“映像劫持”,也被称为“IFEO”(Image File Execution Options),在WindowsNT架构的系统里,IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定,而Windows NT架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据,最终得以设定一个程序的堆管理机制和一些辅助机制等。出于简化原因,IFEO使用忽略路径的方式来匹配它所要控制的程序文件名,所以程序无论放在哪个路径,只要名字没有变化,它就运行出问题。路径: "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options".
说人话可以?
比如我是病毒virus.exe, 你是360safemon.exe, 我用了映像劫持, 然后我就化身成了洁白美丽的360安全卫士怒艹你的电脑, 而你却不知道我的真名是virus.exe.
其实ifeo还可以用来做好事.
我以前玩英雄联盟, 后台总是有一堆程序强暴我的LOL客户端, 比如crossproxy.exe teniodl.exe tqmcenter.exe
再比如某管家在后台疯狂地bugreport
YY语音在后台偷偷下载YY浏览器.
可是我要玩英雄联盟, 我还要用电脑管家, 我还要用YY挂机.
修改版的软件也不尽人意. 这怎么办, ifeo登场.
ifeo是注册表里的一个项, 我tm哪有那么多时间一个个建项加debugger键?
ihtool登场~ 下面是官网的介绍:
IHTool,可以修改您系统内被映像劫持的文件。
它能够删除因病毒引起的安全软件无法打开等问题,还能屏蔽掉您不想运行的程序。
当然,现在您也可以用它吓唬那些运行您不想让他运行的程序的人。
可能需要管理员权限与安全软件确认。可将文件直接指向系统错误框可自动增加注册表中相关键值的权限
软件界面截图:
下面是我劫持的程序:
这款软件支持回收站功能,删除的劫持项还可以恢复. 还可以设置指向对话框, 但是如果有些进程会经常运行, 或者运行下又退出了, 总不能每次都弹窗吧. 这时候可以用到bat2exe工具(链接在文末).
bat就一行, echo 123, 然后把它做成exe, 可视性改为隐藏, 这样就可以且静默运行了, 也就可以达到屏蔽这些流氓进程的目的了.
如果你懒得自己做, 我提供上图中的ifeo.exe, 不过bat转exe后会报毒, 加信任就行了.
0 条评论:
发表评论