電腦中毒現象

  你的電腦是不是卡的要死,或者動不了呢,那是因為電腦中毒了,下面由小編給你做出詳細的介紹!希望對你有幫助!

  :

  1、所謂的映像劫持IFEO就是Image File Execution Options

  ***其實應該稱為“Image Hijack”。***

  它是位於登錄檔的

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

  IFEO的本意是為一些在預設系統環境中執行時可能引發錯誤的程式執行體提供特殊的環境設定。由於這個項主要是用來除錯程式用的,對一般使用者意義不大。預設是隻有管理員和local system有權讀寫修改。

  當一個可執行程式位於IFEO的控制中時,它的記憶體分配則根據該程式的引數來設定,而WindowsN T架構的系統能通過這個登錄檔項使用與可執行程式檔名匹配的專案作為程式載入時的控制依據,最終得以設定一個程式的堆管理機制和一些輔助機制等。出於簡化原因,IFEO使用忽略路徑的方式來匹配它所要控制的程式檔名,所以程式無論放在哪個路徑,只要名字沒有變化,它就執行出問題。

  先看看常規病毒等怎麼修改登錄檔來達到隨機啟動吧。

  病毒、蠕蟲和,木馬等仍然使用眾所皆知並且過度使用的登錄檔鍵值,如下:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

  等等。

  2.另外一種劫持的方法是:在目標程式目錄下建立與系統DLL相同的匯出函式,執行內容為

  f=LoadLibrary***byref "c:\windows\system32\"+dllname***

  f=GetProcAddress***byval f,byref procname***

  !jmp f

  '***PowerBasic***

  ,在DLL初始化的時候可以幹一些壞事,以此來達到改變原應用程式的目的


此文的人還: