修改镜像劫持（如何解决并预防IFEO系统文件镜像劫持）

本文目录

• 如何解决并预防IFEO系统文件镜像劫持
• 映像劫持怎么修复
• VB镜像劫持怎么把QQ劫持掉，就是一个小恶作剧，顺便再贴出来一个恢复的方法
• 映像劫持的解决措施
• 镜像劫持技术

如何解决并预防IFEO系统文件镜像劫持

一，什么是映像胁持（IFEO）？ 所谓的IFEO就是Image File Execution Options 在是位于注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 由于这个项主要是用来调试程序用的，对一般用户意义不大。默认是只有管理员和local system有权读写修改 :如何解决并预防IFEO？方法一： 限制法 此方法经测试非常有效，即使中毒了，辅助工具仍然能运行，如SREng,这样的就方便清除病毒，所以强烈推荐一般用户操作一次 它要修改Image File Execution Options，所先要有权限，才可读，于是。。一条思路就成了。。 开始-运行-regedt32 （这个是系统的32位注册表，和注册表操作方法差不多） 然后还是展开到： ) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 右键——选择权限 把权限改为拒绝即可. 方法二: 把下面除了Your Image File Name Here without a path以外的所有项删除即可。 三，映像胁持的基本原理：　 　 NT系统在试图执行一个从命令行调用的可执行文件运行请求时，先会检查运行程序是不是可执行文件，如果是的话，再检查格式的，然后就会检查是否存在。。如果不存在的话，它会提示系统找不到文件或者是“指定的路径不正确等等。。 当然，把这些键删除后，程序就可以运行！

映像劫持怎么修复

单击“开始”、“运行”，输入“regedit”，单击“确定”。 

依次展开： 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 

找到不能正常运行的程序的完整程序名，把与它相同名称的子项删除。 

不明白就给我发消息。 

参考这个吧，貌似那个已经不属于映像劫持了，属于exe关联破坏了： 

手工恢复EXE文件关联方法介绍 

有次朋友电脑中了病毒，笔者去看了一下，是个QQ病毒，由于挺长时间没有上网搜集病毒方面消息了，笔者对这些病毒的特性也不甚了解。笔者先打开“进程管理器”，将几个不太熟悉的程序关闭掉，但刚关掉一个，再去关闭另外一个时，刚才关闭的那个马上又运行了。没办法，笔者决定从注册表里先把启动项删除后，再重启试试，结果，笔者刚把那些启动项删除，然后刷新一下注册表，那些启动项又还原了，看来一般的方法是行不通了，上网下载专杀工具后，仍然不能杀掉。笔者知道这是因为病毒正在运行，所以无法删除。 

由于这台电脑只有一个操作系统，也没办法在另一个系统下删除这些病毒，这时怎么办呢？如果大家也遇到这种情况时，笔者向大家推荐一种方法。 

第一步：在“开始→运行”中输入CMD，打开“命令提示符”窗口。 

第二步：输入ftype exefile=notepad.exe %1，这句话的意思是将所有的EXE文件用“记事本”打开。这样原来的病毒就无法启动了。 

第三步：重启电脑，你会看见打开了许多“记事本”。当然，这其中不仅有病毒文件，还有一些原来的系统文件，比如：输入法程序。 

第四步：右击任何文件，选择“打开方式”，然后点击“浏览”，转到Windows\System32下，选择cmd.exe，这样就可以再次打开“命令提示符”窗口。 

第五步：运行ftype exefile="%1" %*，将所有的EXE文件关联还原。现在运行杀毒软件或直接改回注册表，就可以杀掉病毒了。 

第六步：在每一个“记事本”中，点击菜单中的“文件→另存为”，就可看到了路径以及文件名了。找到病毒文件，手动删除即可，但得小心，必须确定那是病毒才能删除。建议将这些文件改名并记下，重启后，如果没有病毒作怪，也没有系统问题，再进行删除， 

◆最后介绍一下Ftype的用法 

在Windows中，Ftype命令用来显示及修改不同扩展名文件所关联的打开程序。相当于在注册表器中修改“HKEY_CLASSES_ROOT”项下的部分内容一样。 

Ftype的基本使用格式为：Ftype  

比如：像上例中的ftype exefile=notepad.exe %1，表示将所有文件类型为EXE(exefile表示为EXE类型文件)的文件都通过“记事本”程序打开，后面的%1表示要打开的程序本身(就是双击时的那个程序)。 

ftype exefile="%1" %*则表示所有EXE文件本身直接运行(EXE 可以直接运行，所以用表示程序本身的%1即可)，后面的%*则表示程序命令后带的所有参数(这就是为什么EXE文件可以带参数运行的原因)。

