映像劫持
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
20112011-4-18 8
网络安全专题技术之一
病毒等也可以利用这样的方法,把杀软、 安全工具等名字再进行重定向,指向病毒 路径。 所以,如果你把病毒清理掉后,重定向项 没有清理的话,由于IFEO的作用,没被损 坏的程序一样运行不了!
20112011-4-18
9
网络安全专题技术之一
把病毒给劫持了
映像劫持技术( 映像劫持技术( IFEO)
葛昕
网络安全专题技术之一
目录
什么是映像劫持(IEFO) 具体资料 基本原理 具体案例 如何防范?
20112011-4-18
2
网络安全专题技术之一
一、映像劫持
基本症状:一个正常的程序,无论把它放在哪个位置,或 基本症状 者是一个程序重新用安装盘修复过,还是出现无法运行的 情况,或是出错提示为“找不到文件”或者直接没有运行 起来的反应,或者是比如运行程序A却成了执行B(可能 是病毒),而改名后却可以正常运行的现象。 遭遇流行“映像劫持”病毒的系统表现为常见的杀毒软件、 常见的杀毒软件、 常见的杀毒软件 防火墙、安全检测工具等均提示“找不到文件” 防火墙、安全检测工具等均提示“找不到文件”或执行了 没有反应,于是大部分用户只能去重装系统了,但是有经 没有反应 验或者歪打正着的用户将这个程序改了个名字,就发现它 又能正常运行了~~
20112011-4-18 15
网络安全专题技术之一
20112011-4-18
16
网络安全专题技术之一
OVER
20112011-4-18
17
20112011-4-18 11
网络安全专题技术之一
一个例子
以超级巡警的主要执行文件AST.exe为例,首先,有个文 件名为kkk.exe的恶意程序向IFEO列表里写入AST.exe 项,并设置其Debugger指向kkk.exe。 于是系统就会认为kkk.exe是AST.exe的调试器,这样每 次用户点击执行AST.exe时,系统执行的实际上是作为调 试器身份的kkk.exe,至于本该被执行的AST.exe,此刻 只能被当作kkk.exe的执行参数来传递而已。 由于kkk.exe不是调试器性质的程序,甚至恶意程序作者 都没有编写执行参数的处理代码,所以被启动的永远只有 kkk.exe自己一个,用户每次点击那些“打不开”的安全 工具,实际上就等于又执行了一次恶意程序本体!
20112011-4-18 6
网络安全专题技术之一
另外一种劫持的方法
在目标程序目录下建立与系统DLL相同的导出函数,执行内容为 f=LoadLibrary(byref "c:\windows\system32\"+dllname) f=GetProcAddress(byval f,byref procname) !jmp f '(PowerBasic) 在DLL初始化的时候可以干一些坏事,以此来达到改变原应用程序的目 的
20112011-4-18 4
网络安全专题技术之一
IFEO的本意是为一些在默认系统环境中运行时可能引发 错误的程序执行体提供特殊的环境设定。由于这个项主要 是用来调试程序用的,对一般用户意义不大。默认是只有 管理员和local system有权读写修改。 当一个可执行程序位于IFEO的控制中时,它的内存分配 则根据该程序的参数来设定,而WindowsNT架构的系统 能通过这个注册表项使用与可执行程序文件名匹配的项目 作为程序载入时的控制依据,最终得以设定一个程序的堆 管理机制和一些辅助机制等。出于简化原因,IFEO使用 忽略路径的方式来匹配它所要控制的程序文件名,所以程 序无论放在哪个路径,只要名字没有变化,它就运行出问 题
ຫໍສະໝຸດ Baidu
20112011-4-18
7
网络安全专题技术之一
如何利用注册表该项来重定向程序 运行参数,使得发生映像劫持
举例说明 :运行A,执行的是B. 进入注册表该位置: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ 选上Image File Execution Options,新建个项,然后,把这个项 (默认在最后面)改成123.exe。 选上123.exe这个项,然后默认右边是空白的,我们点右键,新建个 “字串符”,然后改名为“Debugger" 再双击该键,修改数据数值(其实就是路径),把它改为 C:\windows\system32\CMD.exe 将某个exe文件改名测试 。
20112011-4-18
13
网络安全专题技术之一
如何解决并防范“映像劫持”?
方法一: 方法一: 限制法 它要修改Image File Execution Options,所先要有权限,才可读, 于是 : 打开注册表编辑器,定位到 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Cur rentVersion\ImageFileExecutionOptions\,选中该项,右键→权限 →高级,取消administrator和system用户的写权限即可。 方法二: 方法二:快刀斩乱麻法 打开注册表编辑器,定位到 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Cur rentVersion\,把“ImageFileExecutionOptions”项删除即可。
20112011-4-18 12
网络安全专题技术之一
映像劫持的具体案例
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Im age File Execution Options\360tray.exe HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Im age File Execution Options\CCenter.exe HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Im age File Execution Options\Rav.exe 由此看出,我们可以看到这个技术的强大之处!很多的杀软进程和一 些辅助杀软或工具,全部被胁持,导致你遇到的所有杀软都无法运行
20112011-4-18
3
网络安全专题技术之一
什么是映像劫持 ?
