見招拆招 粉碎劫持陰謀

映像劫持 最常用的劫持伎倆

大家也許都遇到過這樣的場景——原本正常的殺軟等安全工具突然無法啟動了，系統(tǒng)出現(xiàn)各種奇怪癥狀。這很有可能說明惡意程序?qū)④涍M行了映像劫持。

映像劫持技術(shù)（IFEO）本意是為一些在默認系統(tǒng)環(huán)境下運行時，又可能發(fā)生錯誤的程序執(zhí)行體提供一個特殊的環(huán)境設定，主要用于調(diào)試程序的目的。當一個可執(zhí)行程序位于IFEO的控制中時，其內(nèi)存分配則根據(jù)其參數(shù)而定，而Windows NT架構(gòu)的系統(tǒng)可以通過相關注冊表項的使用與可執(zhí)行程序文件名匹配的項目作為程序加載時的控制依據(jù)，最終得以設定一個程序的堆管理機制和一些輔助機制等。

出于簡化的目的，IFEO使用忽略路徑的方法來匹配它所要控制的程序文件名，因此無法將程序放置在哪個目錄，只有其名稱沒有變化，其運行就會出現(xiàn)問題。所以，將被劫持的程序更換一個名稱，就可以順利啟動了。

運行“regedit.exe”程序，展開“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options”分支，在其下可以查看被劫持的程序。

也可以自建有益的劫持項目，例如當您不希望運行某個程序（例如“xxx.com”），可以在該主鍵的右鍵菜單上點擊“新建”→“項”，之后將新建的子健改名為“xxx.exe”，選中該子健，在右側(cè)窗口中建立一個字符串類型的名稱為“debugger”的鍵值名，并將其值修改為“C:denyrun.exe”。這樣，當運行該“XXX.exe”程序時，會觸發(fā)一個根本不存在的程序，自然無法運行了。

除了在上述路徑中刪除被劫持的程序項目外，也可以運行“regedit32.exe”程序，在其中打開上述路徑，在其右鍵菜單上點擊“權(quán)限”項，在彈出窗口中分別選 擇“Administrators”和“SYSTEM”賬戶，在“拒絕”列中選擇所有項目，就可以禁止操作映像劫持項目。

或者單獨創(chuàng)建一個允許運行列表，讓之外的程序無法運行，來抗擊映像劫持操作。方法是在注冊表編輯器中打開“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer”分之，在其右側(cè)建立一個DWORD類型的名稱為“RestrictRun”的項目，將其值設置為“1”。在雙擊“Explorer”子鍵下建立一個名為“RestrictRun”的子鍵，在其右側(cè)分別創(chuàng)建字符串類型的名稱從“1”到某個數(shù)字（例如“10”等）的項目，每個項目的值為具體的程序名（例 如“qq.exe”等）。

您可以根據(jù)需要來創(chuàng)建任意多個項目，讓所需的程序獲得正常運行的權(quán)利。而該列表之外的程序?qū)o法運行。

此外，還有一種劫持程序的方法也值得關注，在注冊表中打開“HKEY_LOCAL_MACHINESOFTWAREMicrosoftCommand Processor”，在其右側(cè)雙擊“AutoRun”項，來查看其值是否為空，否則的話就要警惕了。

當運行“cmd.exe”程序時，系統(tǒng)會優(yōu)先運行在上述“AutoRun”項中設定的指令。當病毒木馬入侵后，為了防止用戶在CMD窗口執(zhí)行各種檢測操作，會利用對上述鍵值進行劫持。

例如，將“AutoRun”項的值設為“taskkill /im cmd.exe”。這樣，當用戶啟動CMD窗口時，該指令就會自動關閉CMD窗口。如果“AutoRun”項的值指向病毒木馬程序，那么只要運行“cmd.exe”程序，就會立即激活病毒程序。如果其值為“"C:Program FilesInternet Exploreriexplore.exe" www.xxx.com”，就會自動啟動指定的惡意網(wǎng)站。

