如何手動清除那些利用了映像劫持技術(shù)的病毒

　　電腦病毒看不見，卻無處不在，有時防護措施不夠或者不當操作都會導致病毒入侵。映像劫持(Image Hijack)是為一些在默認系統(tǒng)環(huán)境中運行時可能引發(fā)錯誤的程序執(zhí)行體提供特殊的環(huán)境設定，在針對殺毒軟件方面，OSO病毒還采用了一種新技術(shù)就是映像劫持，通過這種技術(shù)就可以將殺毒軟件置于死地

　　方法步驟

　　最近有用戶的電腦感染了病毒，開機時就會彈出若干個窗口，也無法關(guān)機，只能待內(nèi)存耗盡，最后導致死機，其實他只是格式化了c分區(qū)，重裝系統(tǒng)之后開機，還是會出現(xiàn)中病毒的現(xiàn)象。

　　從上述現(xiàn)象至少得到2個信息：1、病毒會通過自動播放傳播;2、病毒可能利用映像劫持。

　　故障現(xiàn)象

　　檢查故障機，重啟時，很自然的想到啟動到帶命令行的安全模式。運行regedit，結(jié)果失敗。msconfig一樣失敗。改regedit.exe為regedit.com，同樣失敗，沒有繼續(xù)嘗試改別的名字。重啟電腦進普通模式，想看一下具體中毒的現(xiàn)象。

　　登錄到桌面后，發(fā)現(xiàn)一個類似記事本的程序不停打開一個小對話框，速度很快，根本來不及關(guān)閉，任務管理器也調(diào)不出來。立即拿出我的殺毒U盤，其中常備ProcessExplorer、冰刃、Sreng。發(fā)現(xiàn)殺毒U盤沒有正常的啟動成功。雙擊冰刃/Sreng都宣告失敗。

　　解決步驟

　　分別對將icesword和Sreng主程序改名后運行，此時，那個象記事本的病毒程序已經(jīng)打開近百個對話框，系統(tǒng)變得很慢。在WINXP的任務欄選中這一組窗口，關(guān)閉掉，先搶占一些系統(tǒng)資源再說。

　　然后，雙擊U盤上的ProcessExplorer，一眼看到有記事本圖標的三個進程，嘗試結(jié)束其中一個，發(fā)現(xiàn)結(jié)束后，程序會立即重新啟動?？磥?，直接KILL進程是不行的。結(jié)束不行，就用下凍結(jié)進程，分別選中這三個進程，單擊右鍵，在進程屬性中選擇Suspend(暫停)進程，病毒就不再彈出新的對話框，殺它就容易了。(參考下圖的示例：)

　　切換到冰刃，簡單地通過進程管理，根據(jù)病毒進程的程序位置和文件名，輕松使用冰刃內(nèi)置的文件管理器瀏覽到這幾個文件，復制一個備份到桌面，再單擊右鍵，選擇強制刪除。

　　接下來，再切換到冰刃窗口中的注冊表編輯器，瀏覽到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options，逐個查看子注冊表鍵中對應的程序名，找到另一個病毒程序。(這里要說明一下，有網(wǎng)友認為只需要保留Your Image File Name Here without a path子鍵，其它都可以刪除。覺得這樣做還是有風險的，謹慎的做法還是一個子鍵一個子鍵的檢查，如果發(fā)現(xiàn)鍵值為病毒程序的路徑時，再刪除這個子鍵)。

　　同樣，需要使用冰刃的文件管理器將病毒程序強制刪除。這個病毒太惡劣了，我發(fā)現(xiàn)幾乎所有的殺毒軟件、防火墻、系統(tǒng)自帶的管理工具(regedit，msconfig，cmd，任務管理器)、第三方的系統(tǒng)輔助工具(Sreng、autoruns、冰刃)全部被劫持。

　　修復注冊表后，雙擊殺毒U盤中的毒霸，新版殺毒U盤增加了監(jiān)視功能，在我點擊桌面?zhèn)浞莸哪菐讉€病毒程序時，殺毒U盤的監(jiān)控立即干掉了病毒。然后打開資源管理器，瀏覽到其它分區(qū)根目錄，殺毒U盤又把另幾個分區(qū)根目錄下隱藏的病毒干掉。

