Windows映像劫持的分析與防范

向磊（湖南汽車(chē)工程職業(yè)學(xué)院，湖南株洲，412001）

Windows映像劫持的分析與防范

向磊
（湖南汽車(chē)工程職業(yè)學(xué)院，湖南株洲，412001）

本文首先介紹了windows映像劫持的原理，對(duì)映像劫持進(jìn)行了分析。同時(shí)根據(jù)筆者的日常工作經(jīng)驗(yàn)總結(jié)除了一套比較完善的映像劫持防護(hù)方法，具有較強(qiáng)的針對(duì)性和實(shí)際意義。

映像劫持；Debugger；分析與防范

0 引言

一個(gè)正常的程序，無(wú)論把它放到哪個(gè)位置，或者是一個(gè)程序重新用安裝盤(pán)修復(fù)過(guò)，都會(huì)出現(xiàn)無(wú)法運(yùn)行、出錯(cuò)提示為“找不到文件”或者是運(yùn)行程序A卻成了B（可能是病毒）而改名后卻可以正常運(yùn)行的現(xiàn)象。遭遇流行“映像劫持”病毒的系統(tǒng)表現(xiàn)為常見(jiàn)的殺毒軟件、防火墻、安全監(jiān)測(cè)工具等均提示“找不到文件”或執(zhí)行了沒(méi)有反應(yīng)，于是大部分用戶(hù)只能去重裝系統(tǒng)了，但是有經(jīng)驗(yàn)的用戶(hù)將這個(gè)程序改了個(gè)名字，發(fā)現(xiàn)它又能正常運(yùn)行了。這就是映像劫持技術(shù)。

映像劫持簡(jiǎn)稱(chēng)IFEO，它的全稱(chēng)是Image File Execution Options，它位于注冊(cè)表的HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindows NTCurrentVersionImage File Execution Options。他能導(dǎo)致系統(tǒng)和軟件不正常運(yùn)行。

1 映像劫持的基本原理

從實(shí)際現(xiàn)象來(lái)分析，IEFO并非“映像劫持”，因?yàn)槔锩婧芏鄥?shù)并不會(huì)導(dǎo)致出現(xiàn)前文描述的情況發(fā)生。中間問(wèn)題正在所在就是一個(gè)參數(shù)的問(wèn)題，即 “Debugger”參數(shù)，他的中文名稱(chēng)為“調(diào)試器”，它是第一個(gè)被處理的參數(shù)，作用比較特別，系統(tǒng)如果發(fā)現(xiàn)某個(gè)程序文件在IFEO列表中，它會(huì)首先讀取Debugger參數(shù)，如果參數(shù)不為空，系統(tǒng)則會(huì)把Debugger參數(shù)里指定的程序文件名作為用戶(hù)試圖啟動(dòng)的程序執(zhí)行請(qǐng)求來(lái)處理，而僅僅在系統(tǒng)執(zhí)行的邏輯里，這就意味著當(dāng)一個(gè)設(shè)置了IEFO項(xiàng)、Debugger參數(shù)指定為notepad.exe的iexplore.exe被用戶(hù)以命令參數(shù)“-nohome bbs.nettf.net”請(qǐng)求執(zhí)行時(shí)，系統(tǒng)實(shí)際上到了IFEO那里就跑去執(zhí)行notepad.exe，而原來(lái)收到的執(zhí)行請(qǐng)求的文件名和參數(shù)則被轉(zhuǎn)化為整個(gè)命令行參數(shù)“C:program filesinternet exploreriexplore.exe –nohome bbs.nettf.net”來(lái)提交給notepad.exe執(zhí)行，因此最終執(zhí)行的是notepad.exe C:program filesinternetexploreriexplore.exe –nohome bbs. nettf.net，即用戶(hù)原來(lái)要執(zhí)行的程序文件名iexplore.exe被替換為notepad.exe，而原來(lái)的整串命令行加上iexplore.exe自身，都被作為新的命令行參數(shù)發(fā)送到notepad.exe去執(zhí)行，導(dǎo)致用戶(hù)最終看到的是記事本的界面。由于Debugger參數(shù)的這種特殊作用，它又被稱(chēng)為“重定向”（Redirection）,而利用它進(jìn)行的攻擊，又被稱(chēng)為“重定向劫持”（Redirection Hijack），它和“映像劫持”（image Hijack，或IFEO Hijack）只是稱(chēng)呼不同，實(shí)際上都是一樣的技術(shù)手段。

