映像劫持
映像劫持
就是Image File Execution Options(其實應該稱為“Image Hijack”。)是為一些在默認系統環境中運行時可能引發錯誤的程序執行體提供特殊的環境設定。由於這個項主要是用來調試程序用的,對一般用戶意義不大。默認是只有管理員和local system有權讀寫修改。
“映像劫持”,也被稱為“IFEO”(Image File Execution Options),在WindowsNT架構的系統里,IFEO的本意是為一些在默認系統環境中運行時可能引發錯誤的程序執行體提供特殊的環境設定。當一個可執行程序位於IFEO的控制中時,它的內存分配則根據該程序的參數來設定,而WindowsN T架構的系統能通過這個註冊表項使用與可執行程序文件名匹配的項目作為程序載入時的控制依據,最終得以設定一個程序的堆管理機制和一些輔助機制等。出於簡化原因,IFEO使用忽略路徑的方式來匹配它所要控制的程序文件名,所以程序無論放在哪個路徑,只要名字沒有變化,它就運行出問題。
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File ExecutionOptions”內,使用與可執行程序文件名匹配的項目作為程序載入時的控制依據,最終得以設定一個程序的堆管理機制和一些輔助機制等,大概微軟考慮到加入路徑控制會造成判斷麻煩與操作不靈活的後果,也容易導致註冊表冗餘,於是IFEO使用忽略路徑的方式來匹配它所要控制的程序文件名。
例如有一個程序文件名為“xiaojin.exe”,由於使用了舊的堆管理機制,它在新系統里無法正常運行甚至出現非法操作,為了讓系統為其提供舊的堆管理機制,需要IFEO來介入,則需執行以下步驟:
1. 確保在管理員狀態下執行regedit.exe,定位到以下註冊表項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File ExecutionOptions
2. 在“Image File Execution Options”下建立一個子鍵,名為“xiaojin.exe”,不區分大小寫。現在確保位於HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File ExecutionOptions\xiaojin.exe\下,建立一個字元串類型的註冊表項,名為“DisableHeapLookAside”,值為“1”
3. 再次運行xiaojin.exe查看運行情況,如果真的是由於堆管理機制引發的問題,則程序得以正常運行,否則該程序問題不屬於IFEO能夠干涉的範圍,或者需要嘗試搭配其他的參數使用。
QUOTE
NT系統在試圖執行一個從命令行調用的可執行文件運行請求時,先會檢查運行程序是不是可執行文件,如果是的話,再檢查格式的,然後就會檢查是否存在。。如果不存在的話,它會提示系統找不到文件或者是“指定的路徑不正確等等。
當然,把這些鍵刪除后,程序就可以運行!
從實際現象來說
把IFEO直接稱為“映像劫持”未免有點冤枉它了,因為裡面大部分參數並不會導致今天這種局面的發生,惹禍的參數只有一個,那就是“Debugger”,將IFEO視為映像劫持,大概是因為國內一些人直接套用了“Image File Execution Options”的縮寫吧,在相對規範的來自Sysinternals的專業術語里,利用這個技術的設計漏洞進行非法活動的行為應該被稱為“Image Hijack”,這才是真正字面上的“映像劫持”!
