逐梦论坛 - Powered by Discuz! Board

标题: 映像劫持修复工具 [打印本页]

作者: Dreaming 时间: 2008-7-2 19:03 标题: 映像劫持修复工具

偶在网上找到的一点东西！
一，什么是映像劫持（ifeo）
所谓的ifeo就是image file execution options
在是位于注册表的
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options
由于这个项主要是用来调试程序用的，对一般用户意义不大。默认是只有管理员和local system有权读写修改

先看看常规病毒等怎么修改注册表吧。。
那些病毒、蠕虫和，木马等仍然使用众所皆知并且过度使用的注册表键值，如下：hkey_local_machine\software\microsoft\windows\currentversion\run
hklm\software\microsoft\windows nt\currentversion\windows\appinit_dlls
hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon\notify
hkey_local_machine\software\microsoft\windows\currentversion\runonce
hkey_local_machine\software\microsoft\windows\currentversion\runservicesonce
等等。。。。。。。。。。。。。。。
二，映像胁持的基本原理
nt系统在试图执行一个从命令行调用的可执行文件运行请求时，先会检查运行程序是不是可执行文件，如果是的话，再检查格式的，然后就会检查是否存在。。如果不存在的话，它会提示系统找不到文件或者是“指定的路径不正确等等。。
三，如何解决并预防ifeo
方法一：限制法(转自网络搜索)
它要修改image file execution options，所先要有权限，才可读，于是。。一条思路就成了。。
开始-运行-regedt32 （这个是系统的32位注册表，和注册表操作方法差不多）
然后还是展开到：
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options

方法二:
把[hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options]项删除即可
方法三:
使用ifeo映像挟持修复程序修复！

方法四:
使用sreng——>修复指令文件——>映像胁持修复！
方法五:
使用autoruns这个软件 ——>选项——>选中“隐藏微软项目（options-hide microsoft entries）”，然后点工具栏上的“刷新”按钮，再把image hijack（映像胁持）的此时里的所有项目（这时微软项目被隐藏了，可以选择的一般就都是病毒创建的项目了）删除。

附：sreng,autoruns下载：http://www.antidu.cn/board/helpst/
[attach]1245[/attach]

作者: shillan 时间: 2008-7-4 22:08

瞅瞅

作者: zhangrd 时间: 2008-8-7 10:13

正需要呢～～～～～～～～～～～～

作者: luzheng 时间: 2008-8-7 17:35

fdgfgsdf

作者: chen15682677 时间: 2008-8-24 09:47

谢谢，哦那个用看看！

欢迎光临逐梦论坛 (http://temp2023.zhumeng.org/)