見招拆招 粉碎劫持陰謀

映像劫持 最常用的劫持伎倆

大家也許都遇到過這樣的場景——原本正常的殺軟等安全工具突然無法啟動了，系統出現各種奇怪癥狀。這很有可能說明惡意程序對殺軟進行了映像劫持。

映像劫持技術（IFEO）本意是為一些在默認系統環境下運行時，又可能發生錯誤的程序執行體提供一個特殊的環境設定，主要用于調試程序的目的。當一個可執行程序位于IFEO的控制中時，其內存分配則根據其參數而定，而Windows NT架構的系統可以通過相關注冊表項的使用與可執行程序文件名匹配的項目作為程序加載時的控制依據，最終得以設定一個程序的堆管理機制和一些輔助機制等。

出于簡化的目的，IFEO使用忽略路徑的方法來匹配它所要控制的程序文件名，因此無法將程序放置在哪個目錄，只有其名稱沒有變化，其運行就會出現問題。所以，將被劫持的程序更換一個名稱，就可以順利啟動了。

運行“regedit.exe”程序，展開“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options”分支，在其下可以查看被劫持的程序。

也可以自建有益的劫持項目，例如當您不希望運行某個程序（例如“xxx.com”），可以在該主鍵的右鍵菜單上點擊“新建”→“項”，之后將新建的子健改名為“xxx.exe”，選中該子健，在右側窗口中建立一個字符串類型的名稱為“debugger”的鍵值名，并將其值修改為“C:denyrun.exe”。這樣，當運行該“XXX.exe”程序時，會觸發一個根本不存在的程序，自然無法運行了。

除了在上述路徑中刪除被劫持的程序項目外，也可以運行“regedit32.exe”程序，在其中打開上述路徑，在其右鍵菜單上點擊“權限”項，在彈出窗口中分別選 擇“Administrators”和“SYSTEM”賬戶，在“拒絕”列中選擇所有項目，就可以禁止操作映像劫持項目。

或者單獨創建一個允許運行列表，讓之外的程序無法運行，來抗擊映像劫持操作。方法是在注冊表編輯器中打開“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer”分之，在其右側建立一個DWORD類型的名稱為“RestrictRun”的項目，將其值設置為“1”。在雙擊“Explorer”子鍵下建立一個名為“RestrictRun”的子鍵，在其右側分別創建字符串類型的名稱從“1”到某個數字（例如“10”等）的項目，每個項目的值為具體的程序名（例 如“qq.exe”等）。

您可以根據需要來創建任意多個項目，讓所需的程序獲得正常運行的權利。而該列表之外的程序將無法運行。

此外，還有一種劫持程序的方法也值得關注，在注冊表中打開“HKEY_LOCAL_MACHINESOFTWAREMicrosoftCommand Processor”，在其右側雙擊“AutoRun”項，來查看其值是否為空，否則的話就要警惕了。

當運行“cmd.exe”程序時，系統會優先運行在上述“AutoRun”項中設定的指令。當病毒木馬入侵后，為了防止用戶在CMD窗口執行各種檢測操作，會利用對上述鍵值進行劫持。

例如，將“AutoRun”項的值設為“taskkill /im cmd.exe”。這樣，當用戶啟動CMD窗口時，該指令就會自動關閉CMD窗口。如果“AutoRun”項的值指向病毒木馬程序，那么只要運行“cmd.exe”程序，就會立即激活病毒程序。如果其值為“"C:Program FilesInternet Exploreriexplore.exe" www.xxx.com”，就會自動啟動指定的惡意網站。

所以，及時將“AutoRun”項的值清空，或者直接刪除該項，可以有效避免病毒的潛在威脅。

注意，在“HKEY_CURRENT_USERSoftwareMicrosoftCommand Processor”分之中也存在這種情況，同樣不應漏掉。

抗擊劫持 讓瀏覽器回歸正途

上網沖浪離不開瀏覽器，于是病毒、木馬、流氓軟件等惡意程序就將黑手伸向了瀏覽器，對瀏覽器（特別是IE）進行綁架，成了目前頗為流行的網絡攻擊方式。

瀏覽器劫持指的是惡意程序通過DLL插入、創建BHO插件、注冊惡意控件、破壞Winsock LSP配置、設置Rootkit后門等伎倆，對瀏覽器各項配置進行惡意篡改，導致用戶在訪問正常網站時被強制轉向惡意網頁，對IE主頁或者搜索頁進行惡意修改等等行為。

