鏡像劫持

所謂的鏡像劫持，就是在註冊表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]處新建一個以防毒軟體主程式命名的項，例如Rav.exe。然後再創建一個子鍵“Debugger="C:\WINDOWS\system32\drivers\”。以後只要用戶雙擊 Rav.exe就會運行OSO的病毒檔案，類似檔案關聯的效果。

autorun.inf 和oobtwtr.exe手動去除法:

1．首先下載autoruns

2．然後打開運行　鏡像劫持；

3．接下來單擊開始|運行|輸入cmd，回車|x：回車（x是你的盤符）

4．輸入attrib autorun.inf -s -h -r

attrib oobtwtr.exe -s -h -r (去隱藏屬性)；

5．輸入del　autorun.inf

del　oobtwtr.exe（刪除）

把system.rar解壓後的檔案在d:\sysset\menu目錄下後上傳參數就行了。

一旦開機會自動導入這個註冊表檔案的.

可以在百度上搜一下就知道了.

所謂的IFEO就是Image File Execution Options

在是位於註冊表的:

由於這個項主要是用來調試程式用的，對一般用戶意義不大。默認是只有管理員和local system有權讀寫修改

先看看常規病毒等怎么修改註冊表吧。。

那些病毒、蠕蟲和，木馬等仍然使用眾所皆知並且過度使用的註冊表鍵值，如下：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

等等。。。。。。。。。。。。。。。

隨著網友的安全意識提高和眾多安全軟體的針對，都可以很容易的對上面的惡意啟動項進行很好的處理

於是。。一種新的技術又產生了。。。。

那就是IFEO。。

嗯了，可能說了上面那么多，大家還弄不懂是什麼意思，沒關係，來做個小實驗！

如上圖了，開始-運行-regedit,展開到IFEO：

然後選上Image File Execution Options，新建個項，然後，把這個項（默認在最後面）然後改成123.exe

Click here to open new windowCTRL+Mouse wheel to zoom in/out

選上123.exe這個項，然後默認右邊是空白的，我們點右鍵，新建個“字串符”，然後改名為“Debugger"

這一步要做好，然後回車，就可以。。。再雙擊該鍵，修改數據數值（其實就是路徑）。。

把它改為 C:\windows\system32\CMD.exe

（PS：C：是系統盤，如果你系統安裝在D則改為D： 如果是NT或2K的系統的話，把Windows改成Winnt,下面如有再T起，類推。。。）

好了，實驗下。~

在此之前，記得先把“隱藏已知檔案類型擴展名”的勾去掉！

然後找個擴展名為EXE的，（我這裡拿IcesWord.exe做實驗），改名為123.exe。。。

然後運行之。。。嘿嘿。。出現了DOS操作框，不知情的看著一閃閃的游標，肯定覺得特鬼異~^_^。。HOHO~

一次簡單的惡作劇就成咧。。。

同理，病毒等也可以利用這樣的方法，把殺軟、安全工具等名字再進行重定向，指向病毒路徑

SO..如果你把病毒清理掉後，重定向項沒有清理的話，由於IFEO的作用，沒被損壞的程式一樣運行不了！

原理：

NT系統在試圖執行一個從命令行調用的執行檔運行請求時，先會檢查運行程式是不是執行檔，如果是的話，再檢查格式的，然後就會檢查是否存在。。如果不存在的話，它會提示系統找不到檔案或者是“指定的路徑不正確等等。。

當然，把這些鍵刪除後，程式就可以運行咧，嘿嘿~

知道了後，怎么預防呢？

一般就兩個方法了，第一種比較實用。。。任何人都可以。。

方法一：

限制法。。

它要修改Image File Execution Options，所先要有許可權，才可讀，於是。。一條思路就成了。。

開始-運行-regedt32 （這個是系統的32位註冊表，和註冊表操作方法差不多）

然後還是展開到IFEO：

記得把有管理許可權用戶都要進行設定！然後選上“許可權”勾選“拒絕”按確定後會有個提示，然後點確定就可以拉！

樣本在虛擬機上分析：

掃描結果如下:

File: 74E14F81.exe

SHA-1 Digest: 1d6472eec2e8940a696010abc2fb8082a1b7764e

Packers: Unknown

Scanner Scanner Version Result Scan Time

ArcaVir 1.0.4 Clean 3.07072 secs

avast! 3.0.0 Clean 0.00544286 secs

AVG Anti Virus 7.5.45 Clean 2.64557 secs

BitDefender 7.1 Generic.Malware.SBVdld.80A995A7 4.53346 secs

CATQuickHeal9.00 Clean 4.37579 secs

ClamAV 0.90/3236 Trojan.Agent-3107 0.116282 secs

Dr. Web 4.33.0 Clean 8.75147 secs

F-PROT 4.6.7 Clean 0.820435 secs

F-Secure 1.02 Clean 0.352535 secs

H+BEDV AntiVir 2.1.10-37 NULL 5.63827 secs

McAfee Virusscan 5.10.0 Clean 1.74781 secs

NOD32 2.51.1 Clean 2.92784 secs

Norman Virus Control 5.70.01 Clean 8.4982 secs

Panda 9.00.00 Clean 1.31422 secs

Sophos Sweep 4.17.0 Troj/Hook-Gen 5.57204 secs

Trend Micro 8.310-1002 Possible_Infostl 0.106758 secs

VBA32 3.12.0 Protected File 3.48641 secs

VirusBuster 1.3.3 Clean 2.72778 secs

打開：AutoRun.inf檔案內容如下：

[AutoRun]

