vista下IFEO修改

eagle1682 2009-03-05 10:20:40

想用映像劫持禁止某程序运行，在**.exe下建Debugger是提示已存在，可是我却没有看见。。。。。如何解决

...全文

28 回复打赏收藏转发到动态举报

写回复

回复

切换为时间正序

请发表友善的回复…

发表回复

无意中发现的 KIS8的注册表监控还是存在问题，存在被绕过的可能其实方法还是老方法，就是注册表转储当然这还不是真正意义上的Hive操作（直接操作HIVE不当容易造成注册表配置的损坏）但要过KIS也够了虽然卡巴的驱动Hook了相关函数，但看来是白Hook了由于低受限默认允许了“保存注册表项到文件”，所以如果程序被分到低受限，这种控制就形同虚设而且即使禁止了“保存注册表项到文件”，程序也可以事先保存好转储文件再释放，一样可以过卡巴附测试程序共三个测试 Test1 修改卡巴HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的注册表启动项 Test2 Test1的修改版，这次可以过高受限了 Test3 映像劫持使卡巴无法启动其实就是之前的欺骗运行的方法（见http://bbs.kafan.cn/thread-326348-1-1.html），事实上这种欺骗的意义并不在运行程序本身，而是这种欺骗可以绕过卡巴的继承机制，这样危害就大了例如本测试程序就利用了Reg命令修改了IFEO，重启后卡巴无法启动注：这种方法在Vista失效事实上卡巴的注册表监控被绕过意味着什么？——病毒可以利用注册表做任何事以上的测试所做成的更改都是可以恢复的（请自己手动完成），而且不会对系统构成任何损害，可以放心测试当然也不排除只是我个别情况，大家可以试试

原创地址:http://www.cnblogs.com/walkingmu/archive/2008/01/11/1034678.html 有关如何动态请求权限请参考我另外一篇文章（在Vista的UAC下检查程序是否具有Admin权限及应用程序的权限切换）以前写过IFEO映像劫持解除程序。但是因为在VISTA下的关系，需要自己设置使用管理员权限运行。自己玩的时候还不觉得什么，最近

转载自:http://www.cnblogs.com/walkingmu/archive/2008/01/11/1034678.html 以前写过IFEO映像劫持解除程序。但是因为在VISTA下的关系，需要自己设置使用管理员权限运行。自己玩的时候还不觉得什么，最近同学问我要这个程序玩，结果怎么也不成功，就是因为没有设置管理员权限的关系。那么怎么才能让程序在没有用户干预下直接请求...

第二章排错的工具调试器Windbg（下）

什么是映像劫持也许你曾遇到过这种情况：无论你将软件安装在什么地方，在运行的时候总会出现“系统找不到指定的文件”的错误提示，导致软件无法运行。如果你将软件的exe文件改个名称，就可以正常运行了。这种现象就叫做映像劫持。映像劫持是一种影响系统正常运转的手段，很多病毒、木马都会使用这种手段阻止安全软件的运行。映像劫持的原理映像劫持是利用Windows的IFEO（Image...

111,126

社区成员

642,540

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

让您成为最强悍的C#开发者

试试用AI创作助手写篇文章吧

+ 用AI写文章