對于一般的簡單的綁架行為，例如僅僅修改了主頁，可以通過手工方式對注冊表相關鍵值進行修復操作。

但是，很多狡猾的惡意程序綁架瀏覽器的手段很高明，依靠手工操作很難修復。這就需要使用一些輔助安全工具，來拯救被綁架的瀏覽器。例如，在360安全衛士、金山衛士、QQ電腦醫生等安全軟件，都提供了修復瀏覽器的工具，使用起來極為簡單，這里就不再贅述。

其實，為了防止IE遭到綁架，可以在開始程序菜單中選擇IE快捷方式，在IE右鍵菜單中點擊“運行方式”項，在彈出窗口中選擇“當前賬戶”和“保護我的計算機和數據不受未授權程序的活動影響”項，點擊確定按鈕，可以打開IE，不過在該狀態下IE進程的權限極低。

為了兼顧安全和權限等級，可以以基本用戶身份運行IE，注冊表編輯器中打開“HKEY_LOCAL_MACHINESOFTWAREPolicie sMicrosoftWindowsSaferCodeIdentifiers”分支，在右側窗口建立DWORD類型名稱為“Levels”的項目，將其值設置為“2000”。在CMD窗口中執行“runas /showtrustlevel”命令，如果出現“基本用戶”字樣表示操作成功。

之后手工為IE創建快捷方式，其命令行為“%windir%system32 unas /trustlevel:基本用戶"C:Program FilesInternet Exploreriexplore.exe"”，之后雙擊該快捷方式，就可以以基本用戶身份使用IE了。

這樣既保證了IE進程擁有相當的權限，又有效地避免了惡意程序對IE的綁架行為。

如果惡意程序使用了RootKit技術，清除起來就沒有那么簡單了。RootKit使用了更高級的后臺保護技術，程序工作在系統核心Ring 0級別。我們知道，系統核心模塊和各種驅動程序就活動在Ring 0層。病毒設計者可以將惡意程序設計為符合WDM（Windows Driver Model）規范的驅動程序模塊，并將其添加到注冊表中的驅動程序加載入口位置，這樣就可以以更加隱蔽的方式啟動。任務管理器等普通的進程管理器只能枚舉可以執行文件的信息，而無法顯示通過驅動模塊信息。

這樣，通過驅動、模塊和執行文件結合的后門程序就可以悄無聲息的侵入系統。由于其運行在Ring 0級別，可以輕易的將自身隱藏起來，包括進程信息、文件信息、通訊端口、流量信息等等內容。

這類高級惡意程序對瀏覽器進行劫持時，一般會隱藏惡意BHO插件，啟動項和進程信息等對象。因為其運行權利極高，可以控制系統核心庫中的相關函數，來保護相關的惡意文件，例如禁止刪除等。

利用Vundofix這款安全工具，可以輕松找出隱藏劫持系統文件的DLL模塊，并將其安全清除。

例如，當系統核心進程被惡意程序劫持后，使用一般的安全工具無法加以應對。而Vundofix可以輕松找出隱藏在系統中或者劫持系統文件的惡意程序，并將其清除。其使用方法很簡單，當啟動程序后點擊“Scanfor Vundo”按鈕，對系統進行安全掃描，之后點擊“Fix Vundo”按鈕，執行清理惡意文件修復系統操作。

此外，使用 SysReveal、XueTr、Atool等安全工具，同樣可以讓使用RootKit技術的惡意程序徹底漏出馬腳。這些工具可以執行諸如刪除頑固文件，查看隱藏文件、進程和端口，結束頑固進程，檢測隱藏的注冊表信息，管理SSDT服務表，查看內核模塊，卸載進程中包含的DLL模塊，控制端口等功能。

