瑞星卡卡安全论坛

应用程序劫持项。当该键下某子键名的进程试图加载时，系统会自动创建该子键下 Debugger 键值所指定的进程，并将加载的文件名作为参数传递给 Debugger 键值指定的进程。恶意程序可以利用该键值实现自动运行，或阻止一些正常软件运行。

对应注册表项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution<br>保护方法：

方法一、使用瑞星杀毒软件主动防御保护“映像劫持（应用程序劫持项）”的设置方法见下图。
图中提到的规则文件下载地址1：http://images.rising.com.cn/uploadfiles/20083/27/9291622008327102652.zip"

方法二、使用映像劫持（应用程序劫持项）修复及保护程序，详见本帖子的第六及第七楼。

映像劫持（应用程序劫持项\IFEO）的保护程序，下载地址:
http://images.rising.com.cn/uploadfiles/20084/6/929162200846150318.zip




【分享】应用程序正常初始化失败 通用库错误 红伞 升级没反应 蓝屏 网络连接失败处理

http://forum.ikaka.com/topic.asp?board=28&artid=8431715

附件: 9291622008326142420.jpg

图中提到的规则文件下载地址2,下面的ZIP附件

附件: 9291622008327102652.zip

汗 直接勾选 系统加固里面的规则不就可以了么

【回复“newcenturymoon”的帖子】
这种多此一举的方法让高手见笑了

我当时考虑的是双保险，系统加固如被禁用还有应用程序访问控制呢，另外也推广一下主动防御，亡羊后虽然补牢了，但还是对那只亡羊感到遗憾。

针对目前的病毒快速回写应用程序劫持项问题，想听一下您的高见。

系统加固里面的规则 就是 瑞星提前设置的 应用程序保护 程序启动控制等原则 原理一样 

学到了,不知道有用吗

附件ZIP包中的文件
1.映像劫持(ifeo)_fix.exe:映像劫持（应用程序劫持项）的保护及修复程序
2.iefo_fix.jpg:映像劫持(ifeo)_fix.exe的MD5等信息;
3.ifeo_Windows.XP.Professional. sp2.reg:Windows.XP.Professional. sp2的默认IFEO注册表脚本;
4.ifeo_Windows.Server.2003.Standard.Edition.sp1.reg:Windows.Server.2003.Standard.Edition.sp1的默认IFEO注册表脚本;
5.KaKaMD5.exe:文件MD5计算工具;

附件下载地址:http://images.rising.com.cn/uploadfiles/20084/6/929162200846150318.zip

附件: 929162200846150318.zip

我的学名叫映像劫持(ifeo)_fix.exe，大家都称我为映像劫持（应用程序劫持项）的保镖，先给大家亮个相:kaka1:


我的主人当然就是映像劫持(也叫应用程序劫持项)喽,主子英文名比较长,就是这:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution，简称为IFEO，在现在的江湖上谈不上流芳十里，但臭名昭著还是绰绰有余的，我很为主人抱不平，主人毕竟不是坏人，而且有特殊的才能，但恰恰就是这特殊的才能又被坏人利用了，成了他人手中的枪，现在主人和autorun.inf两兄弟真是同病相怜呀，唉


现在江湖上的**，无论大小，都盯上了主人，都利用主人，所以我这新来的保镖感到压力巨大，路过此地的高手、大侠、神仙们，请不吝支几招噢

系统加固里那个勾上就行了。

有的时候杀毒软件已经不起作用了，那它的任务就是解救杀毒软件。

这个小程序不依赖于cmd.exe的shell，也不需要调用regedit.exe，对劫持项有一定程度的保护，还有一个循环删除（就是功能4，循环删除的频率跟随着病毒循环创建的频率，尽可能的减少了对CPU资源的浪费）。

支持，顶一下。

<?xml version="1.0" ?>
- <ALLData>
  <XmlInfo Ver="0">AppControl</XmlInfo>
- <Data>
- <Rule IsModify="1" UserActive="1" Rising="0" ProcessID="2126386893">
  2A
  <FileRule />
- <RegRule>
- <Reg IsKey="1" SubKey="1" UserActive="1" RuleMark="1" UserAction="2">
  <TargetKeyName>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\</TargetKeyName>
  <RuleName>BEDCBEF8B4B4BDA8D3A6D3C3B3CCD0F2BDD9B3D6CFEE</RuleName>
  <RuleDesc>BEDCBEF8B6F1D2E2B3CCD0F2C0FBD3C3B8C3BCFCD6B5CAB5CFD6D7D4B6AFD4CBD0D0A3ACBBF2D7E8D6B9D2BBD0A9D5FDB3A3C8EDBCFED4CBD0D0A1A3323030352D30332D3235</RuleDesc>
  </Reg>
  </RegRule>
- <ProcRule>
- <Proc UserActive="0" RuleMark="1" UserAction="1">
  <ParentProcName>2A</ParentProcName>
  <ProcessFileMD5 />
  <RuleName>353538</RuleName>
  <RuleDesc>353539</RuleDesc>
  </Proc>
  </ProcRule>
- <ApiRule>
- <Api UserActive="0" RuleMark="1" UserAction="1">
  <RuleName>353534</RuleName>
  <RuleDesc>353535</RuleDesc>
  </Api>
- <Api UserActive="0" RuleMark="16" UserAction="1">
  <RuleName>353536</RuleName>
  <RuleDesc>353537</RuleDesc>
  </Api>
- <Api UserActive="0" RuleMark="2" UserAction="1">
  <RuleName>353839</RuleName>
  <RuleDesc>353934</RuleDesc>
  </Api>
  </ApiRule>
  </Rule>
  </Data>
  </ALLData>

这个东西？每次系统统新装后，第一时间把那个键一删了之，或其权限设置为对任何账户都“拒绝：，不就一劳永逸了嘛！何必这么费神？

引用:

【两个铁球的贴子】这个东西？每次系统统新装后，第一时间把那个键一删了之，或其权限设置为对任何账户都“拒绝：，不就一劳永逸了嘛！何必这么费神？ ………………

是够费神的，如果这个映像劫持真像身体里的“阑尾”一样没用，那微软的比尔盖茨得琢磨琢磨了

1.把那个键一删了之，病毒会创建啊
2.权限设置为对任何账户都“拒绝”，几行代码就可以设置为都“允许的

嗯 学习了