什么是映像劫持？镜像劫持的解决方案

一些网友可能遇到过这样的情况，正常的程序不管放在什么位置，即便是重新使用修复过系统，都会出现改程序无法运行或运行次程序却指向另一个程序的情况，然而为该程序改名之后是可以正常运行的。这是因为该系统遭遇映像劫持，关联程序运行路径会启动恶意程序，映像劫持会导致注册表冗余文件过多而造成系统卡顿，运行缓慢。

IIS7网站监控可以及时防控网站风险，快速准确监控网站是否遭到各种劫持攻击，网站在全国是否能正常打开（查看域名是否被墙），精准的DNS污染检测，具备网站打开速度检测功能，第一时间知道网站是否被黑、被入侵、被改标题、被挂黑链。精益求精的产品，缺陷为零数据提供！

  它可以做到以下功能：

1、检测网站是否被黑

2、检测网站是否被劫持

3、检测域名是否被墙

4、检测DNS是否被污染

5、网站真实的完全打开时间（独家） 

6、拥有独立监控后台，24小时定时监控域名

官方图：

官方地址：http://wzjk.iis7.net/?dx

　一、什么是映像胁持（IFEO）？

　　“映像劫持”，也被称为“IFEO”（Image File Execution Options），在WindowsNT架构的系统里，IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。当一个可执行程序位于IFEO的控制中时，它的内存分配则根据该程序的参数来设定，而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据，最终得以设定一个程序的堆管理机制和一些辅助机制等。出于简化原因，IFEO使用忽略路径的方式来匹配它所要控制的程序文件名，所以程序无论放在哪个路径，只要名字没有变化，它就运行出问题。

　　“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File ExecutionOptions”内，使用与可执行程序文件名匹配的项目作为程序载入时的控制依据，最终得以设定一个程序的堆管理机制和一些辅助机制等，大概微软考虑到加入路径控制会造成判断麻烦与操作不灵活的后果，也容易导致注册表冗余，于是IFEO使用忽略路径的方式来匹配它所要控制的程序文件名。

Image File Execution Options位于注册表：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

　　由于这个项主要是用来调试程序用的，对一般用户意义不大。默认是只有管理员和local system有权读写修改

　　先看看常规病毒等怎么修改注册表吧。。

　　那些病毒、蠕虫和，木马等仍然使用众所皆知并且过度使用的注册表键值，如下：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\NotifyHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

等等...

　　二、具体使用资料：

@echo off

rem 关闭命令回显

echo 此批处理只作技巧介绍，请勿用于非法活动！

rem 显示echo后的文字

pause

rem 停止

echo Windows Registry Editor Version 5.00 sSM.reg

echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\syssafe.EXE] sSM.reg

echo "Debugger"="syssafe.EXE" sSM.reg

rem 把echo后的文字导出到SSM.reg中

regedit /s sSM.reg del /q sSM.reg

rem 导入sSM.reg并删除

 

使SSM失效HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\svchost.exe项下的"Debugger"="abc.exe" 意思是不执行svchost.exe而执行abc.exe

　　可能说了上面那么多，大家还弄不懂是什么意思，没关系，我们大家一起来看网络上另一个朋友做得试验:

　　1、开始-运行-regedit,展开到：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\

2、然后选上Image File Execution Options，新建个项，然后，把这个项（默认在最后面）然后改成123.exe

　　3、选上123.exe这个项，然后默认右边是空白的，我们点右键，新建个“字串符”，然后改名为“Debugger“

　　4、这一步要做好，然后回车，就可以。。。再双击该键，修改数据数值（其实就是路径）。。

　　5、把它改为 C：\windows\system32\CMD.exe

　　注：C：是系统盘，如果你系统安装在D则改为D：如果是NT或2K的系统的话，把Windows改成Winnt，下面如有再提起，类推。

　　好了，实验下。

　　6、然后找个扩展名为EXE的，（我这里拿IcesWord.exe做实验），改名为123.exe。

　　7、然后运行。出现了DOS操作框，不知情的看着一闪闪的光标，肯定觉得特诡异。

　　8、一次简单的恶作剧就成咧。

　　同理，病毒等也可以利用这样的方法，把杀软、安全工具等名字再进行重定向，指向病毒路径。所以，如果你把病毒清理掉后，重定向项没有清理的话，由于IFEO的作用，没被损坏的程序一样运行不了！

本文禁止转载或摘编