下載地址：http://www.crsky.com/soft/11529.html。

不可忽視的殺毒后遺癥——LSP劫持

面對猖獗的惡意程序，需要利用各種安全軟件將其清理出去。但是，有時當清理完畢后，卻可能面臨無法上網的情況。

其實這和Winsock LSP（Windows Socket Layered Service Probider，分層服務提供商）出錯有關。LSP是維持Windows底層網絡Socket通訊的重要組件，LSP是WinSock 2.0之后才有的功能，它需要Windows服務提供商接口（SPI，Service Provider Interface）才可以實現，SPI無法獨立工作，必須依賴于已經存在的諸如TCP/IP等網絡協議。在這些基本協議上派分出的子協議，被稱為分層協議（例如SSL等），其必須通過一定的接口函數來調用。

LSP就是這些協議的接口，因為LSP直接從Winsock取得信息，而所有的瀏覽器最終的數據傳輸都建立在Winsock接口上，所以一旦LSP層被惡意劫持，所有傳輸的網絡數據可能遭到劫持。一些病毒、木馬、流氓軟件侵入系統后，往往要將自身模塊添加到LSP中，這樣當進行網絡訪問時，惡意程序就可以攔截、訪問、修改進出系統的的網絡數據包。

基于此原理，惡意程序不僅可以隨意在系統中彈出各種垃圾廣告，還可以獲取您的訪問習慣等隱私信息。流氓軟件使用LSP技術，甚至可以對您的瀏覽器進行劫持。由于LSP工作在系統底層，當安全軟件在清除流氓軟件時，很容易就將對應LSP的DLL文件刪除，從而造成了無法上網的情況。

在注冊表編輯器中打開“HKEY_LOCAL_MACHINESYSTEMCurrent ControlSetServicesWinSock2ParametersProtocol_Catalog9Catalog_Entries”分支，就可以查看LSP的配置信息了。

一般情況下，系統存在兩個LSP接口，分別負責TCP/IP組件（對應的文件為“mswsock.dll”）和 NTDS組件（對應的文件為“Winrnr.dll”）的正常運作。

當然，有些安全軟件也會在上述注冊表分支中添加對應的LSP項目。在默認情況下，TCP/IP組件的優先級為000000000001，當LSP劫持發生后，惡意程序可能使LSP將自身修改為000000000001,，并使對應的注冊表鍵值指向惡意文件，而將原有的LSP項目后推為000000000002。

了解了LSP劫持的原理，修復起來也很簡單，例如使用金山LSP修復工具，就可以解救被綁架的LSP。在其主界面中顯示所有LSP項目，對于非綠色顯示的項目，就要提高警惕了。點擊“自動修復”按鈕，可以刪除非法的LSP項目。點擊“恢復初始狀態”按鈕，可以徹底恢復LSP的原始配置信息。如果修復失敗，也可以手工查看注冊表中的LSP項目列表，查看排在最前面的惡意LSP項目，找到與之關聯的惡意文件并將其刪除，之后刪除該惡意LSP項目，之后將其后的正常LSP項目等級向前提升即可。或者直接從別的主機導入“Catalog_Entries”子鍵的內容，也可以完成LSP的修復操作。

HOSTS文件遭劫持 網絡訪問陷迷途

有時，當在訪問一個網站時，瀏覽器卻莫名其妙的打開了一個毫不相干的網頁，這就說明HOSTS文件被劫持了。

可以打開“C:WindowsSystem32Driversetc”文件夾，可看到名為“HOSTS”的文件，這是一個系統文件，它和瀏覽器的劫持有著密切的聯系。在該文件中記錄著一些網站的IP地址和域名之間的對應關系。當在訪問該文件中記錄的網站時，就會自動定向到對應的IP地址上。

如果病毒木馬對其加以惡意利用，將正常的網站地址關聯到惡意IP上，那么當用戶訪問這些網站時，就會掉入惡意網址的陷阱中。病毒甚至會利用HOSTS文件對殺軟的病毒庫升級網址進行惡意修改，讓殺軟無法升級病毒。

注 意，HOSTS文件位置是可以自定義的，打開注冊表編輯器，在其中打開“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters”分支，在右側雙擊“Data BasePath”項目，可以查看其實際的路徑信息。