所谓的映像劫持IFEO就是Image File Execution Options 其实应该称为“Image Hijack”。 它是位于注册表的
HKEY_LOCAL_MACHINE\SOFTWARE\Micro soft\Windows NT\CurrentVersion\Image File Execution Options
把病毒程序给重定向了,是不是病毒就不能运行了,答案是肯定的。 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\ CurrentVersion\ImageFileExecutionOptions\sppoolsv.exe] Debugger=123.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\ CurrentVersion\ImageFileExecutionOptions\logo_1.exe] Debugger=123.exe 金猪病毒和威金病毒为例,这样即使这些病毒在系统启动项里面,即 使随系统运行了,但是由于映象劫持的重定向作用,还是会被系统提 示无法找到病毒文件(这里是logo_1.exe和sppoolsv.exe)。
20112011-4-18 10
网络安全专题技术之一
关于 “Debugger”
Debugger参数,直接翻译为“调试器”,它是 IFEO里第一个被处理的参数,其作用是属于比较 匪夷所思的,系统如果发现某个程序文件在IFEO 列表中,它就会首先来读取Debugger参数,如 果该参数不为空,系统则会把Debugger参数里 指定的程序文件名作为用户试图启动的程序执行 请求来处理,而仅仅把用户试图启动的程序作为 Debugger参数里指定的程序文件名的参数发送 过去!
20112011-4-18 5
网络安全专题技术之一
病毒蠕虫木马修改注册表键值启动
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentV ersion\Windows\AppInit_DLLs HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows NT\CurrentVersion\Winlogon\Notify HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Wind ows\CurrentVersion\RunServicesOnce
20112011-4-18 14
网络安全专题技术之一
方法三: 方法三:利用工具修复 更简单的方法,是使用Sysinternals Suite(一个微软的工具 集合)中的Autoruns,点击它的“Image Hijacks”选项卡,即可看 到被劫持的程序项了。 方法四: 方法四:权限杜绝 网上还流传着一个让初级用户看不懂的做法,那就是关闭IFEO 列表的写入权限,具体操作如下: 执行32位注册表编辑器regedt32.exe 定位到 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Im age File Execution Options; 确保焦点在Image File Execution Options上,选择“安全”— “权限”;将出现的用户列表内所有带有“写入”的权限去掉,确定 退出。
网络安全专题技术之一
病毒等也可以利用这样的方法,把杀软、 安全工具等名字再进行重定向,指向病毒 路径。 所以,如果你把病毒清理掉后,重定向项 没有清理的话,由于IFEO的作用,没被损 坏的程序一样运行不了!
20112011-4-18
9
网络安全专题技术之一
把病毒给劫持了
映像劫持技术( 映像劫持技术( IFEO)
葛昕
网络安全专题技术之一
目录
什么是映像劫持(IEFO) 具体资料 基本原理 具体案例 如何防范?
20112011-4-18
2
网络安全专题技术之一
一、映像劫持
基本症状:一个正常的程序,无论把它放在哪个位置,或 基本症状 者是一个程序重新用安装盘修复过,还是出现无法运行的 情况,或是出错提示为“找不到文件”或者直接没有运行 起来的反应,或者是比如运行程序A却成了执行B(可能 是病毒),而改名后却可以正常运行的现象。 遭遇流行“映像劫持”病毒的系统表现为常见的杀毒软件、 常见的杀毒软件、 常见的杀毒软件 防火墙、安全检测工具等均提示“找不到文件” 防火墙、安全检测工具等均提示“找不到文件”或执行了 没有反应,于是大部分用户只能去重装系统了,但是有经 没有反应 验或者歪打正着的用户将这个程序改了个名字,就发现它 又能正常运行了~~
20112011-4-18 15
网络安全专题技术之一
20112011-4-18
16
网络安全专题技术之一
OVER
20112011-4-18
17
20112011-4-18 11
网络安全专题技术之一
一个例子
以超级巡警的主要执行文件AST.exe为例,首先,有个文 件名为kkk.exe的恶意程序向IFEO列表里写入AST.exe 项,并设置其Debugger指向kkk.exe。 于是系统就会认为kkk.exe是AST.exe的调试器,这样每 次用户点击执行AST.exe时,系统执行的实际上是作为调 试器身份的kkk.exe,至于本该被执行的AST.exe,此刻 只能被当作kkk.exe的执行参数来传递而已。 由于kkk.exe不是调试器性质的程序,甚至恶意程序作者 都没有编写执行参数的处理代码,所以被启动的永远只有 kkk.exe自己一个,用户每次点击那些“打不开”的安全 工具,实际上就等于又执行了一次恶意程序本体!
