论文部分内容阅读
映像劫持病毒已经困扰了许多用户很长一段时间,每次进注册表删除就弄死了不少脑细胞。这不,A同学又被映像劫持病毒难倒了,只能请求高手B来帮忙了。
映像劫持是什么?
A:啊啊,怎么Photoshop打不开了,还提示找不到文件,它明明在这啊!
B:我想是不是中了映像劫持病毒。
A:映像劫持?那是什么东西?
B:那是微软在Windows系统中提供给开发者的调试项目,在注册表的“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options”中包含了许许多多以文件名命名的子项。
A:我看见Photoshop.exe了,把它删掉就能用了吗?咦,怎么还有那么多项目,不会这些我都打不开了?
B:删掉就应该能用了,至于其他的,你点一下看看右面有没有一个debugger,如果没有就不要删了,它们都是系统正常运行的结果。
A:那奥秘就在这个debugger中了?
B:对,刚才Photoshop打不开就因为有个debugger,debugger中应该是一个错误的地址,这样系统才会说找不到。简单的说,映像劫持就是在你打开某个程序的时候,会自动转向debugger中指定的文件,例如病毒,如果这个文件被删了或者病毒被杀掉了,那么系统自然就会报错。
删除映像劫持,杀死病毒
A:我懂了,可是以后我都得这么麻烦进注册表删吗?
B:当然不用,下面我给你演示一下怎么用IHTool(下载地址:http://www.odets.net/ihtool.html)来对映像劫持进行管理。
一、清理系统中的映像劫持
在用杀毒软件杀完映像劫持病毒后,很多软件的劫持并未被解除。所以我们需要把它们都清理掉,否则这些软件都将无法运行。
1.首先将下载好的IHTool从压缩包中解压出来,然后双击ihtool.exe运行。
2.点击“扫描”,发现系统中有未知程序针对IE浏览器的劫持(如图1),选中。
3.点击“删除”并确认即可。
二、用映像劫持控制病毒
A:既然映像劫持可以被病毒利用,那我们能不能用它来让病毒无法运行呢?
B:当然可以。你看你的电脑中还有病毒没删掉,就像这个cftmon.exe,我们就拿它来开刀。
1.回到IHTool,点击“添加”。
2.点击“文件名”后的“打开”选择或直接输入病毒名称。
3.勾选“使用IHTool管理”(如图2)并点击“添加”,IHTool将添加对该病毒的劫持。
4.用任何进程管理软件结束掉病毒进程,一般的病毒都会再次自动运行(因为用了双进程保护),这时候映像劫持的功效就显示出来了(如图3)。
5.同理把病毒的守护进程一起干掉。
6.直接找到病毒删掉,确认病毒已经被删除后回到IHTool选中对病毒的劫持,点击“删除”以免除其他可能发生的副作用。
利用映像劫持,阻止他人运行程序
A:看来映像劫持的用处还不少,那我能不能……(嘴角露出一丝邪恶的笑)
B:我懂了,你是想让某个程序不被运行吧?
A:是啊,我同学他总是在我电脑上玩魔兽,把我之前好不容易打的进度都覆盖了。
B:那我们就把魔兽给屏蔽掉吧。不过你是想要让系统弹出错误框,还是指向另外一个程序呢?
A:你都给我介绍一下吧,我到时候再想想具体用什么。
①弹出系统错误框
1.打开IHTool,和删除病毒一样,点击“添加”并选中魔兽争霸的主文件Frozen Throne.exe。
2.勾选“弹出错误框”后点击“设置”错误提示。
3.在新窗口中选择一种错误提示(如图4),这里我们选用自定义,选择图标并输入标题和内容。
4.确认输入并点击“添加”。此时运行魔兽争霸,就会弹出图5所示的错误框。
②指向另外的程序
1.依旧是在IHTool中点击“添加”。
2.不勾选任何一个选项,点击“指向文件名”后的“打开”来选择指向文件,比如QQ(如图6)。
3.点击“添加”。再次运行魔兽争霸,就只会弹出QQ的登录框。
后记:
A同学删除了病毒并对魔兽争霸进行了映像劫持,这导致每次他同学运行魔兽的时候,都会被对话框吓一跳,只好作罢。A同学的电脑也不再惧怕病毒了。
映像劫持是什么?