open=74E14F81.exe

shell\open=打開(&O)

shell\open\Command=74E14F81.exe

shell\open\Default=1

shell\explore=資源管理器(&X)

shell\explore\Command=74E14F81.exe

運行此病毒74E14F81.exe 生成檔案及註冊表變動：

C:\Program Files\Common Files\Microsoft Shared\MSInfo\C68BC723.dll

在非系統根目錄下生成C68BC723.exe執行檔(隱藏）

蔚為壯觀的IFEO，稍微有些名氣的都掛了：

在同樣位置的檔案還有：

CCenter.exe

Rav.exe

RavMonD.exe

RavStub.exe

RavTask.exe

rfwcfg.exe

rfwsrv.exe

RsAgent.exe

Rsaupd.exe

runiep.exe

SmartUp.exe

FileDsty.exe

RegClean.exe

kabaload.exe

safelive.exe

Ras.exe

KASMain.exe

KASTask.exe

KAV32.exe

KAVDX.exe

KAVStart.exe

KISLnchr.exe

KMailMon.exe

KMFilter.exe

KPFW32.exe

KPFW32X.exe

KPFWSvc.exe

KWatch9x.exe

KWatch.exe

KWatchX.exe

TrojanDetector.exe

UpLive.EXE.exe

KVSrvXP.exe

KvDetect.exe

KRegEx.exe

kvol.exe

kvolself.exe

kvupload.exe

kvwsc.exe

UIHost.exe

IceSword.exe

iparmo.exe

mmsk.exe

adam.exe

MagicSet.exe

PFWLiveUpdate.exe

SREng.exe

WoptiClean.exe

scan32.exe

shcfg32.exe

mcconsol.exe

HijackThis.exe

mmqczj.exe

Trojanwall.exe

FTCleanerShell.exe

loaddll.exe

rfwProxy.exe

KsLoader.exe

KvfwMcl.exe

autoruns.exe

AppSvc32.exe

ccSvcHst.exe

isPwdSvc.exe

symlcsvc.exe

nod32kui.exe

avgrssvc.exe

RfwMain.exe

KAVPFW.exe

Iparmor.exe

nod32krn.exe

PFW.exe

RavMon.exe

KAVSetup.exe

NAVSetup.exe

SysSafe.exe

QHSET.exe

zxsweep.exe

AvMonitor.exe

UmxCfg.exe

UmxFwHlp.exe

UmxPol.exe

UmxAgent.exe

UmxAttachment.exe

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess

註冊表值： Start

新的值:

類型: REG_DWORD

值： 00000004

先前值:

類型: REG_DWORD

值： 00000002

HKLM\SYSTEM\CurrentControlSet\Services\wscsvc

註冊表值： Start

新的值:

類型: REG_DWORD

值： 00000004

先前值:

類型: REG_DWORD

值： 00000003

HKLM\SYSTEM\CurrentControlSet\Services\wuauserv

註冊表值： Start

新的值:

類型: REG_DWORD

值： 00000004

先前值:

類型: REG_DWORD

值： 00000003

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

註冊表值： Hidden

新的值:

類型: REG_DWORD

值： 00000002

先前值:

類型: REG_DWORD

值： 00000001

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

註冊表值： CheckedValue

新的值:

類型: REG_DWORD

值： 00000000

先前值:

類型: REG_DWORD

值： 00000001

HKLM\SOFTWARE\ Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

註冊表值：

類型: REG_SZ

值：

HKCR\CLSID\\InProcServer32

註冊表值： （默認）

類型: REG_SZ

值： C:\Program Files\Common Files\Microsoft Shared\MSINFO\C68BC723.dll

至於解決方法可參考崔老師的連線：IFEO hijack(映象劫持)使部分程式不可運行的解決方法

對這個病毒的清除注意幾點：（代表個人意見）

1、重啟進入安全模式下後所有硬碟操作都要右鍵打開，切記不要雙擊打開各個分區！

2、進入後要去掉隱藏的系統屬性。（這一步要先編輯註冊表否則實現不了，病毒已經更改註冊表使隱藏的檔案選項失效）

3、找到隱藏的檔案後刪除即可！

4、手動刪除添加的非法 IFEO 劫持項目，重啟後即可.

如果電腦上有防毒軟體或360什麼的但是中了鏡像劫持是安全軟體無法運行的話，

其實只需要更改一下安全軟體的名字就能不被鏡像劫持利用，個人認為這是最適合初學者的最簡單辦法。

首先找到安全軟體的位置大部分都放在program files資料夾下。 找到名字例如拿360做例子原檔案路徑X:\Program Files\360safe原名為360Safe.exe 你把名字改為36015safe.exe(名字什麼都行不過就不能是安全軟體的名字)然後雙擊此安全軟體就會過鏡像劫持開始運行，後面的查殺就不需要說什麼了吧。這小操作可以解決燃眉之急啦。