20112011-4-18 6
网络安全专题技术之一
另外一种劫持的方法
在目标程序目录下建立与系统DLL相同的导出函数,执行内容为 f=LoadLibrary(byref "c:\windows\system32\"+dllname) f=GetProcAddress(byval f,byref procname) !jmp f '(PowerBasic) 在DLL初始化的时候可以干一些坏事,以此来达到改变原应用程序的目 的
20112011-4-18 4
网络安全专题技术之一
IFEO的本意是为一些在默认系统环境中运行时可能引发 错误的程序执行体提供特殊的环境设定。由于这个项主要 是用来调试程序用的,对一般用户意义不大。默认是只有 管理员和local system有权读写修改。 当一个可执行程序位于IFEO的控制中时,它的内存分配 则根据该程序的参数来设定,而WindowsNT架构的系统 能通过这个注册表项使用与可执行程序文件名匹配的项目 作为程序载入时的控制依据,最终得以设定一个程序的堆 管理机制和一些辅助机制等。出于简化原因,IFEO使用 忽略路径的方式来匹配它所要控制的程序文件名,所以程 序无论放在哪个路径,只要名字没有变化,它就运行出问 题
ຫໍສະໝຸດ Baidu
20112011-4-18
7
网络安全专题技术之一
如何利用注册表该项来重定向程序 运行参数,使得发生映像劫持
举例说明 :运行A,执行的是B. 进入注册表该位置: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ 选上Image File Execution Options,新建个项,然后,把这个项 (默认在最后面)改成123.exe。 选上123.exe这个项,然后默认右边是空白的,我们点右键,新建个 “字串符”,然后改名为“Debugger" 再双击该键,修改数据数值(其实就是路径),把它改为 C:\windows\system32\CMD.exe 将某个exe文件改名测试 。
20112011-4-18
13
网络安全专题技术之一
如何解决并防范“映像劫持”?
方法一: 方法一: 限制法 它要修改Image File Execution Options,所先要有权限,才可读, 于是 : 打开注册表编辑器,定位到 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Cur rentVersion\ImageFileExecutionOptions\,选中该项,右键→权限 →高级,取消administrator和system用户的写权限即可。 方法二: 方法二:快刀斩乱麻法 打开注册表编辑器,定位到 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Cur rentVersion\,把“ImageFileExecutionOptions”项删除即可。
20112011-4-18 12
网络安全专题技术之一
映像劫持的具体案例
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Im age File Execution Options\360tray.exe HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Im age File Execution Options\CCenter.exe HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Im age File Execution Options\Rav.exe 由此看出,我们可以看到这个技术的强大之处!很多的杀软进程和一 些辅助杀软或工具,全部被胁持,导致你遇到的所有杀软都无法运行
20112011-4-18
3
网络安全专题技术之一
什么是映像劫持 ?
所谓的映像劫持IFEO就是Image File Execution Options 其实应该称为“Image Hijack”。 它是位于注册表的
HKEY_LOCAL_MACHINE\SOFTWARE\Micro soft\Windows NT\CurrentVersion\Image File Execution Options
把病毒程序给重定向了,是不是病毒就不能运行了,答案是肯定的。 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\ CurrentVersion\ImageFileExecutionOptions\sppoolsv.exe] Debugger=123.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\ CurrentVersion\ImageFileExecutionOptions\logo_1.exe] Debugger=123.exe 金猪病毒和威金病毒为例,这样即使这些病毒在系统启动项里面,即 使随系统运行了,但是由于映象劫持的重定向作用,还是会被系统提 示无法找到病毒文件(这里是logo_1.exe和sppoolsv.exe)。
20112011-4-18 10
网络安全专题技术之一
关于 “Debugger”
Debugger参数,直接翻译为“调试器”,它是 IFEO里第一个被处理的参数,其作用是属于比较 匪夷所思的,系统如果发现某个程序文件在IFEO 列表中,它就会首先来读取Debugger参数,如 果该参数不为空,系统则会把Debugger参数里 指定的程序文件名作为用户试图启动的程序执行 请求来处理,而仅仅把用户试图启动的程序作为 Debugger参数里指定的程序文件名的参数发送 过去!
20112011-4-18 5
网络安全专题技术之一
病毒蠕虫木马修改注册表键值启动
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentV ersion\Windows\AppInit_DLLs HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows NT\CurrentVersion\Winlogon\Notify HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Wind ows\CurrentVersion\RunServicesOnce
20112011-4-18 14
网络安全专题技术之一
方法三: 方法三:利用工具修复 更简单的方法,是使用Sysinternals Suite(一个微软的工具 集合)中的Autoruns,点击它的“Image Hijacks”选项卡,即可看 到被劫持的程序项了。 方法四: 方法四:权限杜绝 网上还流传着一个让初级用户看不懂的做法,那就是关闭IFEO 列表的写入权限,具体操作如下: 执行32位注册表编辑器regedt32.exe 定位到 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Im age File Execution Options; 确保焦点在Image File Execution Options上,选择“安全”— “权限”;将出现的用户列表内所有带有“写入”的权限去掉,确定 退出。