巧用映像劫持斩杀顽固病毒 (映像劫持病毒 症状)
编辑:rootadmin
现在的*变得越来越狡猾,往往采用双进程守护的方式,达到对抗清理的目的。也就是说*同时运行两个功能相近的进程,彼此之间相互监视,当发现对方被关停后,另一个*进程即可自动将其激活,造成无法关停*进程的目的,这给*的清理工作带来很大的麻烦。笔者的电脑近日就遭到了此类*的侵袭,*启动后运行速度显著降低,对各种*作反映迟钝。明明没有上网*作,ADSLModem的流量指示灯却频频闪烁。但是笔者安装的某款杀毒软件对此却无动于衷,看来*一定是采用了最新的免杀技术。打开任务管理器,发现“server.exe”和“explorer.exe’’两个来历不明的进程,不管关闭其中哪一个进程后,另一个进程都会自动将对方重新启动。如何简单快捷的清除此类*呢?笔者利用了映像*技术,赤手空拳不费吹灰之力,就将其轻松搞定。一、清除*过程 在“开始”→“运行”中执行“regedit.exe”程序,在注册表编辑器中展开“HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\WinNT\CurrentVersion\ImageFileExecutionOptions”分支,在该主键的右键菜单上点击“新建”→“项”,之后将新建的子健改名为“server.exe”,选中该子键,在右侧窗口中建立一个字符串类型的名称为“debugger”的键值名,并将其值修改为“nofileA.exe”。按照同样方式,新建一个为“explorer.exe”的子键,选中该子健,在右侧窗口中建立一个字符串类型的名称为“debugger”的键值名,并将其值修改为“nofileB.exe”。这样,我们就创建了两个映像*项目,注意其中的“nofileA.exe”和“nofileB.exe”是两个根本不存在的程序。当然,您也可以将其改为其它不存在的程序名。有了这两个镜像*项目,那么当启动“Server.exe”和“Explorer.exe”程序时,*就会寻找“nofileA.exe”和“nofileB.exe”,来替代上述两个*程序,因为“nofileA.exe”和“nofileB.exe”根本就不存在,当然就无法启动了。之后重新启动*,*就会提示无法运行“nofileA.exe”和“nofileB.exe”程序。这样,“Server.exe”和“ExplOrer.exe”两个*程序无法运行了,根据其名称,笔者在“C:\Win\System”文件夹中找到这两个*文件,之后其删除即可。这样笔者几乎没有花费什么力气,*就束手就擒了。
整理分享巧用映像劫持斩杀顽固病毒 (映像劫持病毒 症状),希望有所帮助,仅作参考,欢迎阅读内容。
内容相关其他词:映像劫持项异常,映像劫持一定要修复,杀毒软件检测出映像劫持,映像劫持一定要修复,杀毒软件检测出映像劫持,映像劫持项,映像劫持一定要修复,映像劫持一定要修复,内容如对您有帮助,希望把内容链接给更多的朋友!
二、什么是镜像* 映像*其实是Win内设的用来调试程序的功能,但是现在却往往被*恶意利用。当用户双击对应的程序后,*作*就会给外壳程序(例如“explorer.exe”)发布相应的指令,其中包含有执行程序的路径和文件名,然后由外壳程序来执行该程序。事实上在该过程中,Win还会在注册表的上述路径中查询所有的映像*子键,如果存在和该程序名称完全相同的子键,就查询对应子健中包含的“dubugger”键值名,并用其指定的程序路径来代替原始的程序,之后执行的是遭到“*”的虚假程序。同*启动项相比,映像*技术显得更加隐蔽。实际上,*就很“喜欢”运用映像*来隐藏自己,例如*可以在注册表的上述路径中创建和杀毒软件主文件名完全同名的子键(例如NOD的“egui.exe”,瑞星的“ravexe”、金山毒霸的“kav.exe”等),然后在其中创建“debugger”键值名,并用*的路径取而代之,达到禁用杀毒软件和非法执行*程序的目的。三、映像*的用途 当然,映像*也并非一无是处,可以利用其来实现禁用特定程序的目的。 将该文件保存为lockie.reg,双击该文件就可以为IE建立映像*,当双击IE图标试图访问网页时,Win就可以弹出找不到文件的提示,因为其中的“nowenjian.exe”根本就不存在。这样别人就无*常运用IE了。按照上述方式,可以将禁用的程序所有建立映像*,这样就可以有效的禁用对应的程序了。此外,映像*存在一个重要的缺点,那就是它只能根据程序文件名来确定该程序是否被*,如果将被*的程序改名,那么映像*就失效了。利用该方式,可以巧妙实现阻止*运行的目的。例如现在有一种很流行的优盘*,会在每个磁盘根目录创建“Autorun.inf"和“auto.exe”文件,这样只要双击对应的盘符,就自动运行*文件“auto.exe”。您可以运用记事本编辑以下内容:将该文件保存为“noautorun.reg",双击该文件就可以为“auto.exe”创建映像*,当运行该*文件时,就会“错误的”执行根本不存在的“nofile.exe”程序,从而达到阻止该*运行的目的。四、管理映像* 那么如何才能彻底清除*建立的映像*,将被禁的安全软件彻底解放出来呢?方式很简单,直接在注册表的上述路径中找到和被*的的程序名称相同的子健,将其逐一删除即可。也可以运行Autoruns这款小巧的安全软件来清除映像*。在Autoruns主窗口中打开“ImageHijacks”面板,在其中列出所有被*的程序项目,双击对应的*项目即可打开注册表,并自动定位到相应地*项位置,之后将其删除即可。 单纯的删除*作显得比较繁琐,如何才能彻底禁用映像*功能呢?在注册表的“HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\WinNT\CurrentVersion\ImageFileExecutionOptions”分支的右键菜单中点击“权限”,在弹出的窗口中的“完全控制”项的设置为“拒绝”即可,这样*就无法运用映像*功能了。标签: 映像劫持病毒 症状
本文链接地址:https://www.iopcc.com/jiadian/43391.html转载请保留说明!
