。

附:sreng,autoruns下载:http://www.antidu.cn/board/helpst/

IFEO映像劫持修复工具.rar (61.28 KB)

返回列表

Powered by Discuz! 7.2   论坛QQ群:逐梦论坛群

© 2001-2021 Comsenz Inc. 鲁公网安备 37120302000001号