映像劫持-杀毒之类程序不能运行,网页被屏蔽---处理
映像劫持究竟有多么可怕,让我们先看看下面的例子:
?无法运行杀毒软件过防火墙
?打开网页也有“病毒”或“杀毒”等关键字的,网页会立刻被自动关闭。
?无法进入安全模式,出现蓝屏或是重启的现象。
?无法正常显示隐藏文件,即使是勾选了“显示所有文件”,应用后又会被自动改回去。
„„
这些症状,相信很多朋友都遇到过,当时一定时束手无策,他们就是现而今大行其道的“映
像劫持”病毒作恶的典型症状。别说我们没有办法,很多杀软都栽在它的手下。杀毒软件根
本无法运行,杀毒软件的安装程序也无法运行,就连上网搜索关于“病毒”的网页都会被病
毒强行关闭,大部分的人会选择重新安装系统,克刚装好系统后却发现,病毒又回来了。下
面我们就将映像劫持病毒彻底消灭。
安全模式的主权必须收回
安全模式默认夹在最少的服务,且不加载自启动项内的项目。这就是病毒为什么破坏进入安
全模式所对应的注册表键值的原因。因为在安全模式下病毒文件并没有被加载,除了驱动保
护的病毒,我们可以对病毒源文件执行任意的操作,此时的病毒就仿佛变成了一只没牙的老
虎。那么我们就先恢复安全模式的注册表项吧。在网上时能搜到关于修复安全模式的注册表
文件的,也可以在“work.newhua.com/cfan/200714/fixsafemode.rar”下载。将该REG文件
导入后,已经可以正常进入安全模式了。
撤销影响劫持生存的根本
接下来我们进入安全模式后又该怎样呢?首先,要警告大家一点,进入安全模式后,不要双
击打开任何一个磁盘,还是要进入注册表,在“开始——运行”里输入“regedit”回车,打开注册表编辑器,然后
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows\NT\CurrentVersion\Image File
Execution Options
这一项便是映像劫持技术应用的地方了。举个例子,如果在这个项下面有一个子键,为
kav.exe,你可以看到该项子项的右边,有一个值为debugger的,双击它里面的内容,既是病毒的其中一个子文件,当运行kav.exe时,实际上运行的并不是kav.exe,它被debugger项内指定的病毒文件给劫持了。这就是所谓的“映像劫持”。
接下来要做的便是手工活了,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options下面除“Your Image File Name Here without a
path"之外的所有子键,删到你手酸吧?你可以看一看下面的子项名,其实就是被劫持的应用
程序名,其实就是被劫持的应用程序名,像Kaspersky、金山、瑞星、江民、360安全卫士等程序都位列其中,甚至连杀毒软件的安装程序都在其列,现在你应该不难理解为什么不仅杀
毒软件无法运行。就算你想重新安装杀毒软件也不行了吧?
好,至此,你的杀毒软件和其他被劫持的程序已经可以正常运行了。但病毒并未被清除,他
随时可能将注册表改回去。所以,我们往下做。
病毒拉帮结伙,不能漏掉一个
刚说到的映像劫持病毒肯定不止一个文件,一般都会用到进程保护,当一个进程被结束的时
候,另一个程序会自动调用恢复该进程。我们获得上面所说到的debugger内的内容后,就知道了其中的一个病毒源文件的绝对地址。当然,第一步实现将它删除,接下来就该查看自启
动项了。
在”开始——运行“里输入”msconfig“回车。在启动那里查找一下。取消病毒的启动项,
并记住他的绝对路径,也把它删除。
此步骤靠经验比较多,除非你认识的程序,如ctfmon.exe等。除此之外,你也可以取消除杀
毒软件之外的一切正启动项目而不删除该文件,等安装好杀毒软件并把病毒库升级到最新后,
再让杀毒软件来查杀。
彻底清除,绝不留情
千万别以为,现在就已经大功告成了,在每个磁盘根目录下,都会有一个名为autorun.inf的配置文件,并且还有病毒的源文件在。如果我们以为大功告成,重启以后再打开其他的磁
盘,你会发现,病毒又回来了。所以,除了做上面的工作,还得清除磁盘根目录下面的病毒
文件。在这里我们建议大家使用命令提示符来处理:在开始——运行里输入cmd回车调出命令提示符。
比如说:我的d:\下面有着这两个文件,autorun.inf和xxx.exe。autorun.inf会自动安装,也就会自动运行根目录下的xxx.exe,那么病毒就再次感染了你的电脑,之前所做的一切都
白费了,所以这一步骤时一定要的!当然,这两个文件都是有隐蔽属性的。在命令提示符下
使用dir命令再加个/a参数可以看到所有的文件。如果你进入命令提示符直接使用del autorun.inf的话,会提示找不到文件。所以我们应该先去掉这两个文件的隐蔽属性,我们
使用外部命令:attrib-s-h-r d:\autorun.inf。这样我们就去掉了autorun.inf的所有属性,便可以使用del d:\autorun.inf来删除该文件了。删除xxx.exe也是一样。只需要把上面命令中的autorun.inf改成xxx.exe就可以了。
至此,该病毒就已经被清除了。我们接下来要做的就是重新启动,进入正常模式。安装杀毒
软件,把病毒库升级到最新,对全盘进行一次彻底的扫描。把病毒彻底赶出你的电脑!
构建防御映像劫持的堡垒
上面讲了如何杀掉运用“映像劫持”技术的病毒,但是,只要有机会,他们还会死灰复燃的,
我们要做好防备,让他没有可乘之机:
1、切断病毒的传播途径,在开着杀毒软件的情况下,是可以拦截大部分病毒的。感染病毒的
主要途径有两个,第一是上网下载的程序,第二就是U盘。大家在上网下载程序的时候,千万别忘了先对下载来的文件进行病毒扫描。关于U盘,最好的办法就是不要双击打开。最好使用资源管理器,在左边的目录树打开。
2、通过权限设置,让病毒无法修改你的注册表,拿映像劫持累病毒来说,注册表内的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options项是病毒想要写入的地方。那么我们就从权限入手,右键该项,选择权
限,在每个用户下面的权限设置里,把“完全控制”的项取消,只给“读取”的权限。这样
可以有效的防止病毒利用映像劫持技术。举一反三,如果你觉得自启动项目已经够了的话,
那么你也可以对自动自动项目对应的注册表项权限进行限制比
如:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
本文档为【映像劫持-杀毒之类程序不能运行,网页被屏蔽---处理】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑,
图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
该文档来自用户分享,如有侵权行为请发邮件ishare@vip.sina.com联系网站客服,我们会及时删除。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
浙公网安备 33021202002483