大家對(duì)于映像劫持(IFEO)應(yīng)該都不陌生，從2007年開(kāi)始，眾多病毒木馬就利用映像劫持關(guān)閉殺毒軟件，傳播自身。

所謂的映像劫持IFEO就是Image File Execution Options(其實(shí)應(yīng)該稱為 Image Hijack)。它位于注冊(cè)表的

IFEO的本意是為一些在默認(rèn)系統(tǒng)環(huán)境中運(yùn)行時(shí)可能引發(fā)錯(cuò)誤的程序執(zhí)行體提供特殊的環(huán)境設(shè)定。由于這個(gè)項(xiàng)主要是用來(lái)調(diào)試程序用的，對(duì)一般用戶意義不大。默認(rèn)是只有管理員和Local system有權(quán)讀寫(xiě)修改。

當(dāng)一個(gè)可執(zhí)行程序位于IFEO的控制中時(shí)，它的內(nèi)存分配則根據(jù)該程序的參數(shù)來(lái)設(shè)定，而WindowsNT架構(gòu)的系統(tǒng)能通過(guò)這個(gè)注冊(cè)表項(xiàng)使用與可執(zhí)行程序文件名匹配的項(xiàng)目作為程序載入時(shí)的控制依據(jù)，最終得以設(shè)定一個(gè)程序的堆管理機(jī)制和一些輔助機(jī)制等。出于簡(jiǎn)化原因，IFEO使用忽略路徑的方式來(lái)匹配它所要控制的程序文件名，所以程序無(wú)論放在哪個(gè)路徑，只要名字沒(méi)有變化，它就運(yùn)行出問(wèn)題。

映像劫持IFEO實(shí)例演示

這里我們用一個(gè)實(shí)際例子，來(lái)演示一下映像劫持。

點(diǎn)擊“開(kāi)始”-“運(yùn)行”輸入“regedit”命令，打開(kāi)注冊(cè)表編輯器，展開(kāi)到：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image
 File Execution Options\

然后選擇Image File Execution Options，右鍵點(diǎn)擊新建一個(gè)項(xiàng)，把這個(gè)項(xiàng)(默認(rèn)在最后面)命名為QQ.exe。

望文知意，這次是要用QQ來(lái)做試驗(yàn)。選中QQ.exe這個(gè)項(xiàng)，此時(shí)右邊默認(rèn)是空白的。點(diǎn)擊鼠標(biāo)右鍵，新建一個(gè)“字串符”，然后改名為“Debugger”最后一步，雙擊該鍵，修改數(shù)據(jù)數(shù)值(其實(shí)就是路徑)，這里是修改為Windows系統(tǒng)“記事本”程序的路徑

注：“C:”是系統(tǒng)盤(pán)，如果你的系統(tǒng)安裝在D盤(pán)則改為“D:”(不包括雙引號(hào))。這里使用的操作系統(tǒng)是Windows2000，如果你的系統(tǒng)不是Windows2000或WindowsNT的話，把WINNT改成Windows，類似情況同理處理。

好了，實(shí)驗(yàn)下，看看效果。點(diǎn)擊QQ.exe，看出現(xiàn)了什么

QQ主程序QQ.exe被記事本“劫持”了，記事本直接按照.txt文檔格式打開(kāi)了QQ.exe程序。

回到注冊(cè)表，刪除相應(yīng)鍵，一切又恢復(fù)了正常，熟悉的QQ界面回來(lái)了。

同理，病毒等也可以利用這樣的方法，把殺毒軟件、安全工具等名字再進(jìn)行重定向，指向病毒路徑。所以，如果你把病毒清理掉后，重定向項(xiàng)沒(méi)有清理的話，由于IFEO的作用，沒(méi)被損壞的程序一樣運(yùn)行不了！

映像劫持終極利用——讓病毒迷失自我　　

同上面的道理一樣，如果我們把病毒程序給重定向了，病毒也就變得“找不到北”無(wú)法正常運(yùn)行了。

WindowsRegistryEditorVersion5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\
ImageFileExecutionOptions\sppoolsv.exe]
Debugger=123.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\
ImageFileExecutionOptions\logo_1.exe]
Debugger=123.exe

將上面的代碼保存為后綴.reg的文件，雙擊執(zhí)行(這里以金豬病毒和威金病毒為例)，這樣即使這些病毒在系統(tǒng)啟動(dòng)項(xiàng)里面，即使隨系統(tǒng)運(yùn)行了，但是由于映象劫持的重定向作用，還是會(huì)被系統(tǒng)提示無(wú)法找到病毒文件(這里是logo_1.exe和sppoolsv.exe)。

現(xiàn)在病毒木馬更多的是在利用各類移動(dòng)設(shè)施(U盤(pán)等)、通過(guò)網(wǎng)頁(yè)掛馬進(jìn)行傳播，通過(guò)模擬用戶操作關(guān)閉殺毒軟件。但我們?nèi)匀豢梢酝ㄟ^(guò)這個(gè)映像劫持的實(shí)例進(jìn)行深入思考：如何利用病毒自身的技術(shù)來(lái)抵御病毒木馬的入侵。

【編輯推薦】

1. 巧用“映像劫持IFEO”控制病毒運(yùn)行！
2. 非常詳細(xì)的映像劫持分析
3. 映像劫持的功能