A:啊啊,怎么Photoshop打不开了,还提示找不到文件,它明明在这啊!
B:我想是不是中了映像劫持病毒。
A:映像劫持?那是什么东西?
B:那是微软在Windows系统中提供给开发者的调试项目,在注册表的“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options”中包含了许许多多以文件名命名的子项。
A:我看见Photoshop.exe了,把它删掉就能用了吗?咦,怎么还有那么多项目,不会这些我都打不开了?
B:删掉就应该能用了,至于其他的,你点一下看看右面有没有一个debugger,如果没有就不要删了,它们都是系统正常运行的结果。
A:那奥秘就在这个debugger中了?
B:对,刚才Photoshop打不开就因为有个debugger,debugger中应该是一个错误的地址,这样系统才会说找不到。简单的说,映像劫持就是在你打开某个程序的时候,会自动转向debugger中指定的文件,例如病毒,如果这个文件被删了或者病毒被杀掉了,那么系统自然就会报错。
删除映像劫持,杀死病毒
A:我懂了,可是以后我都得这么麻烦进注册表删吗?
B:当然不用,下面我给你演示一下怎么用IHTool(下载地址:http://www.odets.net/ihtool.html)来对映像劫持进行管理。
一、清理系统中的映像劫持
在用杀毒软件杀完映像劫持病毒后,很多软件的劫持并未被解除。所以我们需要把它们都清理掉,否则这些软件都将无法运行。
1.首先将下载好的IHTool从压缩包中解压出来,然后双击ihtool.exe运行。
2.点击“扫描”,发现系统中有未知程序针对IE浏览器的劫持(如图1),选中。
3.点击“删除”并确认即可。
二、用映像劫持控制病毒
A:既然映像劫持可以被病毒利用,那我们能不能用它来让病毒无法运行呢?
B:当然可以。你看你的电脑中还有病毒没删掉,就像这个cftmon.exe,我们就拿它来开刀。
1.回到IHTool,点击“添加”。
2.点击“文件名”后的“打开”选择或直接输入病毒名称。
3.勾选“使用IHTool管理”(如图2)并点击“添加”,IHTool将添加对该病毒的劫持。
4.用任何进程管理软件结束掉病毒进程,一般的病毒都会再次自动运行(因为用了双进程保护),这时候映像劫持的功效就显示出来了(如图3)。
5.同理把病毒的守护进程一起干掉。
6.直接找到病毒删掉,确认病毒已经被删除后回到IHTool选中对病毒的劫持,点击“删除”以免除其他可能发生的副作用。
利用映像劫持,阻止他人运行程序
A:看来映像劫持的用处还不少,那我能不能……(嘴角露出一丝邪恶的笑)
B:我懂了,你是想让某个程序不被运行吧?
A:是啊,我同学他总是在我电脑上玩魔兽,把我之前好不容易打的进度都覆盖了。
B:那我们就把魔兽给屏蔽掉吧。不过你是想要让系统弹出错误框,还是指向另外一个程序呢?
A:你都给我介绍一下吧,我到时候再想想具体用什么。
①弹出系统错误框
1.打开IHTool,和删除病毒一样,点击“添加”并选中魔兽争霸的主文件Frozen Throne.exe。
2.勾选“弹出错误框”后点击“设置”错误提示。
3.在新窗口中选择一种错误提示(如图4),这里我们选用自定义,选择图标并输入标题和内容。
4.确认输入并点击“添加”。此时运行魔兽争霸,就会弹出图5所示的错误框。
②指向另外的程序
1.依旧是在IHTool中点击“添加”。
2.不勾选任何一个选项,点击“指向文件名”后的“打开”来选择指向文件,比如QQ(如图6)。
3.点击“添加”。再次运行魔兽争霸,就只会弹出QQ的登录框。
后记:
A同学删除了病毒并对魔兽争霸进行了映像劫持,这导致每次他同学运行魔兽的时候,都会被对话框吓一跳,只好作罢。A同学的电脑也不再惧怕病毒了。