周一去客户那里处理一台服务器说是被人攻破中了***,查看服务器上只安装了一个微点的杀毒软件(以前没有听说过),用惯了360下载并安装,安装过程中提示一个文本文件(一个文本文件语言不通顺,怀疑是人为的,根据文件名jingao.txt找到了执行文件jingao.exe将其删掉),双击快捷方式系统提示文件360safe未找到,我当时感到很奇妙,路径和文件名都没有问题,而且也有那个文件,怀疑***做的手脚,打开360安装的所在目录点击360safe文件问题依旧,把文件名字修改一下,居然起来了。然后查杀发现的确有一个启动项jingao.exe(已经被我删除了。)通过360查杀发现问题,但是处理不掉,查处来的问题是镜像劫持。安全模式下也试过不行。上网搜索发现以下内容。

镜像劫持的意义

  在针对杀毒软件方面,OSO病毒还采用了一种新技术,这种技术被称为镜像劫持,通过这种技术也能够将杀毒软件置于死地。


  所谓的镜像劫持,就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项,例如Rav.exe。然后再创建一个子键“Debugger="C:\WINDOWS\system32\drivers\ceffen.com”。以后只要用户双击 Rav.exe就会运行OSO的病毒文件ceffen.com,类似文件关联的效果。

镜像劫持的简单解决方法


  如果电脑上有杀毒软件或360什么的但是中了镜像劫持是安全软件无法运行的话,

 


  其实只需要更改一下安全软件的名字就能不被镜像劫持利用,个人认为这是最适合初学者的最简单办法。

 

  首先找到安全软件的位置大部分都放在program files文件夹下。 找到名字例如拿360做例子原文件路径X:\Program Files\360safe原名为360Safe.exe 你把名字改为36015safe.exe(名字什么都行不过就不能是安全软件的名字)然后双击此安全软件就会过镜像劫持开始运行,后面的查杀就不需要说什么了吧。这小操作可以解决燃眉之急啦。

    问题解决了,在网上搜到的文章在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,下找到被禁止的启动文件名,删除即可。

       但是病毒不会让你轻而易举的将键值删掉,最好下载了一个金山的工具将其删掉。