镜像劫持是什么意思？应该如何防范？

作者/来源：新睿云小编发布时间：2020-01-10

“镜像劫持”，又叫“映像劫持”，也被称为“IFEO”（Image File Execution Options），在Windows NT架构的系统里，IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。当一个可执行程序位于IFEO的控制中时，它的内存分配则根据该程序的参数来设定，而Windows NT架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据，最终得以设定一个程序的堆管理机制和一些辅助机制等。大概微软考虑到加入路径控制会造成判断麻烦与操作不灵活的后果，也容易导致注册表冗余，于是IFEO使用忽略路径的方式来匹配它所要控制的程序文件名。

简单来说，当我想运行A.exe，结果运行的却是B.exe，也就是说在这种情况下A程序被B程序给劫持了，而映像劫持病毒就是通过修改某些注册表常用项的键值，达到在用户无意识的情况下想运行常用程序却让木马等恶意程序在后台运行的目的。

一、简单镜像劫持实现

简单的映像劫持非常简易，只需要通过简单地修改一下注册表。

注意：请谨慎操作注册表，由于设置不当导致的系统不稳定或工作异常，笔者概不负责。

现在网络中的病毒越来越猖獗，新的技术和方法也是层出不穷。近来有关镜像劫持的方法用得较多，如果中了镜像劫持，通常都很麻烦，很多时候甚至要重装系统。为什么会这么麻烦呢？其实它是利用注册表中的重定向功能实现的。类似于文件关联的作用。以前很多网络病毒都是在注册表中重定向.bat，.exet和.com文件到病毒的执行文件，用户在做了初步的清理后，一打开此类型的文件，被清理过后的病毒又“忽如一夜春风来”占满了整个电脑。下面我们以实际的例子来看看镜像劫持是怎么实现的。

正常情况下系统的输入法是可以进行调整的，也会在系统的状态栏中显示，而且高级文字服务也是可以关闭的。如下图示：

系统桌面

简单镜像劫持

以本机的电脑的输入法为例子，在输入法图标驻留在任务栏的情况，通过镜像劫持，可以让用户无法关闭高级文字服务，导致在任务栏上不显示输入法，而只能通过快捷键的方式来切换输入法。方法如下：

在注册表的选项HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/Current Version/Image File Execution Options，新建项名为ctfmon.exe，在该项中新建字符串值，名为debugger，值为ntsd -d。

修改注册表

填写路径

重启后，你会发现任务栏上的输入法图标没了，在控制面板中也无法关闭高级文字服务了（在设定的时候会显示关闭，但是点应用后重新打开时会恢复无法关闭的状态）。这就是一个简单的镜像劫持。

回到桌面

镜像劫持实现

其中，HKEY_LOCAL_MACHINE/SOFTWARE/Microsof/Windows NT/Current Version/Image File Execution Options下的子项名称取的是应用程序的进程名，如ctfmon.exe就是输入法的进程名。再比如防病毒软件卡巴斯基的进程名是avp.exe。如果将所有杀毒软件的进程名做一个vbs导入注册表，估计杀毒就只能通过光盘启动或是从盘的方式了。

二、如何解决并预防IFEO？

1、限制法

它要修改Image File Execution Options，所先要有权限，才可读，于是，一条思路就成了。

打开注册表编辑器，定位到[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/ImageFileExecutionOptions/，选中该项，右键→权限→高级，取消administrator和system用户的写权限即可。

2、快刀斩乱麻法

打开注册表编辑器，定位到［HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/，把“ImageFileExecutionOptions”项删除即可。

以上文章便是关于映像劫持和IFEO预防方法，遭遇映像劫持重装计算机是下下之策，学会把控全局，了解独立运行的计算机，找到问题处理TA、解决TA。

上一篇 : 新睿云服务器撸出试用云服务器

下一篇 : 镜像浏览器是什么？