Windows映像劫持的分析與防范

向磊（湖南汽車工程職業學院，湖南株洲，412001）

Windows映像劫持的分析與防范

向磊
（湖南汽車工程職業學院，湖南株洲，412001）

本文首先介紹了windows映像劫持的原理，對映像劫持進行了分析。同時根據筆者的日常工作經驗總結除了一套比較完善的映像劫持防護方法，具有較強的針對性和實際意義。

映像劫持；Debugger；分析與防范

0 引言

一個正常的程序，無論把它放到哪個位置，或者是一個程序重新用安裝盤修復過，都會出現無法運行、出錯提示為“找不到文件”或者是運行程序A卻成了B（可能是病毒）而改名后卻可以正常運行的現象。遭遇流行“映像劫持”病毒的系統表現為常見的殺毒軟件、防火墻、安全監測工具等均提示“找不到文件”或執行了沒有反應，于是大部分用戶只能去重裝系統了，但是有經驗的用戶將這個程序改了個名字，發現它又能正常運行了。這就是映像劫持技術。

映像劫持簡稱IFEO，它的全稱是Image File Execution Options，它位于注冊表的HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindows NTCurrentVersionImage File Execution Options。他能導致系統和軟件不正常運行。

1 映像劫持的基本原理

從實際現象來分析，IEFO并非“映像劫持”，因為里面很多參數并不會導致出現前文描述的情況發生。中間問題正在所在就是一個參數的問題，即 “Debugger”參數，他的中文名稱為“調試器”，它是第一個被處理的參數，作用比較特別，系統如果發現某個程序文件在IFEO列表中，它會首先讀取Debugger參數，如果參數不為空，系統則會把Debugger參數里指定的程序文件名作為用戶試圖啟動的程序執行請求來處理，而僅僅在系統執行的邏輯里，這就意味著當一個設置了IEFO項、Debugger參數指定為notepad.exe的iexplore.exe被用戶以命令參數“-nohome bbs.nettf.net”請求執行時，系統實際上到了IFEO那里就跑去執行notepad.exe，而原來收到的執行請求的文件名和參數則被轉化為整個命令行參數“C:program filesinternet exploreriexplore.exe –nohome bbs.nettf.net”來提交給notepad.exe執行，因此最終執行的是notepad.exe C:program filesinternetexploreriexplore.exe –nohome bbs. nettf.net，即用戶原來要執行的程序文件名iexplore.exe被替換為notepad.exe，而原來的整串命令行加上iexplore.exe自身，都被作為新的命令行參數發送到notepad.exe去執行，導致用戶最終看到的是記事本的界面。由于Debugger參數的這種特殊作用，它又被稱為“重定向”（Redirection）,而利用它進行的攻擊，又被稱為“重定向劫持”（Redirection Hijack），它和“映像劫持”（image Hijack，或IFEO Hijack）只是稱呼不同，實際上都是一樣的技術手段。

2 映像劫持的實例分析

為展示分析映像劫持的具體過程和效果，我們進行如下操作，實現一個簡單的映像劫持攻擊過程，并對其進行分析。

（1）在windows開始菜單中打開運行，輸入regedit，開展到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT CurrentVersionImage File Execution Options。

（2）選中Image File Execution Options，新建項，將該項（默認在最后面）改為notepad.exe（記事本編輯器）。

（3）選中notepad.exe，單擊右鍵新建“字符串”，改名為“Debugger”。雙擊打開該鍵，修改數據數值（其實就是路徑），把它改為C:windowssystem32CMD.exe。

在桌面上新建一個文本文件，然后雙擊新建的文本文件，會發現彈出CMD命令，同理，病毒等也可以利用這樣的防范，把殺毒軟件、安全工具等名字再進行重定向，指向病毒路徑，因此，如果將病毒清理掉后，重定向沒有清理的話，由于IFEO的作用，沒被損壞的程序一樣也運行不了。同理，如果將病毒程序重定向，病毒就不能運行了。

3 映像劫持的防范

（1）限制法

要修改Image File Execution Options，首先要有權限，才能讀取到鍵值，因此打開注冊表編輯器定位到[HKEY_LOCAL_因此對技術人員而言，要加強機載無線電設備的抗干擾能力,主要是加強航空通信電臺的頻率選擇性，并針對本地區的實際情況，采取針對性的處理辦法，切實保證航空通信導航質量，確保飛行安全。

[1]徐雪飛，李建華，楊迎輝，等.基于排隊論的航空通信頻率干擾修復問題研究[J].現代防御技術，2016，03:57-65.

[2]丁歡.基于恒模算法的航空通信干擾問題研究[J].自動化與儀器儀表，2016，08:1-2.

[3]郭興國.航空通訊導航頻率干擾問題的研究[J].數字化用戶，2013，09:4.

[4]吳曉潔.關于航空通訊導航頻率干擾問題的探析[J].無線互聯科技，2013，12:32+50.

[5]楊易達，曾繁博，李冬波.航空通訊導航頻率干擾問題的分析[J].中國新通信，2017，11:56.

[6]王福留.航空通訊導航頻率干擾問題的相關探討[J].科技創新與應用，2014，17:62.

[7]高坤，楊苗.航空通訊導航頻率干擾問題淺談[J].電子技術與軟件工程，2015，18:39.

Analysis and prevention of Windows image hijacking

Xiang Lei
(Hunan automotive engineering Career Academy,Zhuzhou Hunan,412001)

This paper first introduces the principle of Windows image hijacking, and analyzes image hijacking. At the same time, according to the author’s daily work experience, in addition to a set of relatively perfect image hijacking protection method, it has strong pertinence and practical significance.

image hijacking; Debugger; analysis and Prevention