瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 保护 修复 映像劫持(应用程序劫持项/IFEO)

1   1  /  1  页   跳转

[原创] 保护 修复 映像劫持(应用程序劫持项/IFEO)

保护 修复 映像劫持(应用程序劫持项/IFEO)

应用程序劫持项。当该键下某子键名的进程试图加载时,系统会自动创建该子键下 Debugger 键值所指定的进程,并将加载的文件名作为参数传递给 Debugger 键值指定的进程。恶意程序可以利用该键值实现自动运行,或阻止一些正常软件运行。

对应注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution<br>保护方法:

方法一、使用瑞星杀毒软件主动防御保护“映像劫持(应用程序劫持项)”的设置方法见下图。
图中提到的规则文件下载地址1:http://images.rising.com.cn/uploadfiles/20083/27/9291622008327102652.zip"

方法二、使用映像劫持(应用程序劫持项)修复及保护程序,详见本帖子的第六及第七楼。

映像劫持(应用程序劫持项\IFEO)的保护程序,下载地址:
http://images.rising.com.cn/uploadfiles/20084/6/929162200846150318.zip




【分享】应用程序正常初始化失败 通用库错误 红伞 升级没反应 蓝屏 网络连接失败处理

http://forum.ikaka.com/topic.asp?board=28&artid=8431715

附件附件:

下载次数:4694
文件类型:image/pjpeg
文件大小:
上传时间:2008-3-26 14:36:24
描述:/
预览信息:EXIF信息



最后编辑一直在学习的人 最后编辑于 2008-06-13 12:46:08
分享到:
gototop
 

图中提到的规则文件下载地址2,下面的ZIP附件

附件附件:

下载次数:695
文件类型:application/octet-stream
文件大小:
上传时间:2008-3-27 10:35:36
描述:

gototop
 

【回复“newcenturymoon”的帖子】
这种多此一举的方法让高手见笑了

我当时考虑的是双保险,系统加固如被禁用还有应用程序访问控制呢,另外也推广一下主动防御,亡羊后虽然补牢了,但还是对那只亡羊感到遗憾。

针对目前的病毒快速回写应用程序劫持项问题,想听一下您的高见。
gototop
 

附件ZIP包中的文件
1.映像劫持(ifeo)_fix.exe:映像劫持(应用程序劫持项)的保护及修复程序
2.iefo_fix.jpg:映像劫持(ifeo)_fix.exe的MD5等信息;
3.ifeo_Windows.XP.Professional. sp2.reg:Windows.XP.Professional. sp2的默认IFEO注册表脚本;
4.ifeo_Windows.Server.2003.Standard.Edition.sp1.reg:Windows.Server.2003.Standard.Edition.sp1的默认IFEO注册表脚本;
5.KaKaMD5.exe:文件MD5计算工具;

附件下载地址:http://images.rising.com.cn/uploadfiles/20084/6/929162200846150318.zip

附件附件:

下载次数:583
文件类型:application/octet-stream
文件大小:
上传时间:2008-4-6 15:15:27
描述:

gototop
 

IFEO

我的学名叫映像劫持(ifeo)_fix.exe,大家都称我为映像劫持(应用程序劫持项)的保镖,先给大家亮个相


我的主人当然就是映像劫持(也叫应用程序劫持项)喽,主子英文名比较长,就是这:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution,简称为IFEO,在现在的江湖上谈不上流芳十里,但臭名昭著还是绰绰有余的,我很为主人抱不平,主人毕竟不是坏人,而且有特殊的才能,但恰恰就是这特殊的才能又被坏人利用了,成了他人手中的枪,现在主人和autorun.inf两兄弟真是同病相怜呀,唉


现在江湖上的**,无论大小,都盯上了主人,都利用主人,所以我这新来的保镖感到压力巨大,路过此地的高手、大侠、神仙们,请不吝支几招噢
最后编辑一直在学习的人 最后编辑于 2008-06-13 12:40:24
gototop
 

有的时候杀毒软件已经不起作用了,那它的任务就是解救杀毒软件。

这个小程序不依赖于cmd.exe的shell,也不需要调用regedit.exe,对劫持项有一定程度的保护,还有一个循环删除(就是功能4,循环删除的频率跟随着病毒循环创建的频率,尽可能的减少了对CPU资源的浪费)。
gototop
 

引用:
【两个铁球的贴子】这个东西?每次系统统新装后,第一时间把那个键一删了之,或其权限设置为对任何账户都“拒绝:,不就一劳永逸了嘛!何必这么费神?
………………


是够费神的,如果这个映像劫持真像身体里的“阑尾”一样没用,那微软的比尔盖茨得琢磨琢磨了

1.把那个键一删了之,病毒会创建啊
2.权限设置为对任何账户都“拒绝”,几行代码就可以设置为都“允许的
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT