如果中了镜像劫持类病毒,通常很麻烦,很多时候需要重装系统,其实,镜像劫持就是注册表中的一个应用程序重定向键值所造成的。
以自己的电脑的输入法图标为例,在输入法图标驻留在任务栏中的情况,通过镜像劫持,可以让用户无法关闭高级文字服务,导致任务栏上不显示输入法,而只能通过快捷键来切换自己想要的文字输入法。
实验如下:
点击开始菜单,选择运行,输入regedit,打开注册表编辑器,展开:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Image File Execution Options,新建项名为ctfmon.exe,在该项中新建字符串值,名为debugger,值为ntsd -d。
重启电脑后,你就会发现,任务栏上的输入法图标没了,即使在控制面版中也无法关闭高级文字服务了。这个就是简单的镜像劫持。
其中可以发现:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Image File Execution Options下的子项名称取的是应用程序的进程名。ctfmon.exe就是输入法的进程名,再比如卡巴斯基是avp.exe,如果将所有的杀毒软件的进程做一个VBS导入注册表,恐怕只有取盘杀毒了……