對付HOSTS劫持的方法很簡單，只需使用記事本打開HOSTS文件，將其中雜亂的IP和域名的對應關系刪除即可。

為了便于操作，可以使用HostsX這款專用軟件，來快速簡單的編輯HOSTS文件的內容。當然，合理利用HOSTS文件，也可以對惡意網站進行屏蔽。

例如，簡單地將一個惡意網址映射到不存在的IP地址，例如在Hosts文件中添加一行“0.0.0.0 www.xxxxxx.com”，在訪問“www.xxxxxx.com”時，系統將嘗試連接錯誤的IP地址“0.0.0.0”，就可以實現禁止訪 問“www.xxxxxx.com”惡意網站的目的。為了簡便起見，可以從網上下載配置好的HOSTS反黑文件，直接使用其覆蓋原始的HOSTS文件即可。

當然，也可以對HOSTS文件配置嚴格的訪問權限，讓惡意程序無法對其修改。在CMD窗口中執行“cacls C:WindowsSystem32Driversetchosts /t /c /g administrators:r”命令，就可以將該文件徹底保護起來，即只允許管理員用戶對其進行讀取、運行等操作，而無法對其進行修改刪除等操作，其他賬戶更是被徹底排斥在外。這樣，惡意程序就無法對其進行劫持了。

對于一些廣告網址也可以借用HOSTS文件進行攔截。例如在Windows 8自帶了很多各式各樣的應用，不過與之關聯的廣告讓人不勝其煩，為此，可以在資源管理器地址欄中輸入“C:WindowsSystem32Driversetc”路徑，將其中的HOSTS文件剪切到其他路徑。之后使用記事本打開該文件，并寫入一下內容：

之后執行保存操作，并將修改后的HOSTS文件放置到原來的位置。當系統彈出用戶需要提供管理員權限的警告時，直接點擊提示窗口中的“繼續”按鈕，就可以將HOSTS文件保存到原來的目錄中了。

ARP劫持 局域網混亂之源

對于局域網用戶來說，有時會出現無法上網的情況，這說明您的主機遭到遭到了ARP劫持攻擊。

ARP即Address Resolution Protocol地址解析協議，報文在物理網絡上傳送，必須知道目標主機的物理地址，這就需要將目標IP地址轉換為物理地址，這就需要依靠ARP協議的支持。

之所以發生ARP劫持，是因為安裝TCP/IP的主機中都存在一個ARP緩存表，其中的IP地址和MAC地址是一一對應的。例如，主機A（IP為192.168.1.1）向主機B（IP為192.168.1.10）發送數據時，主機A會在自己的ARP緩存表中尋找是否存在目標IP，如果找到即可直接將對應的MAC地址寫入到幀并發送即可。如果沒有找到，主機A就會在網絡上發送一個廣播，向同一網段內所有的主機發出詢問，來尋找目標MAC地址。這樣，主機A才可以向主機B發送數據。同時主機A會更新本機的ARP緩存表，以后向主機B發送數據時，直接查詢ARP緩存表就可以知道其MAC地址。ARP緩存表采用了老化機制，在一段時間內如果表中的某一行未使用，就會被刪除掉，這樣可以減小ARP緩存表的長度，加快查詢速度。

ARP劫持就是通過偽造IP地址和MAC對應關系來實現的，可以在網絡中產生大量的ARP通訊量讓網絡阻塞，攻擊者只要連續發出偽造的ARP響應包就可以更改目標主機ARP緩存表中的IP-MAC對應條目，造成網絡中斷或者中間人攻擊，在局域網中如果一臺主機感染了ARP木馬，該主機就會試圖通過ARP欺騙的手段來截獲網絡內其他主機之間的通訊，并造成網絡中其他主機的通訊故障。

實際上，攻擊者只需利用 Zxarps、Cain、maxhijacks等工具，就可以對局域網發起ARP欺騙攻擊。一般來說，ARP劫持分為兩種方式，一種是欺騙網關，一種欺騙局域網中的其他主機。

為了安全起見，最好在局域網中劃分VLAN子網，讓ARP攻擊無法影響整個局域網。但是一般個人用戶使用的都是無線路由器上網模式，可以在路由器設置界面中將IP和MAC逐一綁定起來。也可以安裝和使用ARP防火墻，例如彩影ARP防火墻、360 ARP防護墻等，來狙擊ARP劫持。

檢測ARP劫持的方法一般有兩種，一種是在局域網中使用Wireshark等抓包工具，來抓取數據包進行分析。而另外一種是在三層交換機上查詢ARP表。當然，也可以使用欣向巡路之ARP工具等工具，對ARP欺騙進行監控分析等。