本文目录索引 1,映像劫持是什么? 2,映像劫持是什么意思? 3,映像劫持怎么修复? 4,什么是映像劫持?是病毒吗? 5,什么叫映像劫持?如何杀此木马?如何在注册表查杀病毒和木马? 6,镜像劫持是什么病毒,怎么杀? 360老提示我 ,也杀不掉 7,电脑里的杀毒软
本文目录索引
- 1,映像劫持是什么?
- 2,映像劫持是什么意思?
- 3,映像劫持怎么修复?
- 4,什么是映像劫持?是病毒吗?
- 5,什么叫映像劫持?如何杀此木马?如何在注册表查杀病毒和木马?
- 6,镜像劫持是什么病毒,怎么杀? 360老提示我 ,也杀不掉
- 7,电脑里的杀毒软件检测到“映像劫持”,要求清楚该项,请问映像劫持是什么?有着怎样的威胁?
- 8,映像劫持怎么破
- 9,IFEO映像劫持修复软件,进行修复。 如何修复
- 10,映像劫持怎么修复,可能中毒了。
1,映像劫持是什么?
镜像劫持的意义 在针对杀毒软件方面,OSO病毒还采用了一种新技术,这种技术被成为镜像劫持,通过这种技术也能够将杀毒软件置于死地。
所谓的镜像劫持,就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项,例如Rav.exe。然后再创建一个子键“Debugger="C:\WINDOWS\system32\drivers\ceffen.com”。以后只要用户双击 Rav.exe就会运行OSO的病毒文件ceffen.com,类似文件关联的效果。镜像劫持的简单解决方法 如果电脑上有杀毒软件或360什么的但是中了镜像劫持是安全软件无法运行的话,
其实只需要更改一下安全软件的名字就能不被镜像劫持利用,个人认为这是最适合初学者的最简单办法。
首先找到安全软件的位置大部分都放在program files文件夹下。 找到名字例如拿360做例子原文件路径X:\Program Files\360safe原名为360Safe.exe 你把名字改为36015safe.exe(名字什么都行不过就不能是安全软件的名字)然后双击此安全软件就会过镜像劫持开始运行,后面的查杀就不需要说什么了吧。这小操作可以解决燃眉之急啦。
2,映像劫持是什么意思?
1.所谓的映像劫持IFEO就是Image File Execution Options (其实应该称为“Image Hijack”。) 它是位于注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改。 当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定,而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据,最终得以设定一个程序的堆管理机制和一些辅助机制等。出于简化原因,IFEO使用忽略路径的方式来匹配它所要控制的程序文件名,所以程序无论放在哪个路径,只要名字没有变化,它就运行出问题。 先看看常规病毒等怎么修改注册表来达到随机启动吧。 病毒、蠕虫和,木马等仍然使用众所皆知并且过度使用的注册表键值,如下: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce 等等。 2.另外一种劫持的方法是:在目标程序目录下建立与系统DLL相同的导出函数,执行内容为 f=LoadLibrary(byref "c:\windows\system32\"+dllname) f=GetProcAddress(byval f,byref procname) !jmp f '(PowerBasic) ,在DLL初始化的时候可以干一些坏事,以此来达到改变原应用程序的目的详见: http://baike.baidu.com/view/1008480.htm
3,映像劫持怎么修复?
单击“开始”、“运行”,输入“regedit”,单击“确定”。
依次展开:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
找到不能正常运行的程序的完整程序名,把与它相同名称的子项删除。
不明白就给我发消息。
参考这个吧,貌似那个已经不属于映像劫持了,属于exe关联破坏了:
手工恢复EXE文件关联方法介绍
有次朋友电脑中了病毒,笔者去看了一下,是个QQ病毒,由于挺长时间没有上网搜集病毒方面消息了,笔者对这些病毒的特性也不甚了解。笔者先打开“进程管理器”,将几个不太熟悉的程序关闭掉,但刚关掉一个,再去关闭另外一个时,刚才关闭的那个马上又运行了。没办法,笔者决定从注册表里先把启动项删除后,再重启试试,结果,笔者刚把那些启动项删除,然后刷新一下注册表,那些启动项又还原了,看来一般的方法是行不通了,上网下载专杀工具后,仍然不能杀掉。笔者知道这是因为病毒正在运行,所以无法删除。
由于这台电脑只有一个操作系统,也没办法在另一个系统下删除这些病毒,这时怎么办呢?如果大家也遇到这种情况时,笔者向大家推荐一种方法。
第一步:在“开始→运行”中输入CMD,打开“命令提示符”窗口。
第二步:输入ftype exefile=notepad.exe %1,这句话的意思是将所有的EXE文件用“记事本”打开。这样原来的病毒就无法启动了。
第三步:重启电脑,你会看见打开了许多“记事本”。当然,这其中不仅有病毒文件,还有一些原来的系统文件,比如:输入法程序。
第四步:右击任何文件,选择“打开方式”,然后点击“浏览”,转到Windows\System32下,选择cmd.exe,这样就可以再次打开“命令提示符”窗口。
第五步:运行ftype exefile="%1" %*,将所有的EXE文件关联还原。现在运行杀毒软件或直接改回注册表,就可以杀掉病毒了。
第六步:在每一个“记事本”中,点击菜单中的“文件→另存为”,就可看到了路径以及文件名了。找到病毒文件,手动删除即可,但得小心,必须确定那是病毒才能删除。建议将这些文件改名并记下,重启后,如果没有病毒作怪,也没有系统问题,再进行删除,
◆最后介绍一下Ftype的用法
在Windows中,Ftype命令用来显示及修改不同扩展名文件所关联的打开程序。相当于在注册表编辑器中修改“HKEY_CLASSES_ROOT”项下的部分内容一样。
Ftype的基本使用格式为:Ftype [文件类型]=[打开方式/程序]
比如:像上例中的ftype exefile=notepad.exe %1,表示将所有文件类型为EXE(exefile表示为EXE类型文件)的文件都通过“记事本”程序打开,后面的%1表示要打开的程序本身(就是双击时的那个程序)。
ftype exefile="%1" %*则表示所有EXE文件本身直接运行(EXE 可以直接运行,所以用表示程序本身的%1即可),后面的%*则表示程序命令后带的所有参数(这就是为什么EXE文件可以带参数运行的原因)。
4,什么是映像劫持?是病毒吗?
不是病毒
所谓的镜像劫持,就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项,例如Rav.exe。然后再创建一个子键“Debugger="C:\WINDOWS\system32\drivers\”。以后只要用户双击 Rav.exe就会运行OSO的病毒文件,类似文件关联的效果。
5,什么叫映像劫持?如何杀此木马?如何在注册表查杀病毒和木马?
映像劫持:
1、在Windows系统的注册表中,会找到一个项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,这个项其实也是系统启动过程中起着重要作用的启动项;
2、系统默认情况下对该项的权限设置并不严格,只要是管理员组用户,就拥有完全控制的权限。
3、而正是这一特点,也让病毒木马看到了进行镜像劫持的机会。它们通过改写该注册表项,在其下添加与各杀毒软件或安全软件进程名称相关的子项,然后在相关的子项右面窗口中会发现一个Debugger键值,并且其键值数据指向了病毒文件的路径,这其实就是看到的镜像劫持,若所安装的杀毒软件进程名称恰恰与被病毒木马创建过相关子键名称相同,那么杀毒软件就无法运行了,但是进程名称若没在木马病毒的名单中,那么这个杀毒软件就可以继续使用并发挥应有的作用。
查杀:万一遭遇这种病毒,可以先试试腾讯电脑管家,如果可以运行,在“杀毒”选项中点击全盘查杀,这时电脑管家将对包括注册表镜像劫持位置在内的所有系统关键位置,以及硬盘中所有文件进行检测,它毕竟拥有4+1核心杀毒引擎,且使用了CPU虚拟执行技术,能够发现病毒木马并对木马病毒予以根除。
6,镜像劫持是什么病毒,怎么杀? 360老提示我 ,也杀不掉
镜像劫持的意义 在针对杀毒软件方面,OSO病毒还采用了一种新技术,这种技术被成为镜像劫持,通过这种技术也能够将杀毒软件置于死地。
所谓的镜像劫持,就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项,例如Rav.exe。然后再创建一个子键“Debugger="C:\WINDOWS\system32\drivers\ceffen.com”。以后只要用户双击 Rav.exe就会运行OSO的病毒文件ceffen.com,类似文件关联的效果。对这个病毒的清除注意几点:(代表个人意见)
1、重启进入安全模式下后所有硬盘操作都要右键打开,切记不要双击打开各个分区!
2、进入后要去掉隐藏的系统属性。(这一步要先编辑注册表否则实现不了,病毒已经更改注册表使隐藏的文件选项失效)
3、找到隐藏的文件后删除即可!
