映像劫持是怎么回事啊

（其实应该称为“Image Hijack”。）它是位于注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution OptionsIFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。由于这个项主要是用来调试程序用的，对一般用户意义不大。默认是只有管理员和local system有权读写修改。当一个可执行程序位于IFEO的控制中时，它的内存分配则根据该程序的参数来设定，而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据，最终得以设定一个程序的堆管理机制和一些辅助机制等。出于简化原因，IFEO使用忽略路径的方式来匹配它所要控制的程序文件名，所以程序无论放在哪个路径，只要名字没有变化，它就运行出问题。请记录好Debugger指向的程序位置，也不要试图再执行那些安全工具，首先应该尝试删除受影响的 IFEO项，然后刷新注册表看看数据是否马上恢复了，如果马上恢复，则说明后台里有程序正在实时判断和写入IFEO，这时候必须拿出 Sysinternals出品的注册表监控工具Regmon或类似工具，设置Filter为你正在尝试删除的安全工具的IFEO项，很快就能发现具体是什么进程在 *** 作注册表了，然后将IceSword改名（如果已经被劫持），在它的进程列表里将相应进程终止掉。如果这个进程立即又重生了呢？再终止一次，然后迅速点击IceSword的“监视进线程创建”，你就能发现上一次捣乱的程序是什么名字了，将它记录下来，再开启一个Sysinternals的工具 “Process Explorer”，在对应进程上点击右键选择“Suspend”，这个进程就会被挂起，用IceSword和它配合把相关恶意进程都挂起后，再使用 IceSword的文件功能里的“强制删除”，在这个程序还没来得及反应时就把它们的本体给歼灭，这时候再返回Process Explorer里按照大小排列从最大的一个守护进程开始Kill Process即可，由于没有了映像文件存在，它们意欲重新建立木马帝国的贼心也就无法实现了。如果查杀过程更为复杂的话，请自行参阅相关文章，这里就不再赘述了。如此实现“免疫”？不被推荐的做法由于AV终结者搞得人心惶惶，一时间网络上开始流传“免疫映像劫持”甚至“利用映像劫持免疫大部分常见病毒”的做法，对于这些方法的最初提供者，我相信他们的出发点是好的，只是，从严格的角度来看，这却是不可取的。首先是“免疫映像劫持”，具体的方法是，例如免疫威金病毒“logo_1exe”，则在IFEO列表里建立一个“logo_1exe”项，然后设定它的 Debugger参数为它自身即“logo_1exe”，根据原作者解释，其原理是递归死循环：“当Debugger的值等于本身时，就是调用自身来调试自己，结果自己不是调试器，又来一次，递归了，就进入了死循环，也就不能启动了。”这种方法虽然有效（最后的现象是“找不到文件”），但是它会导致系统在短时间内陷入一个CreateProcess循环和命令参数的字符串累加状态，会消耗一定的资源，最终没能执行程序是因为系统使用 CreateProcess启动的实例会被它自身代替执行，从而造成死循环，而且命令行的长度是有系统限制的，到一定范围就会出错了，尤其在可以接受命令行参数的程序里，你甚至会发现硬盘狂转了好一会儿才d出错误提示，这段时间里就是在死循环传递状态了，最终由于超过系统限制的命令行长度而导致系统传递执行请求时出错，才得以跳出这个死循环，换一个角度来看，如果系统没有限制命令行长度，那么这个 *** 作很可能直接导致系统所有资源都消耗在这个自己反复执行自己的“调试器”上了。至于“利用映像劫持免疫大部分常见病毒”的做法，发起号召者模仿“映像劫持”后门屏蔽大部分常用安全工具的原理，搜集了许多流行危害程序的可执行文件名加以前面提到的递归死循环方法达到目的，如果不计较前面提到的递归死循环缺点，似乎这个方法是可行的。然而这真的可行吗？世界上存在许多与某些系统文件同名同姓的社交型后门，如位置不同而名字相同的命令提示符输入法控制程序“conimeexe”（被 OSO超级U盘病毒借用名字）、重要程序Rundll32exe被某些木马替换为自身、甚至IE浏览器主体iexploreexe也存在被木马伪造文件名的案例，如此一来不知道多少正常的系统程序可能会被这份“免疫列表”给误杀了，我仅仅粗略浏览了一下就发现msiexecexe居然存在“免疫列表”中，要知道这可是微软安装程序的主执行体啊……同时，网上还流传着一个让初级用户看不懂的做法，那就是关闭IFEO列表的写入权限，具体 *** 作如下：执行32位注册表编辑器regedt32exe定位到HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options确保焦点在Image File Execution Options上，选择“安全”—“权限”将出现的用户列表内所有带有“写入”的权限去掉，确定退出这样一来，任何对IFEO的写入 *** 作都失效了，也就起了免疫效果。这个方法对一般用户而言还是不错的，除非遭遇到一些特殊的需要往里面写入堆管理参数的程序，否则我建议一般用户还是禁止此项，从而杜绝一切IFEO类病毒来袭。而争议正在于此，因为从长计议来看，用户很可能会遇到需要往IFEO列表里写入数据的正常程序，彻底禁止了IFEO的写入可能会导致不可预见的后果，既然如此，我们就采取折中的方法好了，使用HIPS（主机入侵防御系统）的注册表防御体系RD（Registry Defend），为我们提供一种两者都能兼顾的IFEO管理方法！以SSM为例，首先确保RD体系模块已经开启，然后添加新监视规则，“键路径” 指向HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options，“ *** 作”为“当更改时报警”，记得“包含值”选上，最后把“子键深度最大值”设为“3”，点击确定生成新的监视规则，然后在“规则”主界面里确保“存取”、“删除”、“写入”的 *** 作均为疑问状态，这是表示在相关键值被进行写入 *** 作时d出消息询问用户，最后点击“应用设定”让规则生效，从此只需开着SSM，映像劫持就离你远去了。

