遭遇IFEO hijack(映像劫持)

昨天遇到个电脑很多exe都打不开，杀毒软件和正常的很多exe都打不开

然后每个盘里都有一个数字加英文的隐藏exe和一个autorun.inf，即使删除也会自动出来，右键磁盘也是正常的。也不能显示所有文件。

然后发现在c:\program files\common files\microsoft shared\MSinfo下看到几个这种相同的数字加英文的exe，昨天是8******.exe，还有dll，也是不能强制删除。而且一些exe都打开一秒钟也不到就关闭。

最后regedit能打开，查找这个文件，发现HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下找到很多，发现有些是正常的dll，有很多都是exe，包括这些不能用的，选中后发现右边有的是正常的内存数值，而大多数exe都是多了个debugger，然后内容就是指向那个在msinfo下的这个文件的。然后对比自己的注册表，只有较少。发现关键不能运行的原因在这里，于是删除所有有debugger对应那个文件的项，删除后一般就能打开原来不能打开的exe了。

然后那个8*****.dll始终删不掉，想了办法，结果重命名把后缀名去掉了，结果病毒不运行轻易被删除了，然后再到每个分区删除剩余的病毒文件。恢复右键，再装江民删除了感染的一些exe，有的文件图标也从模糊恢复了。

如果先把病毒大佬删除了，打开一些本来打不开的exe就会出现找不到文件情况，同样，在注册表里删除那个项便可。

网上查了查，注册表这个项本来没注意过，这次却发现是这个用途：

zz~

注册表的这个项主要是用来调试程序用的，对一般用户意义不大。默认是只有管理员和local system有权读写，一般user只读。Windows NT系统在执行一个从命令行调用的可执行文件运行请求时，首先会检查这是否是一个可执行文件，如果是，又是什么格式的，然后就会检查是否存在：

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ImageName]

如果存在，首先会试图读取这个键值：

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ImageName]
"Debugger"="debug_prog"

如果存在，就执行“debug_prog ImageName”。

在我们这台机器中，提示系统找不到文件，这里所谓找不到的其实是那个“adamrf.exe”，那是因为那个adamrf.exe已被杀毒软件删除的缘故。将包含这个键值的所有项目删除，系统恢复正常。

adamrf.exe是另外的情况非正常程序的例子。

******************

原来这是所谓的映像劫持

yyasong说

IFEO hijack(映象劫持)这种方法可以使部分程序不可运行

用类似的方法可以对付某些知道名字的病毒的运行，同时也有可能被病毒利用用autorun软件可以找到。

其实说起映像劫持，就是当系统执行某一个文件时，被映像劫持的系统会自动跳转到另一个程序去，而如果映像为空，也就是没有设置另一个程序，自然，就出现上面的错误提示了，比如：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Exe

cution Options\svchost.exe项下的"Debugger"="abc.exe"

意思是调用 abc.exe 来调试svchost.exe，关键就是 abc.exe 可能不是调试器，所以它不会启动 svchost.exe

又HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\logo_1.exe项下的"Debugger"="logo_1.exe" ，这样当Debugger的值等于本身时，就是调用自身来调试自己，结果自己不是调试器，又来一次，递归了,就进入了死循环，也就不能启动了，从而很多威金免疫程序就是用了这个道理。

例子

对付威金变种测试通过

注册表：

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Ex
ecution OptionsLogo1_.exe]
"Debugger"="egomoo.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Ex
ecution Options
undl132.exe]
"Debugger"="egomoo.exe"
***************************