修复Image hijacks(映像劫持) 不完全手册

annygi

修复Image hijacks(映像劫持) 不完全手册

Autoruns 修复Image hijacks(映像劫持) 不完全手册 / w9 M) q$ U4 L( U9 Y# b$ V. Q 9 N* i' f# T" _$ Q% {希望对一些在使用Autoruns辅助软件不熟悉的人有所帮助 # {9 s, _; k1 I 使用Autoruns修复Image hijacks(映像劫持)的问题，网络上有很多Autoruns详细的基本教材，各位看官可以去搜索一番，自然可以等到很详细教材（视频的也有喔！）。 以简单通俗的说法+图方式扼要的说一说映像劫持的修复：（以下文章来自发表时间: 2007-5-17 13:08 作者: space-time $ b2 {0 o  J4 _$ J" \; L# u) E. B: { 7 |) m! @. o9 r6 }4 r4 W" n( m来源: ifshow空间 的《windows映像劫持技术（IFEO）介绍以及常用解决方案》节选） " }1 f: k2 g7 K+ \ 2 C+ o& @9 f" T! L6 u# a一，什么是映像劫持（IFEO）？所谓的IFEO就是Image File Execution Options在是位于注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 7 }/ o$ u% s4 f- N9 F0 {由于这个项主要是用来调试程序用的，对一般用户意义不大。默认是只有管理员和local system有权读写修改 先看看常规病毒等怎么修改注册表吧 3 A/ R# z: ]+ v9 ?' E那些病毒、蠕虫和，木马等仍然使用众所皆知并且过度使用的注册表键值，如下： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 7 i! x" O# c$ w! s' Q9 qHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce ( c1 E8 q2 g- e, X5 LHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce 2 t6 [5 ]' n6 N2 G0 h4 }! b1 ^$ A6 S等等…………………… $ g9 c) Q  a; G6 Y$ \6 V很长的一大篇（有兴趣的可以自己去搜索仔细看一下），我通俗一点说，假设病毒将现在市场上有点名气的杀软利用映像胁持技术既可以禁止杀软运行，又可以在运行杀软的时候指向病毒源，诱发病毒不断的繁生。这也就是有些杀软因为这个原因怎么也运行不起来也安装、修复不了。这里金山为例子介绍，正常运行的金山和服务项，病毒准备对金山杀软的映像胁持注册表（1.exe这个是不存在文件，这里假设它为病毒体之一）以及在正常的状态下Autoruns看到的Image hijacks(映像劫持)下,只有这一项Your Image File Name Here without a path # _: \$ Q2 B. f$ X/ T) _. R) F 如图一： 5 g; G  w3 F* Z0 K % w9 B. G4 h4 r( u$ }6 f; y . O0 J+ U5 x5 ?* S3 Q图二：准备将表导入（病毒不可能这么明显的告诉要导入注册表，这里是为了实验进行明显操作） 1 V! g4 O4 s( z   $ g1 J9 s! F7 ~1 t& \+ Z9 k , x4 G) E/ n6 R2 v6 [图三：注册表导入成功，（不知道病毒感染情况，或者虽然发现病毒感染查杀过程要求重新启动进行清理） " H; E9 Z6 v- v- |( i) T/ G1 U4 D* W ( ^: o, k0 i' o" C  ` 5 a! u1 t1 H# G1 f 3 E) m) b3 X" g$ h$ j重新启动后，如图四: - Q6 w# G$ _1 ~" x5 O  K # _% f: {$ J* M ! {. n! }- Y5 t5 o. m8 _/ _右下角 熟悉的金山启动logo不见了 ) t# w7 k1 r. I- U3 s$ D + ?4 @' H0 f; y( |6 M. ]% q' x- a" U进入系统后，右下角的金山后台监控中心已经无法运行，这时候运行金山桌面的控制台进行操作，发现也不能运行，进入金山安装目录运行那些程序，发现什么？ 3 v4 ^0 o0 ^1 `2 S0 B; V$ C. R/ E/ w 0 Z2 Y3 F7 B( [如图五（病毒制造者可不傻，当然会指向病源体，可以是自动激活上网下载又或者重新加载杀软暂时不能查杀的病毒）怎么会像我这么简单给你提示呢？金山服务项虽然是自动但是已经停止的了 # v$ f9 x( v& l" s* b " V+ D0 {. M: i' b# } ) G/ N- r; P! n* O3 i. X7 }) h $ B9 Q2 p  J6 p7 ?7 Q2 [ 那如何解决呢？如果不是感染型病毒，解决也很简单： * h+ ^6 C. I. }* Y下载Autoruns查看Image hijacks(映像劫持)下,隐藏微软项目（Options-Hide Microsoft Entries），然后刷新一下，把所有项目暂停或删除,{PS:感谢来自RiSing（FF）的轩辕小聪，对该部分的原来用词不当的指教，这里衷心感谢}[如果Autoruns不能运行就改名后再用(类似csc.com)，病毒制造者也时常将这类型的辅助工具也进行映像劫持]。如果你对安全软件比较熟悉，可以直接删除掉与安软部分的关联如图5中的金山部分（白色图标部分）。 3 q+ z! F1 U3 w2 T- U8 ]; W 图六：删除掉那些非正常的项目(胜在这些辅助软件是绿色版本的，支持将文件后缀更改为.com格式的) * u  J% s: B$ q1 P 图七 , E6 F9 Z. Y4 b4 L: I重新运行毒霸。虽然，右下角后台监控是灰色的（没有关系继续看下去），这时候是可以运行毒霸进行查杀。 1 M/ f2 w* R2 }& q, Q" A) ?0 y ( f* |8 f# T" B* O 右下角后台监控是灰色的？如何修复呢？其实很简单: 一、重新安装修复一下即可，也不需要那么麻烦， 第二种:退出后台监控中心，在服务那里将金山两个主要的服务重新手动启动一下, # F* ?  t  T2 z% N* x再打开你的后台监控中心，看看是不是熟悉的色彩呢？ 图八 # w8 {# W/ g9 A* d8 n

' ?" ]1 [: }, i9 h$ i- L   

2 V7 @8 R# Q# s) n) d$ B1 h! N0 ^   

annygi

/ X' r' [4 h  z: g
3 P# T! o& d' H下载autoruns   http://www.crsky.com/soft/5285.html

, r1 R# ]0 d4 p
0 t6 V7 }5 }0 ?" U选项 ->隐藏微软发行项目，查看Image hijacks(映像劫持)下,把Your Image File Name Here without a path之外与安全相关程序全删掉,如果autoruns不能运行就改名后再用(类似aueng.com)

铁军

还有比较简单的修复映像劫持的方法

工具是金山清理专家

; v0 p; G/ r8 ~/ {* G. T在线安全诊断中，点全面诊断，就可以看到

: y9 [6 i7 g; n6 @. t可以选中对应的可疑项，在弹出的快捷菜单中点定位到注册表，然后快速删除注册表项。或者选择定位到文件，查找这个有问题的文件，把文件提交给技术人员分析。

或者在清理专家百宝箱的另一个插件“系统修复工具”，选中后，点修复就行。
( M: T+ n) Q9 S  @: x$ a5 l