一次由APT动态防御牵扯出来的中毒事件

早上点检的时候，兰云的兰眼装备发现了有异样外联。

使用火绒软件进行查杀。文章源自微观生活（93wg.com）微观生活-https://93wg.com/9840.html

使用火绒再次扫描系统，依旧发现有文件映像劫持。文章源自微观生活（93wg.com）微观生活-https://93wg.com/9840.html

大体意思是图片文件扩容属性运行taskmgr.exe。文章源自微观生活（93wg.com）微观生活-https://93wg.com/9840.html

那么什么是映像劫持呢？

什么是映像劫持文章源自微观生活（93wg.com）微观生活-https://93wg.com/9840.html

或许你曾经遇到过这类情况：不管你将软件安装在什么处所，在运行的时候总会呈现“系统找不到指定的文件”的过错提醒，致使软件没法运行。如果你将软件的exe文件改个名称，就能够正常运行了。这类现象就叫做映像劫持。映像劫持是一种影响系统正常运转的手腕，不少病毒、木马都会使用这类手腕阻挠安全软件的运行。文章源自微观生活（93wg.com）微观生活-https://93wg.com/9840.html

映像劫持的原理文章源自微观生活（93wg.com）微观生活-https://93wg.com/9840.html

映像劫持是应用Windows的IFEO（Image File Execution Options）功能来实现的。IFEO其实是Windows的一项正常功能，主要用于调试程序，其初衷是在程序启动的时候开启调试器来调试程序，这样一来可以在调试器中察看程序在难以重现的环境中的行动。例如，某个程序在随用户登录自动启动时会犯错，但在登录后手动启动时却一切正常，这就能够通过IFEO设置一个调试器，不管程序什么时候启动，都会开启这个调试器对其进行调试，以便找出问题。文章源自微观生活（93wg.com）微观生活-https://93wg.com/9840.html

在注册表中，HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options就是保留IFEO设置之处。下面来演示一下IFEO正常的用法（假定你已经安装了Visual Studio）：文章源自微观生活（93wg.com）微观生活-https://93wg.com/9840.html

打开注册表编辑器，在HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options中添加一个新的项，取名为“calc.exe”。文章源自微观生活（93wg.com）微观生活-https://93wg.com/9840.html

打开刚刚创立的calc.exe项，在右边的窗格中右击，新建一个字符串值，取名为“Debugger”，取值为“vsjitdebugger.exe”。关闭注册表编辑器。文章源自微观生活（93wg.com）微观生活-https://93wg.com/9840.html

此时运行系统自带的计算器，会弹出一个利用程序过错窗口，选择“调试程序”，就会启动Visual Studio对计算器进行调试。

当你运行calc.exe的时候，系统首先会在注册表的Image File Execution Options中寻觅名为“calc.exe”的项，如果存在该项，则继续寻觅名为“Debugger”的字符串值，如果找到，则转而启动Debugger值中指定的程序，即vsjitdebugger.exe，并将calc.exe的完全路径作为参数传递给它。所以，当你运行计算器的时候，系统实际上执行的是“vsjitdebugger.exe C:\\Windows\\System32\\calc.exe”这个命令行，而不是“calc.exe”。

IFEO的初衷是很好的，但它的设计显然不够完美。在上面的例子中，如果你将“vsjitdebugger.exe”改为“cmd.exe”，那么运行计算器的时候却打开了一个命令行窗口；如果改为任意一个不存在的程序名称，例如“abc”，那么运行计算器的时候就会呈现“系统找不到指定的文件”的过错，此时calc.exe这个程序（映像）被“劫持”了。

由此可以看出，映像劫持其实不等于IFEO，反之亦然。映像劫持的正式英文名称实际上是“Image Hijack”。

使用火绒直接干掉沾染文件是可以的，然后兰眼这块已经看不到有非法连接pool的地址了，然而注册表中关于映像劫持的节点还在，而且没法使用火绒直接删除了。那么好吧，使用手动删除了，然而手动删除了会提醒无权限。

手工杀毒

经由查找资料，在taskmgr.exe上面单机右键，权限，调剂administrator账号对taskmgr.exe节点有完整走访权限就能够删掉。

然后使用火绒继续全杀下，已经没有任何要挟了。

动态防御也休止了日志报警。

以上就是微观生活（93wg.com）关于“一次由APT动态防御牵扯出来的中毒事件”的详细内容，希望对大家有所帮助！