Debugger參數
直接翻譯為“調試器”,它是IFEO里第一個被處理的參數,其作用是屬於比較匪夷所思的,系統如果發現某個程序文件在IFEO列表中,它就會首先來讀取Debugger參數,如果該參數不為空,系統則會把Debugger參數里指定的程序文件名作為用戶試圖啟動的程序執行請求來處理,而僅僅把用戶試圖啟動的程序作為Debugger參數里指定的程序文件名的參數發送過去!光是這個概念大概就足夠一部分人無法理解了,所以我們放簡單點說,例如有兩個客人在一起吃自助餐,其中一個客人(用戶)委託另一個客人(系統)去拿食物時順便幫自己帶點食物回來(啟動程序的請求),可是系統在幫用戶裝了一盤子食物並打算回來時卻發現另一桌上有個客人(Debugger參數指定的程序文件)居然是自己小學里的暗戀對象!於是系統直接端著原本要拿給用戶的食物放到那桌客人那裡共同回憶往事去了(將啟動程序請求的執行文件映像名和最初參數組合轉換成新的命令行參數……),最終吃到食物的自然就是Debugger客人(獲得命令行參數),至此系統就忙著執行Debugger客人的啟動程序請求而把發出最初始啟動程序請求的用戶和那盤食物(都送給Debugger客人做命令行參數了)給遺忘了。
在系統執行的邏輯里
這就意味著,當一個設置了IFEO項Debugger參數指定為“notepad.exe”的“iexplore.exe”被用戶以命令行參數“-nohome bbset”請求執行時,系統實際上到了IFEO那裡就跑去執行notepad.exe了,而原來收到的執行請求的文件名和參數則被轉化為整個命令行參數“C:\Program Files\Internet Explorer\IEXPLORE.EXE - nohome ”來提交給notepad.exe執行,所以最終執行的是“notepad.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE - nohome bbs.即用戶原來要執行的程序文件名iexplore.exe被替換為notepad.exe,而原來的整串命令行加上iexplore.exe自身,都被作為新的命令行參數發送到notepad.exe去執行了,所以用戶最終看到的是記事本的界面,並可能出現兩種情況,一是記事本把整個iexplore.exe都作為文本讀了出來,二是記事本彈出錯誤信息報告“文件名不正確”,這取決於iexplore.exe原來是作為光桿司令狀態請求執行(無附帶運行命令行參數)的還是帶命令行參數執行的。
Debugger參數存在的本意
是為了讓程序員能夠通過雙擊程序文件直接進入調試器里調試自己的程序,曾經調試過程序的朋友也許會有一個疑問,既然程序啟動時都要經過IFEO這一步,那麼在調試器里點擊啟動剛被Debugger參數送進來的程序時豈不是又會因為這個法則的存在而導致再次產生一個調試器進程?微軟並不是傻子,他們理所當然的考慮到了這一點,因此一個程序啟動時是否會調用到IFEO規則取決於它是否“從命令行調用”的,那麼“從命令行調用”該怎麼理解呢?例如我們在命令提示符里執行taskmgr.exe,這就是一個典型的“從命令行調用”的執行請求,而我們在點擊桌面上、普通應用程序菜單里的taskmgr.exe時,系統都會將其視為由外殼程序Explorer.exe傳遞過來的執行請求,這樣一來,它也屬於“從命令行調用”的範圍而觸發IFEO規則了。為了與用戶操作區分開來,系統自身載入的程序、調試器里啟動的程序,它們就不屬於“從命令行調用”的範圍,從而繞開了IFEO,避免了這個載入過程無休止的循環下去。
由於Debugger參數的這種特殊作用,它又被稱為“重定向”(Redirection),而利用它進行的攻擊,又被稱為“重定向劫持”(Redirection Hijack),它和“映像劫持”(Image Hijack,或IFEO Hijack)只是稱呼不同,實際上都是一樣的技術手段。
實質問題
講解完Debugger參數的作用,我們來看看“映像劫持”到底是怎麼一回事,遭遇流行“映像劫持”病毒的系統表現為常見的殺毒軟體、防火牆、安全檢測工具等均提示“找不到文件”或執行了沒有反應,於是大部分用戶只能去重裝系統了,但是有經驗或者歪打正著的用戶將這個程序改了個名字,就發現它又能正常運行了,這是為什麼?答案就是IFEO被人為設置了針對這些流行工具的可執行文件名的列表了,而且Debugger參數指向不存在的文件甚至病毒本身!
