HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options
由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改。
利用:
在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options下新建一个 “项” test.exe(名字随便了),然后在这个项下建一个 “字符串值” 名为 Debugger,双击 Debugger将 “数据数值”的值设置为其他.exe程序的完整路径(如:%systemroot%system32cmd.exe)
现在就可以测试下了,将你机器中的一个.exe文件改名为test.exe,运行这个test.exe,出现的是命令提示符而不是test.exe的执行结果。
病毒就是这样利用的,把杀毒软件、系统检测工具和它(病毒)相关联。
解决方法:
I、因为映像劫持(image File Execution Options Hijack)只是针对文件名,所以只要更改变文件名,就可以使它失效。
II、把[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options]项删除即可
III、使用超级巡警中新发布的IFEO修复功能(“安全优化”中“系统修复”下的“Fix IFEO”) 即可(AST可能已经被映像劫持,可以使用超级巡警团队针对此类病毒新推出的“ToolsLoader”)。
2、删除以下注册表项破坏安全模式
HKLMSYSTEMControlSet001ControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLMSYSTEMControlSet001ControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLMSYSTEMCurrentControlSetControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLMSYSTEMCurrentControlSetControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318}
I、修复安全模式,可以用超级巡警的安全修复(“安全优化”中“系统修复”下的“Fix IFEO”)。
II、可以先在能进入安全模式的机器中导出
HKLMSYSTEMControSet001ControlSafeBoot
HKLMSYSTEMControSet003ControlSafeBoot
HKLMSYSTEMCurrentControlSetControlSafeBoot
然后复制到本机上导入。
3、修改系统隐藏属性
改HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue
值为0
//1为显示隐藏文件
详细资料见:
http://www.fzpchome.com/Article/bdcc/200706/445.html
http://dswlab.com/vir/v20070611.html
No comments:
Post a Comment
您的评论将使我blog更有动力~