向磊（湖南汽車工程職業(yè)學(xué)院，湖南株洲，412001）

Windows映像劫持的分析與防范

向磊
（湖南汽車工程職業(yè)學(xué)院，湖南株洲，412001）

本文首先介紹了windows映像劫持的原理，對映像劫持進行了分析。同時根據(jù)筆者的日常工作經(jīng)驗總結(jié)除了一套比較完善的映像劫持防護方法，具有較強的針對性和實際意義。

映像劫持；Debugger；分析與防范

0 引言

一個正常的程序，無論把它放到哪個位置，或者是一個程序重新用安裝盤修復(fù)過，都會出現(xiàn)無法運行、出錯提示為“找不到文件”或者是運行程序A卻成了B（可能是病毒）而改名后卻可以正常運行的現(xiàn)象。遭遇流行“映像劫持”病毒的系統(tǒng)表現(xiàn)為常見的殺毒軟件、防火墻、安全監(jiān)測工具等均提示“找不到文件”或執(zhí)行了沒有反應(yīng)，于是大部分用戶只能去重裝系統(tǒng)了，但是有經(jīng)驗的用戶將這個程序改了個名字，發(fā)現(xiàn)它又能正常運行了。這就是映像劫持技術(shù)。

映像劫持簡稱IFEO，它的全稱是Image File Execution Options，它位于注冊表的HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindows NTCurrentVersionImage File Execution Options。他能導(dǎo)致系統(tǒng)和軟件不正常運行。

1 映像劫持的基本原理

從實際現(xiàn)象來分析，IEFO并非“映像劫持”，因為里面很多參數(shù)并不會導(dǎo)致出現(xiàn)前文描述的情況發(fā)生。中間問題正在所在就是一個參數(shù)的問題，即 “Debugger”參數(shù)，他的中文名稱為“調(diào)試器”，它是第一個被處理的參數(shù)，作用比較特別，系統(tǒng)如果發(fā)現(xiàn)某個程序文件在IFEO列表中，它會首先讀取Debugger參數(shù)，如果參數(shù)不為空，系統(tǒng)則會把Debugger參數(shù)里指定的程序文件名作為用戶試圖啟動的程序執(zhí)行請求來處理，而僅僅在系統(tǒng)執(zhí)行的邏輯里，這就意味著當(dāng)一個設(shè)置了IEFO項、Debugger參數(shù)指定為notepad.exe的iexplore.exe被用戶以命令參數(shù)“-nohome bbs.nettf.net”請求執(zhí)行時，系統(tǒng)實際上到了IFEO那里就跑去執(zhí)行notepad.exe，而原來收到的執(zhí)行請求的文件名和參數(shù)則被轉(zhuǎn)化為整個命令行參數(shù)“C:program filesinternet exploreriexplore.exe –nohome bbs.nettf.net”來提交給notepad.exe執(zhí)行，因此最終執(zhí)行的是notepad.exe C:program filesinternetexploreriexplore.exe –nohome bbs. nettf.net，即用戶原來要執(zhí)行的程序文件名iexplore.exe被替換為notepad.exe，而原來的整串命令行加上iexplore.exe自身，都被作為新的命令行參數(shù)發(fā)送到notepad.exe去執(zhí)行，導(dǎo)致用戶最終看到的是記事本的界面。由于Debugger參數(shù)的這種特殊作用，它又被稱為“重定向”（Redirection）,而利用它進行的攻擊，又被稱為“重定向劫持”（Redirection Hijack），它和“映像劫持”（image Hijack，或IFEO Hijack）只是稱呼不同，實際上都是一樣的技術(shù)手段。

2 映像劫持的實例分析

為展示分析映像劫持的具體過程和效果，我們進行如下操作，實現(xiàn)一個簡單的映像劫持攻擊過程，并對其進行分析。

（1）在windows開始菜單中打開運行，輸入regedit，開展到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT CurrentVersionImage File Execution Options。

（2）選中Image File Execution Options，新建項，將該項（默認(rèn)在最后面）改為notepad.exe（記事本編輯器）。

（3）選中notepad.exe，單擊右鍵新建“字符串”，改名為“Debugger”。雙擊打開該鍵，修改數(shù)據(jù)數(shù)值（其實就是路徑），把它改為C:windowssystem32CMD.exe。

在桌面上新建一個文本文件，然后雙擊新建的文本文件，會發(fā)現(xiàn)彈出CMD命令，同理，病毒等也可以利用這樣的防范，把殺毒軟件、安全工具等名字再進行重定向，指向病毒路徑，因此，如果將病毒清理掉后，重定向沒有清理的話，由于IFEO的作用，沒被損壞的程序一樣也運行不了。同理，如果將病毒程序重定向，病毒就不能運行了。

3 映像劫持的防范

（1）限制法

要修改Image File Execution Options，首先要有權(quán)限，才能讀取到鍵值，因此打開注冊表編輯器定位到[HKEY_LOCAL_因此對技術(shù)人員而言，要加強機載無線電設(shè)備的抗干擾能力,主要是加強航空通信電臺的頻率選擇性，并針對本地區(qū)的實際情況，采取針對性的處理辦法，切實保證航空通信導(dǎo)航質(zhì)量，確保飛行安全。

[1]徐雪飛，李建華，楊迎輝，等.基于排隊論的航空通信頻率干擾修復(fù)問題研究[J].現(xiàn)代防御技術(shù)，2016，03:57-65.

[2]丁歡.基于恒模算法的航空通信干擾問題研究[J].自動化與儀器儀表，2016，08:1-2.

[3]郭興國.航空通訊導(dǎo)航頻率干擾問題的研究[J].數(shù)字化用戶，2013，09:4.

[4]吳曉潔.關(guān)于航空通訊導(dǎo)航頻率干擾問題的探析[J].無線互聯(lián)科技，2013，12:32+50.

[5]楊易達，曾繁博，李冬波.航空通訊導(dǎo)航頻率干擾問題的分析[J].中國新通信，2017，11:56.

[6]王福留.航空通訊導(dǎo)航頻率干擾問題的相關(guān)探討[J].科技創(chuàng)新與應(yīng)用，2014，17:62.

[7]高坤，楊苗.航空通訊導(dǎo)航頻率干擾問題淺談[J].電子技術(shù)與軟件工程，2015，18:39.

Analysis and prevention of Windows image hijacking

Xiang Lei
(Hunan automotive engineering Career Academy,Zhuzhou Hunan,412001)

This paper first introduces the principle of Windows image hijacking, and analyzes image hijacking. At the same time, according to the author’s daily work experience, in addition to a set of relatively perfect image hijacking protection method, it has strong pertinence and practical significance.

image hijacking; Debugger; analysis and Prevention