所以，及時將“AutoRun”項的值清空，或者直接刪除該項，可以有效避免病毒的潛在威脅。

注意，在“HKEY_CURRENT_USERSoftwareMicrosoftCommand Processor”分之中也存在這種情況，同樣不應漏掉。

抗擊劫持 讓瀏覽器回歸正途

上網(wǎng)沖浪離不開瀏覽器，于是病毒、木馬、流氓軟件等惡意程序就將黑手伸向了瀏覽器，對瀏覽器（特別是IE）進行綁架，成了目前頗為流行的網(wǎng)絡攻擊方式。

瀏覽器劫持指的是惡意程序通過DLL插入、創(chuàng)建BHO插件、注冊惡意控件、破壞Winsock LSP配置、設置Rootkit后門等伎倆，對瀏覽器各項配置進行惡意篡改，導致用戶在訪問正常網(wǎng)站時被強制轉(zhuǎn)向惡意網(wǎng)頁，對IE主頁或者搜索頁進行惡意修改等等行為。

對于一般的簡單的綁架行為，例如僅僅修改了主頁，可以通過手工方式對注冊表相關鍵值進行修復操作。

但是，很多狡猾的惡意程序綁架瀏覽器的手段很高明，依靠手工操作很難修復。這就需要使用一些輔助安全工具，來拯救被綁架的瀏覽器。例如，在360安全衛(wèi)士、金山衛(wèi)士、QQ電腦醫(yī)生等安全軟件，都提供了修復瀏覽器的工具，使用起來極為簡單，這里就不再贅述。

其實，為了防止IE遭到綁架，可以在開始程序菜單中選擇IE快捷方式，在IE右鍵菜單中點擊“運行方式”項，在彈出窗口中選擇“當前賬戶”和“保護我的計算機和數(shù)據(jù)不受未授權(quán)程序的活動影響”項，點擊確定按鈕，可以打開IE，不過在該狀態(tài)下IE進程的權(quán)限極低。

為了兼顧安全和權(quán)限等級，可以以基本用戶身份運行IE，注冊表編輯器中打開“HKEY_LOCAL_MACHINESOFTWAREPolicie sMicrosoftWindowsSaferCodeIdentifiers”分支，在右側(cè)窗口建立DWORD類型名稱為“Levels”的項目，將其值設置為“2000”。在CMD窗口中執(zhí)行“runas /showtrustlevel”命令，如果出現(xiàn)“基本用戶”字樣表示操作成功。

之后手工為IE創(chuàng)建快捷方式，其命令行為“%windir%system32 unas /trustlevel:基本用戶"C:Program FilesInternet Exploreriexplore.exe"”，之后雙擊該快捷方式，就可以以基本用戶身份使用IE了。

這樣既保證了IE進程擁有相當?shù)臋?quán)限，又有效地避免了惡意程序?qū)E的綁架行為。

如果惡意程序使用了RootKit技術(shù)，清除起來就沒有那么簡單了。RootKit使用了更高級的后臺保護技術(shù)，程序工作在系統(tǒng)核心Ring 0級別。我們知道，系統(tǒng)核心模塊和各種驅(qū)動程序就活動在Ring 0層。病毒設計者可以將惡意程序設計為符合WDM（Windows Driver Model）規(guī)范的驅(qū)動程序模塊，并將其添加到注冊表中的驅(qū)動程序加載入口位置，這樣就可以以更加隱蔽的方式啟動。任務管理器等普通的進程管理器只能枚舉可以執(zhí)行文件的信息，而無法顯示通過驅(qū)動模塊信息。

這樣，通過驅(qū)動、模塊和執(zhí)行文件結(jié)合的后門程序就可以悄無聲息的侵入系統(tǒng)。由于其運行在Ring 0級別，可以輕易的將自身隱藏起來，包括進程信息、文件信息、通訊端口、流量信息等等內(nèi)容。

