变害为宝，巧用映像劫持保系统安全.docVIP

变害为宝，巧用映像劫持保系统安全 　　现在病毒都会采用IFO的技术，通俗的讲法是映像劫持，我们在第16期《“映像劫持”很可怕 看过CFan不怕它》一文中详细介绍过，它主要是通过修改注册表的 　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options位置来改变程序调用的，而病毒却利用此处将正常的杀毒软件给偷换成病毒程序。今天恰恰相反，让我们自己利用此处来加固系统安全。 　　 　　屏蔽CMD和任务管理器 　　 　　适用环境：网吧 　　第1步 先建立以下一文本文件，输入以下内容，另存为1.reg 　　Windows Registry Editor Version 5.00 　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.EXE] 　　Debugger=d:\\1.exe 　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskman.EXE] 　　Debugger=d:\\1.exe 　　第2步 双击导入该reg文件后，确定。 　　第3步 点“开始→运行”后，输入CMD的结果如图1所示。 　　其中1.exe可以是任意无用的文件，是我们随意创建一个文本文件后将后缀名.txt改为.exe的，实际操作中，如果D盘不存在该exe文件，会提示文件找不到。操作完成后，网吧黑客常用的批处理法和查看进程法都会莫名失效，因为运行批处理时会提示错误，而按CTRL+DEL+ALT时任务管理器不会出现。 　　 　　(1) 　　如果需要解除以上效果，可以通过输入以下内容，另存为2.reg,双击导入后，一切恢复正常。 　　Windows Registry Editor Version 5.00 　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.EXE] 　　Debugger= 　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskman.EXE] 　　Debugger= 　　 　　屏蔽游戏和QQ聊天及股票软件 　　 　　适用环境：公司办公场所或家中 　　同理仍然是建立如下文件，区别是将cmd.exe改为QQ的执行文件，即QQ.exe 　　Windows Registry Editor Version 5.00 　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qq.exe] 　　Debugger=d:\\1.exe 　　同理如果需要禁止运行游戏软件或股票软件，只需要复制最后2行，并修改对应的exe文件名即可。虽然是一个不起眼的技巧但的确可以将它变害为宝，达到特殊目的。用此法时有必要提醒大家的就是为了不让IFO被非法利用，可以通过增加权限以限制该键的添加或修改，某些安全软件会侦测到此项键值的更改而误报病毒，大可不必担心。 　　 　　小技巧：不再让映像劫持作崇 　　★如果不希望病毒利用映像劫持来损害你的系统，不妨把“[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]”项删除或设定访问权限，这样可以避免很多病毒的骚扰。 　　★真遇到病毒已经侵占系统，并用映像劫持绑架了我们的杀毒软件和安全工具的时候，比如一些程序虽然存在但是打不开，并会提示“Windows找不到文件，请确定文件名是否正确后，再试一次……”的信息（见图2），这时可以使用下面的映像劫持修复工具来修复，下载后直接运行，根据提示操作就可以完成。 　　 　　(2) 　　为了方便读者，我们已经将相关的REG文件上传到下面的网址，请大家下载：/cfan/200718/ifo.rar。如果朋友们还希望了解关于映像劫持的更多相关知识参考番茄的博客《映像劫持技术