http://www.zcom.com/article/15703/
接着用鼠标双击“Debugger”键值,打开如图2所示的编辑对话框, 在这里的“数值数据”文本框中输入灰鸽子病毒程序的具体路径信息,例如笔者在这里输入的是“%systemroot%/system32/huigezi.exe”,单击“确定”按钮后,整个映像劫持操作就完成了。
由于笔者在这里手工创建的程序是360安全卫士杀毒软件,可是对应该程序下面的调试值却不是对应“E:/ProgramFiles/360/360Safe/360Safe.exe”这个真正的杀毒软件程序,而是灰鸽子病毒程序!也就是说,当我们完成上述映像劫持操作任务后,日后当我们再次采用手工方法启动运行360安全卫士杀毒软件时,360安全卫士杀毒程序会被灰鸽子病毒程序所替代,灰鸽子病毒程序会自动发作、运行,如此一来灰鸽子病毒程序就实现了劫持360安全卫士杀毒软件的目的了。
日后,当我们怀疑杀毒软件被映像劫持时,可以使用一个微软工具集合中的Autoruns工具, 点击该程序界面中的“ImageHijacks”标签,在对应标签设置页面中我们就能清楚地看到究竟哪些程序项被非法劫持了。
禁止病毒映像劫持
弄清楚了网络病毒劫持杀毒软件的工作原理后, 我们就能很轻松地找到合适的办法,来禁止病毒进行映像劫持了。为了保护本地系统的运行安全, 我们可以限制网络病毒对注册表中ImageFileExecutionOptions子项的写入权限,从而实现禁止病毒进行映像劫持的目的,下面就是具体的实现步骤:
首先打开本地系统的注册表编辑窗口, 依次展开该窗口左侧列表中的注册表分支选项HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/ImageFileExecutionOptions,同时用鼠标右键单击ImageFileExecutionOptions选项,从弹出的快捷菜单中执行“ 权限”命令,打开如图3所示的权限设置对话框;
其次选中该对话框中的“system”用户账号,在对应该用户账号的权限列表框中,将默认允许的“完全控制”权限和“读取”权限全部设置为“拒绝”;
接着再选中“administrator”用户账号,按照相同的操作方法将该用户账号默认允许的“完全控制”权限和“读取”权限,也依次3设置为“拒绝”;完成上述设置操作后, 单击“ 确定” 按钮,这时系统屏幕上会弹出一个提示信息,询问我们是否要继续设置权限,我们只要单击“是”按钮进行肯定回答,最后重新启动一下本地计算机系统, 那样一来上述设置操作就能生效了, 此时网络病毒就没有权限在ImageFileExecutionOptions子项下面写入信息了。
当然,我们也可以选中HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image FileExecutionOptions注册表分支选项, 并用鼠标右键单击该分支选项, 从弹出的快捷菜单中执行“ 删除” 命令,将ImageFileExecutionOptions子项直接从系统注册表中删除掉,这样一来我们就能杜绝一切IFEO类病毒了。
测试映像劫持操作
经过上述设置操作后,IFEO类型的网络病毒就无法对杀毒软件进行映像劫持操作了,因为网络病毒已经没有权限对ImageFileExecutionOptions子项进行写入操作了。例如,当我们再次打开系统注册表编辑窗口,右击注册表编辑窗口中的ImageFileExecutionOptions子项,从弹出的快捷菜单中依次点选“新建”|“项”命令,这个时候我们会发现系统屏幕上会弹出“无法创建值”之类的提示信息,这说明任何程序都将无权进行映像劫持操作了。