请管好自己系统的IFEO读写权限
最近这类IFEO 劫持问题突出。中招后,大多数用户恐怕只有哭的份儿了。
以前曾经呼吁过几次————通过注册表操作权限彻底封死IFEO这个键。但似乎没什么人重视。
今天,我拿一个实例来说明一下“不禁止IFEO键写入/创建”的后果之严重。希望能够引起重视。
试验用的病毒样本还是那个“随机8位数”病毒。假定它做完IFEO劫持后封死了这个键(我是将此毒植入系统后利用注册表操作权限将IFEO键封死的;病毒要做这事并不难)。
然后,用特殊手段使IceSword能够启动加载。
重启系统。
系统重启后,分别用autoruns(改名运行)和IceSword查看IFEO劫持项(图1)。
结果IceSword见到的IFEO劫持项一个不少;但autoruns的Image Hikacks空空荡荡!原因在于IFEO键不但不能写入了,读都不能读了!
如果没有这个能加载运行的IceSword,即使你改名运行了autoruns,扫了个autoruns日志又有何用?
图1
