1.能不能介绍一下映像劫持技术得原理
2.xp系统中svchost占用cpu高,劫持如何解决?
3.C:\WINDOWS\SYSTEM32\SVCHOST.EXE
能不能介绍一下映像劫持技术得原理
windows映像劫持技术(IFEO)
基本症状:可能有朋友遇到过这样的情况。一个正常的码劫码程序,无论把它放在哪个位置,持代或者是劫持一个程序重新用安装盘修复过,都出现无法运行或者是源意思问道按键源码比如运行A却成了执行B,而改名后却可以正常运行的码劫码现象。
既然我们是持代介绍IFEO技术相关,那我们就先介绍下:
一,劫持什么是源意思映像胁持(IFEO)?
所谓的IFEO就是Image File Execution Options
它是位于注册表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
由于这个项主要是用来调试程序用的,对一般用户意义不大。码劫码默认是持代只有管理员和local system有权读写修改
先看看常规病毒等怎么修改注册表吧。。劫持
那些病毒、源意思蠕虫和,码劫码木马等仍然使用众所皆知并且过度使用的注册表键值,如下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
等等。精武堂源码。。。。。。。。。。。。。。
二,具体使用资料:
QUOTE:
下面是淘宝源码管理蓝色寒冰的一段介绍:
@echo off //关闭命令回显
echo 此批处理只作技巧介绍,请勿用于非法活动!//显示echo后的文字
pause //停止
echo Windows Registry Editor Version 5.>>ssm.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\syssafe.EXE] >>ssm.reg
echo "Debugger"="syssafe.EXE" >>ssm.reg //把echo后的文字导出到SSM.reg中
regedit /s ssm.reg &del /q ssm.reg //导入ssm.reg并删除
使SSM失效HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\svchost.exe项下的"Debugger"="abc.exe" 意思是不执行svchost.exe而执行abc.exe
QUOTE:
可能说了上面那么多,大家还弄不懂是什么意思,没关系,我们大家一起来看网络上另一个朋友做得试验:
如上图了,开始-运行-regedit,展开到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
然后选上Image File Execution Options,新建个项,然后,把这个项(默认在最后面)然后改成.exe
选上.exe这个项,然后默认右边是空白的,我们点右键,新建个“字串符”,然后改名为“Debugger"
这一步要做好,然后回车,就可以。。论坛站源码。再双击该键,修改数据数值(其实就是路径)。。
把它改为 C:\windows\system\CMD.exe
(PS:C:是系统盘,如果你系统安装在D则改为D:如果是NT或2K的系统的话,把Windows改成Winnt,下面如有再T起,类推。。。)
好了,实验下。~ .
然后找个扩展名为EXE的,(我这里拿IcesWord.exe做实验),改名为.exe。。段子网源码。
然后运行之。。。嘿嘿。。出现了DOS操作框,不知情的看着一闪闪的光标,肯定觉得特鬼异~^_^。。
一次简单的恶作剧就成咧。。。
同理,病毒等也可以利用这样的方法,把杀软、安全工具等名字再进行重定向,指向病毒路径
SO..如果你把病毒清理掉后,重定向项没有清理的话,由于IFEO的作用,没被损坏的程序一样运行不了!
让病毒迷失自我
同上面的道理一样,如果我们把病毒程序给重定向了,是不是病毒就不能运行了,答案是肯定的。
WindowsRegistryEditorVersion5.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\sppoolsv.exe]
Debugger=.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\logo_1.exe]
Debugger=.exe
上面的代码是以金猪病毒和威金病毒为例,这样即使这些病毒在系统启动项里面,即使随系统运行了,但是由于映象劫持的
重定向作用,还是会被系统提示无法找到病毒文件(这里是logo_1.exe和sppoolsv.exe)。
三,映像胁持的基本原理:
QUOTE:
NT系统在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是的话,再检查格式的,然后就会检查是否存在。。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确等等。。
当然,把这些键删除后,程序就可以运行!
四,映像胁持的具体案例:
引用JM的jzb版主的一个分析案例:
QUOTE:
蔚为壮观的IFEO,稍微有些名气的都挂了:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe
从这个案例,我们可以看到这个技术的强大之处!很多的杀软进程和一些辅助杀软或工具,全部被胁持,导致你遇到的所有杀软都无法运行!
试想如果更多病毒,利用于此,将是多么可怕的事情!
五:如何解决并预防IFEO?
方法一: 限制法(转自网络搜索)
它要修改Image File Execution Options,所先要有权限,才可读,于是。。一条思路就成了。。
打开注册表编辑器,定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\,选中该项,右键→权限→高级,取消administrator和system用户的写权限即可。
2、快刀斩乱麻法
打开注册表编辑器,定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\,把“ImageFileExecutionOptions”项删除即可。
xp系统中svchost占用cpu高,如何解决?
这个是系统服务很多程序都会调用svchost.exe,有时病毒也会劫持这个服务,每个服务就有一个svchost.exe进程在运行。你用下面方法查找一下原因试试。
1,打开任务管理器,在任务管理器菜单中选择“查看”-“选择列”,在“PID(进程标识符)”前面打勾。
2,在CMD窗口输入“tasklist /svc”(不含引号)回车。
3,在任务管理器中对照2步骤列出的服务,看哪个占用CPU的svchost.exe进程的PID对应的是哪个服务。
4,点击“开始”-“运行”,输入services.msc,在列表中找出对应的服务,停止。如是不重要的服务可以禁用它。
要注意查看停止的服务是否是重要的系统服务,以免影响系统功能
上面方法如果不行也可以百度一下 svchost占用cpu高 查找一下其他方法。
C:\WINDOWS\SYSTEM\SVCHOST.EXE
å å 许ï¼ç¶åççè´¦æ·ãæ£å¸¸çsvchost.exeæ¯SYSTEMæè NETWORK SERVICEæè LOCAL SERVICEè¿è¡çï¼å¦æä¸æ¯è¿äºèæ¯ä½ çå½åè´¦æ·çè¯è¦èèä¸æ¯çå¯è½æ§ãæè§è¿ä¸ä¸ªUçç æ¯å«æsvchost.exeçï¼æ软没æåºæ¥ï¼ä½æ¯æå¨æå¾å®¹æå°±æ¸ é¤æäºãå¦ææé®é¢å¯ä»¥ç»æåæ¶æ¯ã