QQ历史记录，除非你设置，否则是保存在本地计算机上的，也就是你的保存在了别人的电脑上，你在自己的电脑是是看不到的。。但是我记得现在QQ有聊天记录漫游了吧，你可以保存在漫游里，具体我也不知道，现在不用WINDOWS了

所谓宽带肉鸡，就是拥有管理权限的远程电脑。也就是受别人控制的远程电脑。肉鸡可以是各种系统,如win,linux,unix等；更可以是一家公司\企业\学校甚至是政府军队的服务器，一般所说的肉鸡是一台开了3389端口的Win2K系统的服务器,所以3389端口没必要开时关上最好。

电脑肉鸡的用途:谁也不希望自己的电脑被人控制，但是很多人的电脑是几乎不设防的，很容易被远程攻击者完全控制。你的电脑就因此成为别人砧板上的肉，别人想怎么吃就怎么吃，肉鸡（机）一名由此而来。为什么攻击者热衷于获得他人电脑的控制权呢？控制别人的电脑，有什么用？他也搬不走，不还在我家里放着么。很多对电脑安全一无所知的人这样看。本文试图用简单的描述，解释“肉鸡”的“商业价值”，了解这些，你就知道，一个陌生人的电脑对攻击者有多少诱惑。1盗窃“肉鸡”电脑的虚拟财产虚拟财产有：网络游戏ID帐号装备、QQ号里的Q币、联众的虚拟荣誉值等等。虚拟财产，是可以兑现为真实货币的，多少不限，积累起来就是财富。2盗窃“肉鸡”电脑里的真实财产真实财产包括：网上银行，大众版可以进行小额支付，一旦你的网银帐号被盗，最多见的就是要为别人的消费买单了。此外，还有网上炒股，证券大盗之类的木马不少，攻击者可以轻易获得网上炒股的帐号，和银行交易不同的是，攻击者不能利用偷来的炒股帐号直接获益，这是由股票交易的特殊性决定的。不然，网上炒股一定会成为股民的噩梦。相当多的普通电脑用户不敢使用网上银行，原因就是不了解该怎样保护网上银行的帐号安全。事实上，网上银行的安全性比网上炒股强很多。正确使用网上银行，安全性和便利性都是有保障的。3盗窃他人的隐私数据陈冠希事件，相信大家都知道，如果普通人的隐密照片、文档被发布在互联网上，后果将会十分严重。利用偷来的受害人隐私信息进行诈骗、勒索的案例不少。还有攻击者热衷于远程控制别人的摄像头，满足偷窥他人隐私的邪恶目的。如果偷到受害人电脑上的商业信息，比如财务报表、人事档案，攻击者都可以谋取非法利益。4可利用受害人的人脉关系获取非法利益你或许认为你的QQ号无足轻重，也没QQ秀，也没Q币。实际上并非如此，你的QQ好友，你的Email联系人，手机联系人，都是攻击者的目标，攻击者可以伪装成你的身份进行各种不法活动，每个人的人脉关系都是有商业价值的。最常见的例子就是12590利用偷来的QQ号群发垃圾消息骗钱，还有MSN病毒，自动给你的联系人发消息骗取非法利益。5在肉鸡电脑上种植流氓软件，自动点击广告获利这种情况下，会影响你的上网体验，相信所有人都很讨厌电脑自动d出的广告。攻击者在控制大量肉鸡之后，可以通过强行d出广告，从广告主那里收获广告费，流氓软件泛滥的原因之一，就是很多企业购买流氓软件开发者的广告。还有的攻击者，通过肉鸡电脑在后台偷偷点击广告获利，当然，受损的就是肉鸡电脑了。6以肉鸡电脑为跳板（代理服务器）对其它电脑发起攻击黑客的任何攻击行为都可能留下痕迹，为了更好的隐藏自己，必然要经过多次代理的跳转，肉鸡电脑充当了中介和替罪羊。攻击者为传播更多的木马，也许会把你的电脑当做木马下载站。网速快，机器性能好的电脑被用作代理服务器的可能性更大。7“肉鸡”电脑是发起DDoS攻击的马前卒DDoS，你可以理解为网络黑帮或网络战争，战争的发起者是可以获取收益的，有人会收购这些网络打手。这些网络黑帮成员，也可以直接对目标主机进行攻击，然后敲诈勒索。“肉鸡”电脑，就是这些网络黑帮手里的一个棋子，DDoS攻击行为已经是网络毒瘤。总之，“肉鸡”电脑是攻击者致富的源泉，在攻击者的圈子里，”肉鸡“电脑就象白菜一样被卖来卖去。在黑色产业链的高端，这些庞大”肉鸡“电脑群的控制者构筑了一个同样庞大又黑暗的木马帝国。电脑肉鸡的价格:在“圈里”，被控制的电脑被称为“肉鸡”，它最大的特点是可以被任意窥视和使用，甚至被买卖控制权。在国内，“肉鸡”的价格在1毛到1块不等。金山毒霸事业部副总经理王欣曾根据下载网站“灰鸽子”工作室的浏览量做过复杂推算，“每天可能有超过6000人使用这一程序，保守估计他们一人控制10台电脑，一年间，曾被控制过的电脑超过2000万”。而据资深黑客介绍，根据“肉鸡”的不同价格，每笔交易的价格在100元至上千元不等，资深商贩一个月内可以抓到10万台电脑，并以此换取万元收入。