　　另類解決方案

　　在你沒有冰刃、Process Explorer時，可以用其人之道，還治其人之身。編輯一個修改注冊表的批處理腳本，把病毒程序也給加到映像劫持的清單中，如下示例：

　　@echo offecho Windows Registry Editor Version 5.00>ssm.regecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\syssafe.EXE] >>ssm.regecho "Debugger"="syssafe.EXE" >>ssm.reg (如果發(fā)現(xiàn)多個病毒程序，就編輯多行)rem regedit /s ssm.reg &del /q ssm.reg (如果發(fā)現(xiàn)多個病毒程序，就編輯多行)

　　重啟電腦后，病毒程序也啟動不了，比較毒吧，然后把注冊表編輯器的程序名regedit.exe為其它的什么名字，雙擊后對注冊表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options項進行修改。再升級殺毒軟件殺毒。

　　相關(guān)閱讀：2018網(wǎng)絡安全事件：

　　一、英特爾處理器曝“Meltdown”和“Spectre漏洞”

　　2018年1月，英特爾處理器中曝“Meltdown”(熔斷)和“Spectre” (幽靈)兩大新型漏洞，包括AMD、ARM、英特爾系統(tǒng)和處理器在內(nèi)，幾乎近20年發(fā)售的所有設備都受到影響，受影響的設備包括手機、電腦、服務器以及云計算產(chǎn)品。這些漏洞允許惡意程序從其它程序的內(nèi)存空間中竊取信息，這意味著包括密碼、帳戶信息、加密密鑰乃至其它一切在理論上可存儲于內(nèi)存中的信息均可能因此外泄。

　　二、GitHub 遭遇大規(guī)模 Memcached DDoS 攻擊

　　2018年2月，知名代碼托管網(wǎng)站 GitHub 遭遇史上大規(guī)模 Memcached DDoS 攻擊，流量峰值高達1.35 Tbps。然而，事情才過去五天，DDoS攻擊再次刷新紀錄，美國一家服務提供商遭遇DDoS 攻擊的峰值創(chuàng)新高，達到1.7 Tbps!攻擊者利用暴露在網(wǎng)上的 Memcached 服務器進行攻擊。網(wǎng)絡安全公司 Cloudflare 的研究人員發(fā)現(xiàn)，截止2018年2月底，中國有2.5萬 Memcached 服務器暴露在網(wǎng)上 。

　　三、蘋果 iOS iBoot源碼泄露

　　2018年2月，開源代碼分享網(wǎng)站 GitHub(軟件項目托管平臺)上有人共享了 iPhone 操作系統(tǒng)的核心組件源碼，泄露的代碼屬于 iOS 安全系統(tǒng)的重要組成部分——iBoot。iBoot 相當于是 Windows 電腦的 BIOS 系統(tǒng)。此次 iBoot 源碼泄露可能讓數(shù)以億計的 iOS 設備面臨安全威脅。iOS 與 MacOS 系統(tǒng)開發(fā)者 Jonathan Levin 表示，這是 iOS 歷史上最嚴重的一次泄漏事件。

　　四、韓國平昌冬季奧運會遭遇黑客攻擊

　　2018年2月，韓國平昌冬季奧運會開幕式當天遭遇黑客攻擊，此次攻擊造成網(wǎng)絡中斷，廣播系統(tǒng)(觀眾不能正常觀看直播)和奧運會官網(wǎng)均無法正常運作，許多觀眾無法打印開幕式門票，最終未能正常入場。

　　五、加密貨幣采礦軟件攻擊致歐洲廢水處理設施癱瘓

　　2018年2月中旬，工業(yè)網(wǎng)絡安全企業(yè) Radiflow 公司表示，發(fā)現(xiàn)四臺接入歐洲廢水處理設施運營技術(shù)網(wǎng)絡的服務器遭遇加密貨幣采礦惡意軟件的入侵。該惡意軟件直接拖垮了廢水處理設備中的 HMI 服務器 CPU，致歐洲廢水處理服務器癱瘓 。

　　Radiflow 公司稱，此次事故是加密貨幣惡意軟件首次對關(guān)鍵基礎(chǔ)設施運營商的運營技術(shù)網(wǎng)絡展開攻擊。由于受感染的服務器為人機交互(簡稱HMI)設備，之所以導致廢水處理系統(tǒng)癱瘓，是因為這種惡意軟件會嚴重降低 HMI 的運行速度。

如何手動清除那些利用了映像劫持技術(shù)的病毒相關(guān)文章：

1.電腦中病毒了的解決方法步驟詳解

2.電腦感染病毒主要有哪些癥狀

3.電腦中病毒映像劫持

4.光盤中毒了怎么清除

5.dl1.exe病毒怎么刪除