這類高級惡意程序?qū)g覽器進行劫持時，一般會隱藏惡意BHO插件，啟動項和進程信息等對象。因為其運行權(quán)利極高，可以控制系統(tǒng)核心庫中的相關函數(shù)，來保護相關的惡意文件，例如禁止刪除等。

利用Vundofix這款安全工具，可以輕松找出隱藏劫持系統(tǒng)文件的DLL模塊，并將其安全清除。

例如，當系統(tǒng)核心進程被惡意程序劫持后，使用一般的安全工具無法加以應對。而Vundofix可以輕松找出隱藏在系統(tǒng)中或者劫持系統(tǒng)文件的惡意程序，并將其清除。其使用方法很簡單，當啟動程序后點擊“Scanfor Vundo”按鈕，對系統(tǒng)進行安全掃描，之后點擊“Fix Vundo”按鈕，執(zhí)行清理惡意文件修復系統(tǒng)操作。

此外，使用 SysReveal、XueTr、Atool等安全工具，同樣可以讓使用RootKit技術(shù)的惡意程序徹底漏出馬腳。這些工具可以執(zhí)行諸如刪除頑固文件，查看隱藏文件、進程和端口，結(jié)束頑固進程，檢測隱藏的注冊表信息，管理SSDT服務表，查看內(nèi)核模塊，卸載進程中包含的DLL模塊，控制端口等功能。

下載地址：http://www.crsky.com/soft/11529.html。

不可忽視的殺毒后遺癥——LSP劫持

面對猖獗的惡意程序，需要利用各種安全軟件將其清理出去。但是，有時當清理完畢后，卻可能面臨無法上網(wǎng)的情況。

其實這和Winsock LSP（Windows Socket Layered Service Probider，分層服務提供商）出錯有關。LSP是維持Windows底層網(wǎng)絡Socket通訊的重要組件，LSP是WinSock 2.0之后才有的功能，它需要Windows服務提供商接口（SPI，Service Provider Interface）才可以實現(xiàn)，SPI無法獨立工作，必須依賴于已經(jīng)存在的諸如TCP/IP等網(wǎng)絡協(xié)議。在這些基本協(xié)議上派分出的子協(xié)議，被稱為分層協(xié)議（例如SSL等），其必須通過一定的接口函數(shù)來調(diào)用。

LSP就是這些協(xié)議的接口，因為LSP直接從Winsock取得信息，而所有的瀏覽器最終的數(shù)據(jù)傳輸都建立在Winsock接口上，所以一旦LSP層被惡意劫持，所有傳輸?shù)木W(wǎng)絡數(shù)據(jù)可能遭到劫持。一些病毒、木馬、流氓軟件侵入系統(tǒng)后，往往要將自身模塊添加到LSP中，這樣當進行網(wǎng)絡訪問時，惡意程序就可以攔截、訪問、修改進出系統(tǒng)的的網(wǎng)絡數(shù)據(jù)包。

基于此原理，惡意程序不僅可以隨意在系統(tǒng)中彈出各種垃圾廣告，還可以獲取您的訪問習慣等隱私信息。流氓軟件使用LSP技術(shù)，甚至可以對您的瀏覽器進行劫持。由于LSP工作在系統(tǒng)底層，當安全軟件在清除流氓軟件時，很容易就將對應LSP的DLL文件刪除，從而造成了無法上網(wǎng)的情況。

在注冊表編輯器中打開“HKEY_LOCAL_MACHINESYSTEMCurrent ControlSetServicesWinSock2ParametersProtocol_Catalog9Catalog_Entries”分支，就可以查看LSP的配置信息了。

一般情況下，系統(tǒng)存在兩個LSP接口，分別負責TCP/IP組件（對應的文件為“mswsock.dll”）和 NTDS組件（對應的文件為“Winrnr.dll”）的正常運作。