4、手动删除添加的非法 IFEO 劫持项目,重启后即可. 镜像劫持的简单解决方法 如果电脑上有杀毒软件或360什么的但是中了镜像劫持是安全软件无法运行的话,
其实只需要更改一下安全软件的名字就能不被镜像劫持利用,个人认为这是最适合初学者的最简单办法。
首先找到安全软件的位置大部分都放在program files文件夹下。 找到名字例如拿360做例子原文件路径X:\Program Files\360safe原名为360Safe.exe 你把名字改为36015safe.exe(名字什么都行不过就不能是安全软件的名字)然后双击此安全软件就会过镜像劫持开始运行,后面的查杀就不需要说什么了吧。这小操作可以解决燃眉之急啦。
7,电脑里的杀毒软件检测到“映像劫持”,要求清楚该项,请问映像劫持是什么?有着怎样的威胁?
所谓的映像劫持(IFEO)就是Image File Execution Options,位于注册表的[HKEY_LOCAL MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改。 通俗一点来说,就是比如我想运行QQ.exe(记事本),结果运行的却是运行了notepad.exe(记事本),也就是说在这种情况下,QQ程序被notepad给劫持了,即你想运行的程序被另外一个程序代替了。 映像劫持病毒 虽然映像劫持是系统自带的功能,对我们一般用户来说根本没什么用的必要,但是就有一些病毒通过映像劫持来做文章,表面上看起来是运行了一个程序,实际上病毒已经在后台运行了。 但是与一般的木马,病毒不同的是,就有一些病毒偏偏不通过这些来加载自己,不随着系统的启动运行,而是等到你运行某个特定的程序的时候运行,这也抓住了一些用户的心理,一般的用户,只要发觉自己的机子中了病毒,首先要察看的就是系统的加载项,很少有人会想到映像劫持,这也是这种病毒高明的地方。 映像劫持病毒主要通过修改注册表中的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution options] 项来劫持正常的程序,比如有一个病毒 vires.exe 要劫持 qq 程序,它会在上面注册表的位置新建一个qq.exe项,再这个项下面新建一个字符串的键值 debugger 内容是:C:\WINDOWS\SYSTEM32\ABC.EXE(这里是病毒藏身的路径)即可。当然如果你把该字符串值改为任意的其他值的话,系统就会提示找不到该文件。 映像胁持的基本原理 WINDOWS NT系统在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是的话,再检查格式的,然后就会检查是否存在。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确”等等。把这些键删除后,程序就可以运行! 映像劫持的应用 ★禁止某些程序的运行 先看一段代码: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qq.exe] "Debugger"="notepad.exe" 使用记事本,把上面这段代码复制到记事本中,并另存为 ABC.reg,双击导入注册表,打开你的QQ看一下效果! 这段代码的作用是双击运行QQ的时候,系统都打开记事本,原因就是QQ被重定向了。如果要让QQ继续运行的话,把notepad.exe改为QQ.exe的绝对路径就可以了。 ★偷梁换柱恶作剧 每次我们按下CTRL+ALT+DEL键时,都会弹出任务管理器,想不想在我们按下这些键的时候让它弹出命令提示符窗口,下面就教你怎么玩: Windows Registry Editor Version 5.00 [HKEY_LOCAL MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe] "Debugger"="C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe" 将上面的代码在记事本中另存为 task_cmd.reg,双击导入注册表。按下那三个键看是什么效果,不用我说了吧,是不是很惊讶啊!精彩的还在后头呢!
8,映像劫持怎么破
映像劫持是指病毒对注册表的修改,使你运行病毒指定的程序时变成运行另外一个程序。比如病毒可以通过修改注册表,劫持RsMain.exe(瑞星杀毒软件主程序),映像路径改为svchost.exe,那么你的瑞星杀毒软件就用不了了,而且每次运行瑞星杀毒软件主程序,就变成运行svchost.exe。知道原理后,怎么删除呢?金山毒霸系统清理专家能行的。下载后,若运行不了,就说明金山毒霸系统清理专家也被映像劫持了,但前面说到,映像劫持只能劫持指定的程序,所以只要把金山毒霸系统清理专家的主程序kasmain.exe给改个名,如kasmain.cmd等,但要注意后缀名。改名后就能运行了,记得将它升级到最新版本,在进行恶意软件查杀。映像劫持编辑器是绿色软件,很好用的。运行后,先单击扫描,如果出现没有发现映像劫持就说明没问题,如果出现了的话,就删除即可。如果病毒没有完全删除,可能被删除的映像劫持还会被病毒重新加上,你可以用如下办法解决:映像劫持的注册表路径位于HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下,单击Image File Execution Options右键-【权限】,将当前用户的权限设为“拒绝”,但这样做有点风险,建议你先这样做,彻底把木马病毒杀光后,再将此键的权限改为“允许”