2 映像劫持的實(shí)例分析

為展示分析映像劫持的具體過(guò)程和效果，我們進(jìn)行如下操作，實(shí)現(xiàn)一個(gè)簡(jiǎn)單的映像劫持攻擊過(guò)程，并對(duì)其進(jìn)行分析。

（1）在windows開(kāi)始菜單中打開(kāi)運(yùn)行，輸入regedit，開(kāi)展到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT CurrentVersionImage File Execution Options。

（2）選中Image File Execution Options，新建項(xiàng)，將該項(xiàng)（默認(rèn)在最后面）改為notepad.exe（記事本編輯器）。

（3）選中notepad.exe，單擊右鍵新建“字符串”，改名為“Debugger”。雙擊打開(kāi)該鍵，修改數(shù)據(jù)數(shù)值（其實(shí)就是路徑），把它改為C:windowssystem32CMD.exe。

在桌面上新建一個(gè)文本文件，然后雙擊新建的文本文件，會(huì)發(fā)現(xiàn)彈出CMD命令，同理，病毒等也可以利用這樣的防范，把殺毒軟件、安全工具等名字再進(jìn)行重定向，指向病毒路徑，因此，如果將病毒清理掉后，重定向沒(méi)有清理的話，由于IFEO的作用，沒(méi)被損壞的程序一樣也運(yùn)行不了。同理，如果將病毒程序重定向，病毒就不能運(yùn)行了。

3 映像劫持的防范

（1）限制法

要修改Image File Execution Options，首先要有權(quán)限，才能讀取到鍵值，因此打開(kāi)注冊(cè)表編輯器定位到[HKEY_LOCAL_因此對(duì)技術(shù)人員而言，要加強(qiáng)機(jī)載無(wú)線電設(shè)備的抗干擾能力,主要是加強(qiáng)航空通信電臺(tái)的頻率選擇性，并針對(duì)本地區(qū)的實(shí)際情況，采取針對(duì)性的處理辦法，切實(shí)保證航空通信導(dǎo)航質(zhì)量，確保飛行安全。

[1]徐雪飛，李建華，楊迎輝，等.基于排隊(duì)論的航空通信頻率干擾修復(fù)問(wèn)題研究[J].現(xiàn)代防御技術(shù)，2016，03:57-65.

[2]丁歡.基于恒模算法的航空通信干擾問(wèn)題研究[J].自動(dòng)化與儀器儀表，2016，08:1-2.

[3]郭興國(guó).航空通訊導(dǎo)航頻率干擾問(wèn)題的研究[J].數(shù)字化用戶(hù)，2013，09:4.

[4]吳曉潔.關(guān)于航空通訊導(dǎo)航頻率干擾問(wèn)題的探析[J].無(wú)線互聯(lián)科技，2013，12:32+50.

[5]楊易達(dá)，曾繁博，李冬波.航空通訊導(dǎo)航頻率干擾問(wèn)題的分析[J].中國(guó)新通信，2017，11:56.

[6]王福留.航空通訊導(dǎo)航頻率干擾問(wèn)題的相關(guān)探討[J].科技創(chuàng)新與應(yīng)用，2014，17:62.

[7]高坤，楊苗.航空通訊導(dǎo)航頻率干擾問(wèn)題淺談[J].電子技術(shù)與軟件工程，2015，18:39.

Analysis and prevention of Windows image hijacking

Xiang Lei
(Hunan automotive engineering Career Academy,Zhuzhou Hunan,412001)

This paper first introduces the principle of Windows image hijacking, and analyzes image hijacking. At the same time, according to the author’s daily work experience, in addition to a set of relatively perfect image hijacking protection method, it has strong pertinence and practical significance.

image hijacking; Debugger; analysis and Prevention