这日,我正在与病毒进行着斗争,突发奇想,想到了注册表中映像劫持的利用,这也不枉费我多年与病毒的斗争中所积累的经验啊。本来电脑好好的,可不知怎么的就中了病毒,后来才想起是打开的压缩文件中捆绑有病毒,上一次我就被这病毒搞得头昏脑胀,这个病毒是感染EXE文件的,由于对它已经非常熟悉了,所以就花了一点时问把它清除掉,但我还得把剩下的exe文件确认一遍没有捆绑病毒才行,除了使用一些反捆绑软件或winhex等的帮助外,能不能纯手工排除病毒呢?我就想到了映像劫持。
大家都知道,很多病毒都采用映像劫持的方法来阻止一些杀毒软件或安全工具的运行,我们要利用的正是这一点,病毒会在注册表的“HKEY.LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Fxecution Options”这一项下建立许多项,这些项所对应的就是比较流行的杀毒软件和安全工具的进程名来实现映像劫持的目的。比如我们要对千千静听进行映像劫持,那么就点右键建立项,命名为ttplaycr.cxe,在右边窗口中新建字符串值debugger,输入值C:\PROGRAM FILES\STORMII\STORM.EXE,这时我们只要运行千千静听,暴风影音就会运行了,我们就是要利用这一点。
如果我们已经知道了病毒的进程名,假设为wdfmgr.exe,按上述方法进行操作,这时我们的值是一个不存在的程序,这样就会出错,但不会运行任何程序,这样我们再去检查exe文件是否被感染时,就不怕再次爆发病毒瘟疫了,既安会又快捷,一举两得。刚才所说的也可以用在杀毒过程中,这样病毒重复破运行的麻烦就免去了,顶多是点几下确定罢了,而且还会看到病毒的完整路径啊,更是一举N得!如果我们在一次杀毒完成后,在Image File Execution Options项下把刚才杀掉的病毒进程写进去,这样以后我们就不用担心会被这个病毒打扰了,也就不会像我这么狼狈了,因为同一个病毒不能中两次嘛!
更多的利用就靠大家们自己去挖掘了,最后再提醒一下大家,只要肯动脑筋,困难就会迎刃而解的,而且我们还会有很大的收获的!