舉例
以超級巡警的主要執行文件AST.exe為例,首先,有個文件名為kkk.exe的惡意程序向IFEO列表裡寫入AST.exe項,並設置其Debugger指向kkk.exe,於是系統就會認為kkk.exe是AST.exe的調試器,這樣每次用戶點擊執行AST.exe時,系統執行的實際上是作為調試器身份的kkk.exe,至於本該被執行的AST.exe,此刻只能被當作kkk.exe的執行參數來傳遞而已,而由於kkk.exe不是調試器性質的程序,甚至惡意程序作者都沒有編寫執行參數的處理代碼,所以被啟動的永遠只有kkk.exe自己一個,用戶每次點擊那些“打不開”的安全工具,實際上就等於又執行了一次惡意程序本體!這個招數被廣大使用“映像劫持”技術的惡意軟體所青睞,隨著OSO這款超級U盤病毒與AV終結者(隨機數病毒、8位字母病毒)這兩個滅殺了大部分流行安全工具和殺毒軟體的惡意程序肆虐網路以後,一時之間全國上下人心惶惶,其實它們最大改進的技術核心就是利用IFEO把自己設置為各種流行安全工具的調試器罷了,破解之道尤其簡單,只需要將安全工具的執行文件隨便改個名字,而這個安全工具又不在乎互斥量的存在,那麼它就能正常運行了,除非你運氣太好又改到另一個也處於黑名單內的文件名去了,例如把AST.exe改為IceSword.exe。
引用JM的jzb770325001版主的一個分析案例:
QUOTE:
蔚為壯觀的IFEO,稍微有些名氣的都掛了:
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\avp.exe
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\AgentSvr.exe
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\CCenter.exe
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\Rav.exe
從這個案例,我們可以看到這個技術的強大之處!很多的殺軟進程和一些輔助殺軟或工具,全部被脅持,導致你遇到的所有殺軟都無法運行!
試想如果更多病毒,利用於此,將是多麼可怕的事情!
許可權杜絕
網上流傳著一個讓初級用戶看不懂的做法,那就是關閉IFEO列表的寫入許可權,具體操作如下:
執行32位註冊表編輯器regedt32.exe
定位到HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options;
確保焦點在Image File Execution Options上,選擇“安全”—“許可權”;
將出現的用戶列表內所有帶有“寫入”的許可權去掉,確定退出。
這樣一來,任何對IFEO的寫入操作都失效了,也就起了免疫效果。這個方法對一般而言還是不錯的,除非遭遇到一些特殊的需要往裡面寫入堆管理參數的程序。建議一般用戶還是禁止此項,從而杜絕一切IFEO類病毒來襲。
快刀斬亂麻法
打開註冊表編輯器,定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\,把“ImageFileExecutionOptions”項刪除即可。
利用Microsoft Sysinternals Suite
更簡單的方法,是使用Sysinternals Suite(一個微軟的工具集合)中的Autoruns,點擊它的“Image Hijacks”選項卡,即可看到被劫持的程序項了。
常規病毒等怎麼修改註冊表
來達到隨機啟動吧。
病毒、蠕蟲和,木馬等仍然使用眾所皆知並且過度使用的註冊表鍵值,如下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
等等。
2.另外一種劫持的方法是:在目標程序目錄下建立與系統DLL相同的導出函數,執行內容為
f=LoadLibrary(byref "c:\windows\system32\"+dllname)
f=GetProcAddress(byval f,byref procname)
!jmp f
'(PowerBasic)
,在DLL初始化的時候可以干一些壞事,以此來達到改變原應用程序的目的
具體使用資料
實驗1
開始-運行-regedit,展開到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File ExecutionOptions\
然後選上Image File Execution Options,新建個項,然後,把這個項(默認在最後面)改成123.exe
選上123.exe這個項,然後默認右邊是空白的,我們點右鍵,新建個“字元串值”,然後改名為“Debugger"
這一步要做好,然後回車,就可以。。。再雙擊該鍵,修改數據數值(其實就是路徑)。。
把它改為 C:\windows\system32\CMD.exe
(註:C:是系統盤,如果你系統安裝在D則改為D:如果是NT或2K的系統的話,把Windows改成Winnt,下面如有再提起,類推。。。)
實驗2
然後找個擴展名為EXE的,(我這裡拿IcesWord.exe做實驗),改名為123.exe。。。
然後運行之。。。嘿嘿。。出現了DOS操作框,不知情的看著一閃閃的游標,肯定覺得特詭異。
一次簡單的惡作劇就成咧。。。
同理,病毒等也可以利用這樣的方法,把殺軟、安全工具等名字再進行重定向,指向病毒路徑
所以,如果你把病毒清理掉后,重定向項沒有清理的話,由於IFEO的作用,沒被損壞的程序一樣運行不了!
讓病毒迷失自我
同上面的道理一樣,如果我們把病毒程序給重定向了,是不是病毒就不能運行了,答案是肯定的。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File ExecutionOptions\sppoolsv.exe]
Debugger=123.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File ExecutionOptions\logo_1.exe]
Debugger=123.exe
重定向作用,還是會被系統提示無法找到病毒文件(這裡是logo_1.exe和sppoolsv.exe)。