向磊（湖南汽车工程职业学院，湖南株洲，412001）

Windows映像劫持的分析与防范

向磊
（湖南汽车工程职业学院，湖南株洲，412001）

本文首先介绍了windows映像劫持的原理，对映像劫持进行了分析。同时根据笔者的日常工作经验总结除了一套比较完善的映像劫持防护方法，具有较强的针对性和实际意义。

映像劫持；Debugger；分析与防范

0 引言

一个正常的程序，无论把它放到哪个位置，或者是一个程序重新用安装盘修复过，都会出现无法运行、出错提示为“找不到文件”或者是运行程序A却成了B（可能是病毒）而改名后却可以正常运行的现象。遭遇流行“映像劫持”病毒的系统表现为常见的杀毒软件、防火墙、安全监测工具等均提示“找不到文件”或执行了没有反应，于是大部分用户只能去重装系统了，但是有经验的用户将这个程序改了个名字，发现它又能正常运行了。这就是映像劫持技术。

映像劫持简称IFEO，它的全称是Image File Execution Options，它位于注册表的HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindows NTCurrentVersionImage File Execution Options。他能导致系统和软件不正常运行。

1 映像劫持的基本原理

从实际现象来分析，IEFO并非“映像劫持”，因为里面很多参数并不会导致出现前文描述的情况发生。中间问题正在所在就是一个参数的问题，即 “Debugger”参数，他的中文名称为“调试器”，它是第一个被处理的参数，作用比较特别，系统如果发现某个程序文件在IFEO列表中，它会首先读取Debugger参数，如果参数不为空，系统则会把Debugger参数里指定的程序文件名作为用户试图启动的程序执行请求来处理，而仅仅在系统执行的逻辑里，这就意味着当一个设置了IEFO项、Debugger参数指定为notepad.exe的iexplore.exe被用户以命令参数“-nohome bbs.nettf.net”请求执行时，系统实际上到了IFEO那里就跑去执行notepad.exe，而原来收到的执行请求的文件名和参数则被转化为整个命令行参数“C:program filesinternet exploreriexplore.exe –nohome bbs.nettf.net”来提交给notepad.exe执行，因此最终执行的是notepad.exe C:program filesinternetexploreriexplore.exe –nohome bbs. nettf.net，即用户原来要执行的程序文件名iexplore.exe被替换为notepad.exe，而原来的整串命令行加上iexplore.exe自身，都被作为新的命令行参数发送到notepad.exe去执行，导致用户最终看到的是记事本的界面。由于Debugger参数的这种特殊作用，它又被称为“重定向”（Redirection）,而利用它进行的攻击，又被称为“重定向劫持”（Redirection Hijack），它和“映像劫持”（image Hijack，或IFEO Hijack）只是称呼不同，实际上都是一样的技术手段。

2 映像劫持的实例分析

为展示分析映像劫持的具体过程和效果，我们进行如下操作，实现一个简单的映像劫持攻击过程，并对其进行分析。

（1）在windows开始菜单中打开运行，输入regedit，开展到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT CurrentVersionImage File Execution Options。

（2）选中Image File Execution Options，新建项，将该项（默认在最后面）改为notepad.exe（记事本编辑器）。

（3）选中notepad.exe，单击右键新建“字符串”，改名为“Debugger”。双击打开该键，修改数据数值（其实就是路径），把它改为C:windowssystem32CMD.exe。

在桌面上新建一个文本文件，然后双击新建的文本文件，会发现弹出CMD命令，同理，病毒等也可以利用这样的防范，把杀毒软件、安全工具等名字再进行重定向，指向病毒路径，因此，如果将病毒清理掉后，重定向没有清理的话，由于IFEO的作用，没被损坏的程序一样也运行不了。同理，如果将病毒程序重定向，病毒就不能运行了。

3 映像劫持的防范

（1）限制法

要修改Image File Execution Options，首先要有权限，才能读取到键值，因此打开注册表编辑器定位到[HKEY_LOCAL_因此对技术人员而言，要加强机载无线电设备的抗干扰能力,主要是加强航空通信电台的频率选择性，并针对本地区的实际情况，采取针对性的处理办法，切实保证航空通信导航质量，确保飞行安全。

[1]徐雪飞，李建华，杨迎辉，等.基于排队论的航空通信频率干扰修复问题研究[J].现代防御技术，2016，03:57-65.

[2]丁欢.基于恒模算法的航空通信干扰问题研究[J].自动化与仪器仪表，2016，08:1-2.

[3]郭兴国.航空通讯导航频率干扰问题的研究[J].数字化用户，2013，09:4.

[4]吴晓洁.关于航空通讯导航频率干扰问题的探析[J].无线互联科技，2013，12:32+50.

[5]杨易达，曾繁博，李冬波.航空通讯导航频率干扰问题的分析[J].中国新通信，2017，11:56.

[6]王福留.航空通讯导航频率干扰问题的相关探讨[J].科技创新与应用，2014，17:62.

[7]高坤，杨苗.航空通讯导航频率干扰问题浅谈[J].电子技术与软件工程，2015，18:39.

Analysis and prevention of Windows image hijacking

Xiang Lei
(Hunan automotive engineering Career Academy,Zhuzhou Hunan,412001)

This paper first introduces the principle of Windows image hijacking, and analyzes image hijacking. At the same time, according to the author’s daily work experience, in addition to a set of relatively perfect image hijacking protection method, it has strong pertinence and practical significance.

image hijacking; Debugger; analysis and Prevention