病毒木马(编辑修改稿)

病毒木马(编辑修改稿)内容摘要：

rer\ nohome ” ，即用户原来要执行的程序文件名 被替换为，而原来的整串命令行加上 自身，都被作为新的命令行参数发送到 去执行了，所以用户最终看到的是记事本的界面，并可能出现两种情况，一是记事本把整个 都作为文本读了出来，二是记事本弹出错误信息报告 “ 文件名不正确 ” ，这取决于 原来是作为光杆司令状态请求执行（无附带运行命令行参数）的还是带命令行参数执行的。 Debugger 参数存在的本意是为了让程序员能够通过双击程序文件直接进入调试器里调试自己的程序，曾经调试 过程序的朋友也许会有一个疑问，既然程序启动时都要经过 IFEO 这一步，那么在调试器里点击启动刚被 Debugger 参数送进来的程序时岂不是又会因为这个法则的存在而导致再次产生一个调试器进程。 微软并不是傻子，他们理所当然的考虑到了这一点，因此一个程序启动时是否会调用到 IFEO 规则取决于它是否 “ 从命令行调用 ” 的，那么“ 从命令行调用 ” 该怎么理解呢。 例如我们在命令提示符里执行 ，这就是一个典型的 “ 从命令行调用 ”的执行请求，而我们在点击桌面上、普通应用程序菜单里的 时 ， 系 统 都 会 将 其 视 为 由 外 壳 程 序 传递过来的执行请求，这样一来，它也属于“ 从命令行调用 ” 的范围而触发 IFEO 规则了。 为了与用户操作区分开来，系统自身加载的程序、调试器里启动的程序，它们就不属于 “ 从命令行调用 ” 的范围，从而绕开了 IFEO，避免了这个加载过程无休止的循环下去。 从编程角度来说明 “ 命令行调用 ” ，那就是取决于启动程序时 CreateProcess是使用 lpCommandLine（命令行）还是 lpApplicationName（程序文件名）来执行，默认情况下大部分程序员编写的调用 习惯是lpCommandLine—— 命令行调用 BOOL CreateProcess ( LPCTSTR lpApplicationName, LPTSTR lpCommandLine, LPSECURITY_ATTRIBUTES lpProcessAttributes。 LPSECURITY_ATTRIBUTES lpThreadAttributes, BOOL bInheritHandles, DWORD dwCreationFlags, LPVOID lpEnvironment, LPCTSTR lpCurrentDirectory, LPSTARTUPINFO lpStartupInfo, LPPROCESS_INFORMATION lpProcessInformation )。 由于 Debugger 参数的这种特殊作用，它又被称为 “ 重定向 ” （ Redirection），而利用它进行的攻击，又被称为 “ 重定向劫持 ” （ Redirection Hijack），它和“ 映像劫持 ” （ Image Hijack，或 IFEO Hijack）只是称呼不同，实际上都是一样的技术手段。 讲解完 Debugger 参数的作用，现在我们来看看 “ 映像劫持 ” 到底是怎么一回事，遭遇流行 “ 映像劫持 ”病毒的系统表现为常见的杀毒软件、防火墙、安全检测工具等均提示 “ 找不到文件 ” 或执行了没有反应，于是大部分用户只能去重装系统了，但是有经验或者歪打正着的用户将这个程序改了个名字，就发现它又能正常运行了，这是为什么。 答案就是 IFEO 被人为设置了针对这些流行工具的可执行文件名的列表了，而且 Debugger 参数指向不存在的文件甚至病毒本身。 以超级巡警的主要执行文件 为例，首先，有个文件名为 的恶意程序向 IFEO 列表里写入 项，并设置其 Debugger 指向 ，于是系统就会认为 是 的调试器，这样每次用户点击执行 时，系统执行的实际上是作为调试器身份的，至于本该被执行的 ，此刻只能被当作 的执行参数来传递而已，而由于 不是调试器性质的程序，甚至恶意程序作者都没有编写执行参数的处理代码，所以被启动的永远只有 自己一个，用户每次点击那些 “ 打不开 ” 的安全工具，实际 上就等于又执行了一次恶意程序本体。 这个招数被广大使用 “ 映像劫持 ” 技术的恶意软件所青睐，随着 OSO 这款超级 U 盘病毒与 AV 终结者（随机数病毒、 8 位字母病毒）这两个灭杀了大部分流行安全工具和杀毒软件的恶意程序肆虐网络以后，一时之间全国上下人心惶惶，其实它们最大改进的技术核心就是利用IFEO 把自己设置为各种流行安全工具的调试器罢了，破解之道尤其简单，只需要将安全工具的执行文件随便改个名字，而这个安全工具又不在乎互斥量的存在，那么它就能正常运行了，除非你运气太好又改到另一个也处于黑名单内的文件名去了，例如把 改为。