9,IFEO映像劫持修复软件,进行修复。 如何修复
IFEO映像劫持修复软件,进行修复。 如何修复
中了映像劫持(IFEO)类的病毒,映像位于注册表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改。
解除方法:
方法一:
1) 开始 - 运行 - regedit 回车
2) 找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
3) 把Image File Execution Options 下面的项目全部清除
方法二:
1) 开始 - 运行 - cmd 回车
2) reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe" /f
其中上面的taskmgr.exe就是要恢复执行的任务管理器
如果还不行,请看下面的处理方法:
首先,下载安装360安全卫士(现在能运行更好,直接查杀恶意软件和木马。不能运行看下面),在电脑组策略里关闭所有磁盘的自动运行(如果不会就使用工具关闭,很多病毒专杀工具就自带这个功能),重启计算机按住F8 ,进入安全模式,使用360安全卫士进行恶意软件和木马的查杀,如果360不能运行,就运行360安装目录下的“修复工具”,点击“安全启动360”,杀完后用杀毒工具再进行全盘杀毒。
如果上面方法处理不了,要重新安装系统,断开网络,
一、在电脑组策略里关闭所有磁盘的自动运行。
二、放入系统安装盘,重启电脑。
三、设置光驱为第一启动(按住DEL,进入BIOS进行设置)。
四、根据光盘运行提示安装系统。
五、进入系统,千万不要点击除系统盘外的任何其他硬盘,安装杀毒软件,连接网络(可以先用360安全卫士查杀一下),只更新杀毒软件,进行全盘杀毒。
10,映像劫持怎么修复,可能中毒了。
单击“开始”、“运行”,输入“regedit”,单击“确定”。
依次展开:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
找到不能正常运行的程序的完整程序名,把与它相同名称的子项删除。
不明白就给我发消息。
参考这个吧,貌似那个已经不属于映像劫持了,属于exe关联破坏了:
手工恢复EXE文件关联方法介绍
有次朋友电脑中了病毒,笔者去看了一下,是个QQ病毒,由于挺长时间没有上网搜集病毒方面消息了,笔者对这些病毒的特性也不甚了解。笔者先打开“进程管理器”,将几个不太熟悉的程序关闭掉,但刚关掉一个,再去关闭另外一个时,刚才关闭的那个马上又运行了。没办法,笔者决定从注册表里先把启动项删除后,再重启试试,结果,笔者刚把那些启动项删除,然后刷新一下注册表,那些启动项又还原了,看来一般的方法是行不通了,上网下载专杀工具后,仍然不能杀掉。笔者知道这是因为病毒正在运行,所以无法删除。
由于这台电脑只有一个操作系统,也没办法在另一个系统下删除这些病毒,这时怎么办呢?如果大家也遇到这种情况时,笔者向大家推荐一种方法。
第一步:在“开始→运行”中输入CMD,打开“命令提示符”窗口。
第二步:输入ftype exefile=notepad.exe %1,这句话的意思是将所有的EXE文件用“记事本”打开。这样原来的病毒就无法启动了。
第三步:重启电脑,你会看见打开了许多“记事本”。当然,这其中不仅有病毒文件,还有一些原来的系统文件,比如:输入法程序。
第四步:右击任何文件,选择“打开方式”,然后点击“浏览”,转到Windows\System32下,选择cmd.exe,这样就可以再次打开“命令提示符”窗口。
第五步:运行ftype exefile="%1" %*,将所有的EXE文件关联还原。现在运行杀毒软件或直接改回注册表,就可以杀掉病毒了。
第六步:在每一个“记事本”中,点击菜单中的“文件→另存为”,就可看到了路径以及文件名了。找到病毒文件,手动删除即可,但得小心,必须确定那是病毒才能删除。建议将这些文件改名并记下,重启后,如果没有病毒作怪,也没有系统问题,再进行删除,
◆最后介绍一下Ftype的用法
在Windows中,Ftype命令用来显示及修改不同扩展名文件所关联的打开程序。相当于在注册表编辑器中修改“HKEY_CLASSES_ROOT”项下的部分内容一样。
Ftype的基本使用格式为:Ftype [文件类型]=[打开方式/程序]
比如:像上例中的ftype exefile=notepad.exe %1,表示将所有文件类型为EXE(exefile表示为EXE类型文件)的文件都通过“记事本”程序打开,后面的%1表示要打开的程序本身(就是双击时的那个程序)。
ftype exefile="%1" %*则表示所有EXE文件本身直接运行(EXE 可以直接运行,所以用表示程序本身的%1即可),后面的%*则表示程序命令后带的所有参数(这就是为什么EXE文件可以带参数运行的原因)。
下一篇:没有了