當然，有些安全軟件也會在上述注冊表分支中添加對應的LSP項目。在默認情況下，TCP/IP組件的優(yōu)先級為000000000001，當LSP劫持發(fā)生后，惡意程序可能使LSP將自身修改為000000000001,，并使對應的注冊表鍵值指向惡意文件，而將原有的LSP項目后推為000000000002。

了解了LSP劫持的原理，修復起來也很簡單，例如使用金山LSP修復工具，就可以解救被綁架的LSP。在其主界面中顯示所有LSP項目，對于非綠色顯示的項目，就要提高警惕了。點擊“自動修復”按鈕，可以刪除非法的LSP項目。點擊“恢復初始狀態(tài)”按鈕，可以徹底恢復LSP的原始配置信息。如果修復失敗，也可以手工查看注冊表中的LSP項目列表，查看排在最前面的惡意LSP項目，找到與之關聯(lián)的惡意文件并將其刪除，之后刪除該惡意LSP項目，之后將其后的正常LSP項目等級向前提升即可?；蛘咧苯訌膭e的主機導入“Catalog_Entries”子鍵的內(nèi)容，也可以完成LSP的修復操作。

HOSTS文件遭劫持 網(wǎng)絡訪問陷迷途

有時，當在訪問一個網(wǎng)站時，瀏覽器卻莫名其妙的打開了一個毫不相干的網(wǎng)頁，這就說明HOSTS文件被劫持了。

可以打開“C:WindowsSystem32Driversetc”文件夾，可看到名為“HOSTS”的文件，這是一個系統(tǒng)文件，它和瀏覽器的劫持有著密切的聯(lián)系。在該文件中記錄著一些網(wǎng)站的IP地址和域名之間的對應關系。當在訪問該文件中記錄的網(wǎng)站時，就會自動定向到對應的IP地址上。

如果病毒木馬對其加以惡意利用，將正常的網(wǎng)站地址關聯(lián)到惡意IP上，那么當用戶訪問這些網(wǎng)站時，就會掉入惡意網(wǎng)址的陷阱中。病毒甚至會利用HOSTS文件對殺軟的病毒庫升級網(wǎng)址進行惡意修改，讓殺軟無法升級病毒。

注 意，HOSTS文件位置是可以自定義的，打開注冊表編輯器，在其中打開“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters”分支，在右側(cè)雙擊“Data BasePath”項目，可以查看其實際的路徑信息。

對付HOSTS劫持的方法很簡單，只需使用記事本打開HOSTS文件，將其中雜亂的IP和域名的對應關系刪除即可。

為了便于操作，可以使用HostsX這款專用軟件，來快速簡單的編輯HOSTS文件的內(nèi)容。當然，合理利用HOSTS文件，也可以對惡意網(wǎng)站進行屏蔽。

例如，簡單地將一個惡意網(wǎng)址映射到不存在的IP地址，例如在Hosts文件中添加一行“0.0.0.0 www.xxxxxx.com”，在訪問“www.xxxxxx.com”時，系統(tǒng)將嘗試連接錯誤的IP地址“0.0.0.0”，就可以實現(xiàn)禁止訪 問“www.xxxxxx.com”惡意網(wǎng)站的目的。為了簡便起見，可以從網(wǎng)上下載配置好的HOSTS反黑文件，直接使用其覆蓋原始的HOSTS文件即可。

當然，也可以對HOSTS文件配置嚴格的訪問權(quán)限，讓惡意程序無法對其修改。在CMD窗口中執(zhí)行“cacls C:WindowsSystem32Driversetchosts /t /c /g administrators:r”命令，就可以將該文件徹底保護起來，即只允許管理員用戶對其進行讀取、運行等操作，而無法對其進行修改刪除等操作，其他賬戶更是被徹底排斥在外。這樣，惡意程序就無法對其進行劫持了。

