小编在这段时间遇到好多广大网友的咨询 , 今天免费分享一下关于电脑系统和电脑操作教程的知识大全 , 这篇文字是关于什么是映像劫持?小编教你镜像劫持的解决方案猜你喜欢的的文字 , 欢迎大金仔细阅读 , 如果不懂请多多关注我们网址陆续更新更多更全面的电脑教程 。
【什么是映像劫持?小编教你镜像劫持的解决方案猜你喜欢的】一些网友可能遇到过这样的情况 , 正常的程序不管放在什么位置 , 即便是重新使用修复过系统 , 都会出现改程序无法运行或运行次程序却指向另一个程序的情况 , 然而为该程序改名之后是可以正常运行的 。 这是因为该系统遭遇映像劫持 , 关联程序运行路径会启动恶意程序 , 映像劫持会导致注册表冗余文件过多而造成系统卡顿 , 运行缓慢 。 阅读下文了解映像劫持和IFEO预防方法 。
文章插图
一、什么是映像胁持(IFEO)?
映像劫持 , 也被称为IFEO(Image File Execution Options) , 在WindowsNT架构的系统里 , IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定 。 当一个可执行程序位于IFEO的控制中时 , 它的内存分配则根据该程序的参数来设定 , 而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据 , 最终得以设定一个程序的堆管理机制和一些辅助机制等 。 出于简化原因 , IFEO使用忽略路径的方式来匹配它所要控制的程序文件名 , 所以程序无论放在哪个路径 , 只要名字没有变化 , 它就运行出问题 。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File ExecutionOptions内 , 使用与可执行程序文件名匹配的项目作为程序载入时的控制依据 , 最终得以设定一个程序的堆管理机制和一些辅助机制等 , 大概微软考虑到加入路径控制会造成判断麻烦与操作不灵活的后果 , 也容易导致注册表冗余 , 于是IFEO使用忽略路径的方式来匹配它所要控制的程序文件名 。
Image File Execution Options位于注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
由于这个项主要是用来调试程序用的 , 对一般用户意义不大 。 默认是只有管理员和local system有权读写修改 先看看常规病毒等怎么修改注册表吧 。 。 那些病毒、蠕虫和 , 木马等仍然使用众所皆知并且过度使用的注册表键值 , 如下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
等等... 二、具体使用资料: 蓝色寒冰介绍:
@echo off rem 关闭命令回显 echo 此批处理只作技巧介绍 , 请勿用于非法活动! rem 显示echo后的文字 pause rem 停止 echo Windows Registry Editor Version 5.00>>ssm.reg echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\syssafe.EXE] >>ssm.reg echo "Debugger"="syssafe.EXE" >>ssm.reg rem 把echo后的文字导出到SSM.reg中 regedit /s ssm.reg del /q ssm.reg rem 导入ssm.reg并删除 使SSM失效HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\svchost.exe项下的"Debugger"="abc.exe" 意思是不执行svchost.exe而执行abc.exe 可能说了上面那么多 , 大家还弄不懂是什么意思 , 没关系 , 我们大家一起来看网络上另一个朋友做得试验: 1、开始-运行-regedit,展开到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
2、然后选上Image File Execution Options , 新建个项 , 然后 , 把这个项(默认在最后面)然后改成123.exe
3、选上123.exe这个项 , 然后默认右边是空白的 , 我们点右键 , 新建个字串符 , 然后改名为Debugger
4、这一步要做好 , 然后回车 , 就可以 。 。 。 再双击该键 , 修改数据数值(其实就是路径) 。 。
5、把它改为 C:\windows\system32\CMD.exe
注:C:是系统盘 , 如果你系统安装在D则改为D:如果是NT或2K的系统的话 , 把Windows改成Winnt , 下面如有再提起 , 类推 。
好了 , 实验下 。
6、然后找个扩展名为EXE的 , (我这里拿IcesWord.exe做实验) , 改名为123.exe 。
7、然后运行 。 出现了DOS操作框 , 不知情的看着一闪闪的光标 , 肯定觉得特诡异 。
推荐阅读
- 为什么无线网络连接上却不能上网,图文告诉您电脑连上无线网却不能上网怎么解决[图文]
- 看病人送水果禁忌 买什么水果送病人
- 男朋友送的礼物是零食 冬天送男朋友什么小零食
- 买车险送礼品是骗局吗 人保保险送的礼品
- 送给新婚老师的礼物 当兵的和老师结婚送什么新婚礼物
- 一般情人节送这些好 情人的礼物送什么好
- 情人节送老婆礼物实用 情人节送女朋友什么好呢
- 第一次去女方家带8礼物 去潮汕女友家买什么礼物
- 送男友实用的20个礼物 送男生生日礼物买什么
- 送老师实用的20个礼物 给老师送礼物送什么