VB镜像劫持怎么把QQ劫持掉，就是一个小恶作剧，顺便再贴出来一个恢复的方法

所谓的镜像劫持，就是修改注册表，在注册表的处新建一个以杀毒软件主程序命名的项，例如QQ.exe。然后再创建一个子键“Debugger="C:\WINDOWS\system32\drivers\OSO.exe。以后只要用户双击 QQ.exe就会运行OSO的病毒文件，类似文件关联的效果。 大体原理是这样的，修改Image File Execution Options键值后，在有QQ.exe运行请求的时候，就欺骗系统转而运行OSO.exe： 恢复只要把这个项从注册表里删除就恢复了。

映像劫持的解决措施

权限杜绝网上流传着一个让初级用户看不懂的做法，那就是关闭IFEO列表的写入权限，具体操作如下：执行32位注册表器regedt32.exe定位到HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options；确保焦点在Image File Execution Options上，选择“安全”—“权限”；将出现的用户列表内所有带有“写入”的权限去掉，确定退出。这样一来，任何对IFEO的写入操作都失效了，也就起了免疫效果。这个方法对一般而言还是不错的，除非遭遇到一些特殊的需要往里面写入堆管理参数的程序。建议一般用户还是禁止此项，从而杜绝一切IFEO类病毒来袭。快刀斩乱麻法打开注册表器，定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\，把“ImageFileExecutionOptions”项删除即可。利用Microsoft Sysinternals Suite更简单的方法，是使用Sysinternals Suite（一个微软的工具集合）中的Autoruns，点击它的“Image Hijacks”选项卡，即可看到被劫持的程序项了。

镜像劫持技术

别人的，不过看了下，介绍的挺清楚。。。一、原理　　所谓的映像劫持(IFEO)就是ImageFileExecutionOptions，它位于注册表的　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\键值下。由于这个项主要是用来调试程序用的，对一般用户意义不大，默认是只有管理员和localsystem有权读写修改。　　比如我想运行QQ.exe，结果运行的却是FlashGet.exe，这种情况下，QQ程序被FLASHGET给劫持了，即你想运行的程序被另外一个程序代替了。　　二、被劫持　　虽然映像劫持是系统自带的功能，对一般用户来说根本没什么用的必要，但是就有一些病毒通过映像劫持来做文章，表面上看起来是运行了一个正常的程序，实际上病毒已经在后台运行了。　　大部分的病毒和木马都是通过加载系统启动项来运行的，也有一些是注册成为系统服务来启动，他们主要通过修改注册表来实现这个目的，主要有以下几个键值：　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrent\Version\Run　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrent\Version\RunOnce　　HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrent\Version\RunServicesOnce　　但是与一般的木马，病毒不同的是，就有一些病毒偏偏不通过这些来加载自己，不随着系统的启动运行。木马病毒的作者抓住了一些用户的心理，等到用户运行某个特定的程序的时候它才运行。因为一般的用户，只要发觉自己的机子中了病毒，首先要察看的就是系统的加载项，很少有人会想到映像劫持，这也是这种病毒高明的地方。　　映像劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\项来劫持正常的程序，比如有一个病毒vires.exe要劫持qq程序，它会在上面注册表的位置新建一个qq.exe项，再在这个项下面新建一个字符串的键debugger把其值改为C:\WINDOWS\SYSTEM32\VIRES.EXE(这里是病毒藏身的目录)即可。　　三、玩劫持　　1、禁止某些程序的运行　　WindowsRegistryEditorVersion5.00　　　　Debugger=123.exe　　把上面的代码保存为norun_qq.reg，双击导入注册表，每次双击运行QQ的时候，系统都会弹出一个框提示说找不到QQ，原因就QQ被重定向了。如果要让QQ继续运行的话，把123.exe改为其安装目录就可以了。　　2、偷梁换柱恶作剧　　每次我们按下CTRL+ALT+DEL键时，都会弹出任务管理器，想不想在我们按下这些键的时候让它弹出命令提示符窗口，下面就教你怎么玩：　　WindowsRegistryEditorVersion5.00　　　　Debugger=D:\WINDOWS\pchealth\helpctr\binaries\mconfig.exe　　将上面的代码另存为task_cmd.reg，双击导入注册表。按下那三个键打开了“系统配置实用程序”。　　3、让病毒迷失自我　　同上面的道理一样，如果我们把病毒程序给重定向了，是不是病毒就不能运行了，答案是肯定的。　　WindowsRegistryEditorVersion5.00　　　　Debugger=123.exe　　　　Debugger=123.exe　　上面的代码是以金猪病毒和威金病毒为例，这样即使这些病毒在系统启动项里面，即使随系统运行了，但是由于映象劫持的重定向作用，还是会被系统提示无法找到病毒文件(这里是logo_1.exe和sppoolsv.exe)。　　四、防劫持　　1、权限限制法　　打开注册表器，定位到　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\，选中该项，右键→权限→高级，取消administrator和system用户的写权限即可。　　2、快刀斩乱麻法　　打开注册表器，定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\，把“ImageFileExecutionOptions”项删除即可。　　总结：以上关于映像劫持的解析与利用但愿对于大家查杀木马病毒有所帮助，也希望大家能够挖掘更多更实用的功能。