對于一些廣告網(wǎng)址也可以借用HOSTS文件進行攔截。例如在Windows 8自帶了很多各式各樣的應用，不過與之關聯(lián)的廣告讓人不勝其煩，為此，可以在資源管理器地址欄中輸入“C:WindowsSystem32Driversetc”路徑，將其中的HOSTS文件剪切到其他路徑。之后使用記事本打開該文件，并寫入一下內(nèi)容：

之后執(zhí)行保存操作，并將修改后的HOSTS文件放置到原來的位置。當系統(tǒng)彈出用戶需要提供管理員權(quán)限的警告時，直接點擊提示窗口中的“繼續(xù)”按鈕，就可以將HOSTS文件保存到原來的目錄中了。

ARP劫持 局域網(wǎng)混亂之源

對于局域網(wǎng)用戶來說，有時會出現(xiàn)無法上網(wǎng)的情況，這說明您的主機遭到遭到了ARP劫持攻擊。

ARP即Address Resolution Protocol地址解析協(xié)議，報文在物理網(wǎng)絡上傳送，必須知道目標主機的物理地址，這就需要將目標IP地址轉(zhuǎn)換為物理地址，這就需要依靠ARP協(xié)議的支持。

之所以發(fā)生ARP劫持，是因為安裝TCP/IP的主機中都存在一個ARP緩存表，其中的IP地址和MAC地址是一一對應的。例如，主機A（IP為192.168.1.1）向主機B（IP為192.168.1.10）發(fā)送數(shù)據(jù)時，主機A會在自己的ARP緩存表中尋找是否存在目標IP，如果找到即可直接將對應的MAC地址寫入到幀并發(fā)送即可。如果沒有找到，主機A就會在網(wǎng)絡上發(fā)送一個廣播，向同一網(wǎng)段內(nèi)所有的主機發(fā)出詢問，來尋找目標MAC地址。這樣，主機A才可以向主機B發(fā)送數(shù)據(jù)。同時主機A會更新本機的ARP緩存表，以后向主機B發(fā)送數(shù)據(jù)時，直接查詢ARP緩存表就可以知道其MAC地址。ARP緩存表采用了老化機制，在一段時間內(nèi)如果表中的某一行未使用，就會被刪除掉，這樣可以減小ARP緩存表的長度，加快查詢速度。

ARP劫持就是通過偽造IP地址和MAC對應關系來實現(xiàn)的，可以在網(wǎng)絡中產(chǎn)生大量的ARP通訊量讓網(wǎng)絡阻塞，攻擊者只要連續(xù)發(fā)出偽造的ARP響應包就可以更改目標主機ARP緩存表中的IP-MAC對應條目，造成網(wǎng)絡中斷或者中間人攻擊，在局域網(wǎng)中如果一臺主機感染了ARP木馬，該主機就會試圖通過ARP欺騙的手段來截獲網(wǎng)絡內(nèi)其他主機之間的通訊，并造成網(wǎng)絡中其他主機的通訊故障。

實際上，攻擊者只需利用 Zxarps、Cain、maxhijacks等工具，就可以對局域網(wǎng)發(fā)起ARP欺騙攻擊。一般來說，ARP劫持分為兩種方式，一種是欺騙網(wǎng)關，一種欺騙局域網(wǎng)中的其他主機。

為了安全起見，最好在局域網(wǎng)中劃分VLAN子網(wǎng)，讓ARP攻擊無法影響整個局域網(wǎng)。但是一般個人用戶使用的都是無線路由器上網(wǎng)模式，可以在路由器設置界面中將IP和MAC逐一綁定起來。也可以安裝和使用ARP防火墻，例如彩影ARP防火墻、360 ARP防護墻等，來狙擊ARP劫持。

檢測ARP劫持的方法一般有兩種，一種是在局域網(wǎng)中使用Wireshark等抓包工具，來抓取數(shù)據(jù)包進行分析。而另外一種是在三層交換機上查詢ARP表。當然，也可以使用欣向巡路之ARP工具等工具，對ARP欺騙進行監(jiān)控分析等。