이미지 하이재킹의 원리는?
이미지 하이재킹(IFEO)의 정의는 레지스트리의 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image 파일 실행 옵션에 있습니다. . 이 항목은 주로 프로그램 디버깅에 사용되므로 일반 사용자에게는 별 의미가 없습니다. 기본적으로 관리자와 로컬 시스템만 읽기, 쓰기, 수정 권한을 갖습니다. 예를 들어 일반인의 관점에서 QQ.exe를 실행하고 싶지만 결과는 FlashGet.exe인 경우, 즉 이 경우 QQ 프로그램이 FLASHGET, 즉 실행하려는 프로그램에 의해 하이재킹된 것입니다. 대신 다른 프로그램에 의해 납치되었습니다. 이미지 하이재킹 바이러스 이미지 하이재킹은 시스템에 내장된 기능으로 일반 사용자에게는 별 쓸모가 없지만, 표면적으로는 이미지 하이재킹을 이용해 소란을 피우는 바이러스도 있습니다. 실제로 바이러스는 이미 백그라운드에서 실행되고 있습니다. 대부분의 바이러스 및 트로이 목마는 시스템 시작 항목을 로드하여 실행되며 일부는 주로 다음과 같은 측면을 포함하는 레지스트리를 수정하여 이 목적을 달성합니다. \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\ Microsoft \Windows\CurrentVersion\Run 서비스Once자세한 내용 시작 항목은 다음을 참조하십시오. 시스템이 시작될 때 시작 프로그램을 로드하는 모든 방법 amp; 그러나 일반 트로이 목마 및 바이러스와 다른 점은 일부 바이러스는 이를 통해 스스로 로드되지 않고 시스템 시작과 함께 실행되지 않고 특정 프로그램이 실행될 때까지 기다린다는 점입니다. 일반 사용자는 자신의 컴퓨터가 바이러스에 감염되었음을 발견하면 시스템 추가 기능을 가장 먼저 확인합니다. 이는 이미지 하이재킹에 대해 생각하는 사람도 거의 없습니다. 이미지 하이재킹 바이러스는 주로 레지스트리의 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution 옵션 항목을 수정하여 일반 프로그램을 하이재킹합니다. 예를 들어, qq 프로그램을 하이재킹하려는 바이러스 vires.exe가 있는 경우, 위 레지스트리에서 qq 프로그램을 하이재킹합니다. 해당 위치에 새 qq.exe 항목을 만든 다음 이 항목 아래에 문자열 키-값 디버거를 만듭니다. 내용은 C:\WINDOWS\SYSTEM32\VIRES.EXE입니다. 바이러스가 숨어 있는 디렉토리입니다). 물론 문자열 값을 다른 값으로 변경하면 시스템은 파일을 찾을 수 없다는 메시지를 표시합니다.
이미지 하이재킹의 기본 원리 WINDOWS NT 시스템은 명령줄에서 호출된 실행 파일 실행 요청을 실행하려고 하면 실행 중인 프로그램이 실행 파일인지 먼저 확인한 다음 형식을 확인합니다. 존재하는지 확인하십시오. 존재하지 않으면 시스템이 파일을 찾을 수 없다거나 "지정된 경로가 올바르지 않습니다 등"이라는 메시지가 나타납니다. 이 키를 삭제한 후 프로그램을 실행할 수 있습니다! 이미지 하이재킹 적용★ 특정 프로그램의 작동을 금지하려면 다음을 확인하세요. 먼저 코드 조각에서 : Windows 레지스트리 편집기 버전 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qq.exe] "Debugger"="123.exe" norun_qq.reg로 저장하세요. -클릭하여 레지스트리를 가져오고 엽니다. QQ에 미치는 영향을 확인합니다. 이 코드의 기능은 QQ를 실행하기 위해 두 번 클릭할 때마다 QQ를 실행할 수 없다는 메시지가 나타나는 상자입니다. 이유는 QQ가 리디렉션되었기 때문입니다. 실행하려면 123.exe를 설치 디렉터리로 변경하세요. ★ CTRL ALT DEL 키를 누를 때마다 작업 관리자가 팝업되도록 하시겠습니까? 이 키를 누르면 명령이 표시됩니까? 다음은 재생 방법을 알려줍니다. Windows 레지스트리 편집기 버전 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe] "Debugger"= "C:\\WINDOWS\\pchealth\ \helpctr\\binaries\\msconfig.exe" 위 코드를 task_cmd.reg로 저장하고 두 번 클릭하여 레지스트리로 가져오면 효과를 볼 수 있습니다. 놀랍지 않나요? 아직 바이러스가 사라지지 않습니까? 바이러스 프로그램을 리디렉션하면 바이러스가 실행되지 않습니다. Windows 레지스트리 편집기 버전 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sppoolsv.exe] "Debugger"="123.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion \Image File Execution Options\ logo_1.exe] "Debugger"="123.exe" 위 코드는 Golden Pig Annunciation 바이러스와 Weijin 바이러스를 예로 들었기 때문에 이러한 바이러스가 시스템 시작 항목에 있더라도 리디렉션 기능을 사용하더라도 시스템은 여전히 바이러스 파일을 찾을 수 없다는 메시지를 표시합니다(여기서는 logo_1.exe 및 sppoolsv.exe입니다).
정말 즐겁지 않나요? 오늘날 바이러스가 존재할 것이라고는 전혀 생각하지 못했습니다! 물론 시작하려는 프로그램으로 바이러스 프로그램을 리디렉션할 수도 있습니다. 부팅 후 QQ가 자동으로 시작되도록 하려면 위의 123.exe를 QQ의 설치 경로로 변경하면 됩니다. 바이러스 시스템이 시작될 때 시작되어야 합니다. 이미지 하이재킹 적용에 대해 많이 이야기되어 왔습니다. 이미지 하이재킹을 방지하는 방법을 소개하겠습니다! 이미지 하이재킹 방지는 주로 다음과 같은 방법을 통해 이루어집니다. ★권한 제한 방법 사용자가 레지스트리 키에 접근할 수 있는 권한이 없으면 이러한 사항을 수정할 수 없습니다. 레지스트리 편집기를 열고 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 항목을 선택한 다음 마우스 오른쪽 버튼을 클릭하고 Permissions-gt; 관리자 및 시스템 사용자의 권한을 낮춥니다. 여기에서 쓰기 작업을 취소하세요). ★빠른 해결 방법: 레지스트리 편집기를 열고 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 항목을 입력한 후 Image File Execution Options 항목을 직접 삭제하여 문제를 해결합니다.