★我要吧★

 找回密码
 注册[Register]
搜索
qq空间相册密码查看为什么登陆后需要激活无法注册?

镜像劫持的实现

[复制链接]
发表于 2010-12-13 17:12:20 | 显示全部楼层 |阅读模式
现在网络中的病毒越来越猖獗,新的技术和方法也是层出不穷。近来有关镜像劫持的方法用得较多,如果中了镜像劫持,通常都很麻烦,很多时候甚至要重装系统。为什么会这么麻烦呢?其实它是利用注册表中的重定向功能实现的。类似于文件关联的作用。以前很多网络病毒都是在注册表中重定向.bat,.exet和.com文件到病毒的执行文件,用户在做了初步的清理后,一打开此类型的文件,被清理过后的病毒又“忽如一夜春风来”占满了整个电脑。下面我们以实际的例子来看看镜像劫持是怎么实现的。  正常情况下系统的输入法是可以进行调整的,也会在系统的状态栏中显示,而且高级文字服务也是可以关闭的。如下图示:


  以本机的电脑的输入法为例子,在输入法图标驻留在任务栏的情况,通过镜像劫持,可以让用户无法关闭高级文字服务,导致在任务栏上不显示输入法,而只能通过快捷键的方式来切换输入法。方法如下:
  在注册表的选项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Image File Execution Options,新建项名为ctfmon.exe,在该项中新建字符串值,名为debugger,值为ntsd -d。


  重启后,你会发现任务栏上的输入法图标没了,在控制面板中也无法关闭高级文字服务了(在设定的时候会显示关闭,但是点应用后重新打开时会恢复无法关闭的状态)。这就是一个简单的镜像劫持。



  其中,HKEY_LOCAL_MACHINE\SOFTWARE\Microsof\Windows NT\Current Version\Image File Execution Options下的子项名称取的是应用程序的进程名,如ctfmon.exe就是输入法的进程名。再比如防病毒软件卡巴斯基的进程名是avp.exe。如果将所有杀毒软件的进程名做一个vbs导入注册表,估计杀毒就只能通过光盘启动或是从盘的方式了。
  以上方法仅做研究测试用,请勿用于非法目的。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

QQ|手机版|小黑屋|☆我要吧☆ ( 豫ICP备13016831号-1 )

GMT+8, 2024-11-24 06:01 , Processed in 0.112424 second(s), 21 queries .

Powered by abc369 X3.4

© 2001-2023 abc369.

快速回复 返回顶部 返回列表