前几天折腾了半天

把电脑和谐了

（TMD整个硬盘不小心被我格了）

昨天刚做好系统

突然电脑慢了

看了一下进程发现中招了

总结一下特征：

C:\Documents

and

Settings\Administrator\Local

Settings目录始终隐藏

无法查看系统隐藏目录~

病毒会将病毒文件释放到C:\Documents

and

Settings\Administrator\Local

Settings\Temp里面

规律是

随机生成纯数字的无格式文件

并且所有存在EXE文件的目录都会出现一个隐藏的USP10DLL

所有EXE文件被感染

也就是运行任何一个应用程序都会启动这个dll

本来我的方法是修改exe为BAT

但是还是失败了

所以这个方法不可取（搞得我重装了3次

加上前面我自己电脑出的问题

一天重装了7次系统

MD

一辈子也就中过这一个病毒了）

直接说解决方法：

1重装系统

可能有些人说是废话，但这个病毒是刚出来的

网上连专杀工具都没有出来（360的什么顽固查杀工具完全是在给自己做广告！趁火打劫！！）

并且病毒会感染所有文件

重装是最好的选择

2重装好后

不要打开除系统盘外的所有EXE文件，下载最新的杀毒先保护上~然后全盘搜索usp10dll就完事了

不过最后不要用系统自带的搜索

这个搜索工具不怎么全面

清理完了就行了

转载请注明出自木马帝国论坛

>

卡巴斯基使用指南

--------------------------------------------------------------------------------

作者：不详 来源于：木马帝国 发布时间：2005-4-2 15:06:32

卡巴斯基以其良好的口碑获得很多朋友们的认可，姑且不论其杀毒引擎已经是业界公认的最高水准，每天至少两次更新病毒库的做法也深得人心，而且相对诺顿而言比较节省机器资源（唯一的遗憾是查杀病毒慢）。

目前最新版本的kaspersky Anti-virus Personal版本的标准病毒库为9万多，而实际上该软件的病毒库已经突破10万大关，截至今天此时为止，病毒库数已经达到101664个。

现在教一些不知道的朋友如何让你的病毒库突破10万！！！

打开kaspersky-》设置-》配置更新器-》更新类型-》将自动升级接入的“标准病毒库”更改为“扩展病毒库”-》更改之后，点左上角的防护-》立即更新=》更新后看支持信息右边的产品信息，是不是比以前更多了？呵呵。

这些是收集的AVP新手的常见问题及解决办法，希望能给大家一点帮助，里面若有不对的地方，请指正。

1、怎样更换新的AVP KEY？

放在这里：C:\Program Files\Common Files\KAV Shared Files

2、AVP的默认的那个FTP更新地址太慢了，大家有快一点的吗？

更改更新器设置：只使用>

以上就是关于映像劫持是怎么回事啊全部的内容，包括:映像劫持是怎么回事啊、QQ退出了，QQ聊天记录在电脑是否还能看到、宽带鸡肉什么意思等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！